白帽平台的神奇公告
今天,乌云和漏洞盒子关停升级的新闻,大家都已经知道了。
而大家不知道是,为什么两家白帽平台前后脚相继关停相关服务,难道是商量好的?
在没有官方正式发文之前,只能猜测+推理
先来看下昨日,漏洞盒子的升级公告
“将对联网漏洞与威胁报告项目中的流程制度、规范等进行梳理”。其白帽黑客报告漏洞的页面已经无法查看。
最后这句“相信能够帮助白帽子与企业之间建立真正信任的关系”,似乎话中有话。
7月20日凌晨,中国最大漏洞报告平台乌云网(WooYun)突然无法访问。网站公告称,乌云及相关服务将升级,并称将在最短时间内回归。
饱受争议的白帽平台
而这句“与其相信谣言,不如相信乌云”,更让人将这次的“暂停”公告与近期黑客圈子里关注度最高的“袁炜事件”关联起来。
袁炜是互联网漏洞报告平台“乌云”上的一名白帽子。去年12月,他在乌云提交了其发现的婚恋*友网交**站世纪佳缘的系统漏洞。在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后,事情突然发生转折。
世纪佳缘在一个多月后以“网站数据被非法窃取”为由报警,4月份,袁炜被司法机关逮捕。在不久前的第四届网络安全大会上,袁炜的父亲发出公开信为儿子鸣冤,让袁炜的遭遇成为网络安全圈的热门事件。
其实类似案件已经发生过,只不过没有引起行业的高度重视。今年年初安徽池州贵池区人民法院对某在校大学生进行了一审宣判,以非法控制他人计算机系统罪判处被告王某有期徒刑6个月。
有趣的此次案件的取证正是通过第三方漏洞报告平台,公安机关从被告人电脑内提取了其上传到国内某漏洞报告平台的具体入侵证据24条,并依此判定其罪名成立。
而“袁炜事件”则真正引发了IT业内关于白帽子黑客行为边界的大讨论。而此次乌云和漏洞盒子的整治行动,有可能是“袁炜事件”的后发效应。
一直以来第三方漏洞披露平台就饱受争议,核心问题披露平台有无权限直接收集和披露未授权企业的漏洞。其次就是漏洞的核审不力,标题*党**众多,张冠李戴者众多,二次泄漏严重。
取经国外是否可行?
在孙维《漏洞披露,乌鸦还是知更鸟》一文中,作者介绍了同样是漏洞披露这件事,国外是怎么干的:
一、关于平台的合法性
国外主流的乙方平台,包括有HackerOne、BugCrowd、CrowdCurity、Synack等等,而这些平台的共同点是先取得客户授权,在这个大前提下,按照提交规则进行客户相关漏洞的收集和披露工作。
在拿到客户授权后,漏洞收集工作又分为两大类:一类是针对平台所有测试人员的公开漏洞收集,只要是客户业务相关漏洞均可提交;还有一类是私有项目模式,只针对平台TOP N排名的行家,随机抽取一定数量行家参与测试。
授权是大前提,所以当HackerOne和BugCrowd负责人听到我兔的漏洞披露模式之后,惊讶到下巴能掉到地上,嘴里能塞进一枚橄榄球,他们没有想到漏洞披露居然能这么玩,要是在美国估计是分分钟捡肥皂的节奏。
二、关于漏洞细节扩散
在漏洞提交到乙方平台后,乙方平台本身是没有权限看到漏洞细节的,漏洞确认和审核由客户通过平台自主完成。
如果客户无法确认该漏洞,需要平台帮助时,客户能够授权平台对该漏洞进行确认和审核,而漏洞审核服务是标准化的按时收费服务。
通过这种机制和平台本身的审计机制,能够将漏洞细节被扩散的风险降低到最小。
三、漏洞披露看客户意愿
国外各大平台的漏洞披露机制也是基于客户意愿的,而不是多少天之后自动公开,客户授权同意之后,平台才能公布已经脱敏的漏洞信息。
国内和国外客户对待漏洞披露态度的截然不同,其实也是漏洞披露本质不一样导致的,一个没有授权混乱失控,一个拿到授权有序可控。
试着换位思考一下,如果将国内的乙方平台放到国外,它们会面临什么?是继续颠覆规则挑战传统,还是倒在法律的枪口之下?
而国外的乙方平台如果进入国内市场,他们一家家拿到客户的授权,有周密完善的机制来管理整个漏洞披露生命周期,那国外的乙方平台是不是能够迅速赢得广大厂商和测试人员的芳心。
厂商对白帽子的五味杂陈
从厂商角度看,厂商有很重要的职责来保护用户的数据安全。厂商自身一方面会用各种方法去发现并解决问题,白帽子这么多年在帮助企业发现很多盲点,提升了厂商的安全程度。没有白帽子的支持,企业的安全就会落后很多年。但是,厂商也比较害怕白帽子。白帽黑客一些善意的测试,企业比较欢迎。但有时这些“白帽”的测试,有时会导致数据泄露或破坏。有的黑客甚至有些打着白帽子的旗号,去拖库、交易这些数据。
在整个白帽生态中,企业成了名符其实的绵羊。业内对白帽生态的发展也提出了相关疑问,如白帽子到底白在哪里、白帽的衡量标准、行为准则、诉求等。
自2011年底各大平台被拖库事件及*诺斯**登事件后,网络安全正受到各方的关注。除了用户的隐私,企业安全外,还有国家层面的网络安全。新兴事物的发展要快于法律规范的定制,是一个普遍现象,世纪佳缘袁炜这一事件,和此次两大白帽平台的集体“暂停升级”,无疑在规范网络安全测试行业及黑客的行为中,将成为一个里程碑式的事件。
后继关注
据了解乌云网和漏洞盒子,以及补天漏洞响应平台均是国家信息安全漏洞共享平台的合作方,但补天漏洞平台尚未受到影响。
而截止发文时,笔者在漏洞盒子的官网上看到其最新发布的声明:
所以此次事件究竟是网络安全测试行业的集体整顿,还是平台企业业务升级的个体事件,目前局势并不明朗。所谓无风不起浪,我们会持续关注事态的发展。