关于“某白帽子在乌云报漏洞,结果逮捕”,国内还有白帽子的环境吗?

2016-06-26 09:53:42 +08:00
 alexecn

早上看到了这个新闻: http://www.solidot.org/story?sid=48713 立马感觉到了一丝丝凉意!

起因:上个星期刚在 V2EX 发了一篇: https://www.v2ex.com/t/286712

后来也在网友的劝说下去 http://www.wooyun.org/ 发了一下,最后得到的乌云反馈是:小漏洞,但联系不到厂商! 再过了几天,发现某某默默的把这个漏洞修复了。

当时虽然有点生气,想评论下什么小漏洞,但现在看来非常谢谢某某的处理方法。 很庆幸,对于当时自己有点喝 high 、闲得蛋疼的情况下所做的事情没有造成多大的问题!

现在,这里的总结一下:

  1. 没有所谓的白帽子,放弃这个称谓吧! 你所做的入侵检测,以及相应的行为在法律上都算违法。(这个是很明显的),你要承担成为被告的风险。 你所谓的善意,对于被检测公司而言没法看出,没法证明!他们只能看到同样被入侵的行为。
  2. 私自检测别人的漏洞,并报告,伤害了安全公司的利益!你们都帮忙了,安全公司就越来越没有用了。
  3. 私自检测别人漏洞,并报告,伤害了被检测公司相关程序员的利益。安全的问题,不只是程序员的问题,但以这样的形式被报告出来,很可能最受伤的是相关程序员。管理层看到这个,如果不是出身于技术,对安全不慎理解,很可能会责怪相关程序员。

所以综上,白帽子的行为得利的只有白帽子所谓提交漏洞得到的那点奖励,其他相关人员都不可能收益,还有极大的被损害利益。所以,白帽子这样的行为在国内暂时行不通!

还要说的一点是,乌云在其中起的作用:我觉得非常不好。被抓与乌云拖不开关系!乌云鼓励了这样一种违法的行为,并且没有警告这些白帽子做相应的个人保护!乌云给人一种错觉:就是这样的行为在国内是安全的,是被这些厂商允许的! 如果该事件已经进入法律阶段,公安部门要取证的情况下,乌云相信也得配合,将这个事件锁定到这个白帽子上。

所以,忘了白帽子吧! 兴趣是兴趣,安全更重要!

10647 次点击
所在节点    信息安全
26 条回复
ixinshang
2016-06-26 10:10:05 +08:00
第一次感觉比特币的好处
mornlight
2016-06-26 10:30:34 +08:00
很大程度上,正是因为有了乌云和白帽子这类东西,爆出一次次安全丑闻,才让信息安全行业越来越受重视,站在行业发展的角度说,我支持他们的存在,因为这不仅对于公司,而且是对广大用户有利的。目前有各种问题是相关的法律和流程还不完善的原因,关于世纪佳缘那事,白帽子拉一堆数据下来的做法的确越界了。
7654
2016-06-26 10:58:09 +08:00
如果他不下载 4000 多条数据不会有事
wdlth
2016-06-26 11:12:13 +08:00
像移不动不理不睬的直接乌云被拉黑了,之所谓家丑不可外扬,又因为信息安全厂商商业推广的原因,很多 LD 所认识的信息安全,就是评等保、上设备,而不是从系统自身去检查。
就像那个抗洪的笑话一样,没出事的默默无闻,出事后上头条的得嘉奖……
alexecn
2016-06-26 11:22:40 +08:00
@ixinshang 恩,比特币却有好处。
@mornlight @7654 对于因为下载数据而有事,个人认为这个是厂商要依据的法律。其实从一开始做就已经触犯法律了,现在只是需要找法律条文来处罚,所以把这个下载数据拿来说事而已! 关键的问题在于,一开始这个白帽子就疏忽了,就没有做个人防护。他天真的认为只要自己不去做坏事,就肯定没事,况且自己还把漏洞上报给了乌云,自己是一个善意的举动。


@wdlth 同意
SourceMan
2016-06-26 11:38:53 +08:00
最近看了个观点: 虽然人家的后面开着,但是你不能不打招呼就进去溜一圈还顺带点东西说你看,你家门确实开着
ctsed
2016-06-26 11:51:13 +08:00
立法了
chentongsi
2016-06-26 11:51:58 +08:00
不能只站在技术的角度去考虑问题,驱动这个世界运作的,还有法律,春秋战国时期,连孔子腰里都要挂一把宝剑,以作防身自卫,想必那个时代人人都要会一点剑术。现代社会你不用拿着宝剑就能出去逛街,保护你的不是剑术,而是法律。
chentongsi
2016-06-26 11:57:13 +08:00
上面那些拿黑市来吓唬人的愤青,说的就跟法律拿黑市没办法似的。现实中盗贼也有圈子,也有黑市,你家里被盗以后会因为害怕盗贼的圈子而不报警吗?

对了, 10 年前有个小偷论坛,上面都是小偷交流扒手技术的,你跟他们谈法律,他们跟你谈技术。
techyan
2016-06-26 11:59:33 +08:00
尽管下载数据这件事不是很道德,

但是如果是我能进到世纪佳缘的数据库,我肯定也会下载一点内容,看看数据库里有什么
qq316107934
2016-06-26 12:17:56 +08:00
@techyan 不是不道德,是违反法律了,希望乌云能在提交漏洞的时候用红字普及下相关法律。
alexecn
2016-06-26 12:34:33 +08:00
其实对于漏洞的挖掘,只要你开始做,就无法分清哪些是违法,哪些不违法。
有很多时候,需要下载数据库里的内容,去继续分析下面的漏洞。

所以,我个人认为这里下载数据并不是主要需要关注的地方。
这里是由于厂商要采取法律行为,就把下载数据这个事情来当做主要处罚的证据。
longr923
2016-06-26 13:57:36 +08:00
真是冤枉,看了下乌云,洞主用的是 sqlmap 这款软件,不是自动跑的吗?
strwei
2016-06-26 14:53:55 +08:00
乌云别看表面光鲜靓丽,私下干着不少黑产,每个白帽子提交漏洞,他们都要亲自实验并下载存储数据
ByZHkc3
2016-06-26 14:59:34 +08:00
国内厂商的态度不想做任何评论,但是国内互联网安全环境也是因为乌云的存在才得以促进发展的。
现在也不评论乌云是否卖了这些白帽子,但是我个人的观点从两年前开始就是抱着看热闹的心态去面对这个圈子的。现在无意中挖出个漏洞都是自己藏着慢慢玩,原谅我的自私。
Vamwere
2016-06-26 15:16:28 +08:00
白帽子把漏洞提交在乌云,怎么确保乌云不作恶呢?
lianghudou
2016-06-26 15:25:47 +08:00
厂商邀请的才叫白帽子,不请自来的是傻帽子
cmxz
2016-06-26 15:32:24 +08:00
@qq316107934 乌云提交漏洞的时候只会让你“证明漏洞危害”…
alexecn
2016-06-26 15:49:41 +08:00
@lianghudou 说的好!

@Vamwere 确实,乌云的主体并不明确。 从乌云的网站上看不到这个网站承办人的任何信息。 起码乌云不是一个公司的行为。

可能因为行业的敏感性,乌云也隐去了这些信息。为了保障自己的安全,或者其他的原因!


@ByZHkc3 比较正确的做法
aeshfawre
2016-06-26 15:50:17 +08:00
白帽子减少,黑帽子增加,这就是结局.
国内从事黑帽子的应该有几十万人吧. 白帽子的减少,只会帮助黑产行业的壮大.
一个游戏库是 100 万的起步价,受得了诱惑不?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/288353

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX