今日热议主题:当用户向你报告了安全问题你会怎样做

2017-01-10 09:41:12 +08:00
 Explorare

强行热议 ( ゚∀。)

刚才刷 feed 时看到这样一条讨论串 Ask Slashdot: What Is the Best Way To Thank Users For Reporting Security Issues? - Slashdot po 主的主要意思就是说他收到了用户发来的消息,报告了安全问题,他想知道到如何感谢这类提交 security issue 的用户。本来我以为底下会说 money, thanks email, bitcoin 之类的,结果竟然有不少人同意了以下观点:

This is a stupid answer.

Here's how you should actually handle people who report security issues:

  1. If you're an IT director and it's a company employee who reported it, you need to inform the upper management that you have a possible hacker in the company, and get his ass fired.

  2. If you work in a company and someone in the general public reported it, you need to notify your legal department so they can file a lawsuit against the person for defamation.

  3. If you're in government and this was reported by someone in the general public of your country, you need to notify law enforcement so they'll be arrested for hacking and thrown in prison.

Only hackers would care about "security issues", and if that information becomes public, it will just help other hackers, so any such people need to be dealt with, extremely harshly. If you disagree, then you obviously are not in a position of power in the US.

虽然让我感到很不爽,但确实是一些公司的做法,简单的说就是甩锅,毕竟因为承认了纯在安全漏洞就等于给了用户发起诉讼的理由。但作为一个运维,有人愿意给我发邮件告诉我伺服器存在漏洞,告诉我问题的 CVE 编号、复现方式、修复方法,我会给他发一封感谢邮件。(虽然类似于有人把我家锁撬了然后告诉我我家的锁不安全)

诸位怎么看呢?

7885 次点击
所在节点    信息安全
95 条回复
Explorare
2017-01-10 10:26:42 +08:00
@jimwoo 主要前车之鉴太多了。看到这篇文又想起来了。
想发 security issue ?-> 用匿名邮箱。
收到 security issue ?->先保存 ticket 记录,检测入侵信息,修复系统,向主管汇报。
自己的服务器?-> 交个朋友好了,以后有问题还请多多指教。

主要还是避嫌,不留下把柄,你诚信不代表对方就会诚信。
ctsed
2017-01-10 10:28:20 +08:00
没有专门搞安全的部门就偷偷修了,不是有很多偷完数据然后自己报告有漏洞洗白的么
jimwoo
2017-01-10 10:30:23 +08:00
@Explorare 不过你也说得对,以前公司半价抢购……到此结束!
RIcter
2017-01-10 13:30:12 +08:00
回报你安全问题,不应该有一个感谢之心么?
难道非要等到被恶意利用后才修复?
raincious
2017-01-10 13:51:20 +08:00
@Explorare

人是有私心的。如果汇报漏洞却得不到任何好处,那么别人为什么要大费周章先保护自己然后再匿名汇报?

想要让大多数人主动帮助你,你得先让别人觉得你“人不错”(可靠、知道如何报答、有交情)。否则就一般人的角度来看,要么憋着当没看见(就像这个社会大多数人的行事方式),要么就藏好了等以后再看(利用)。

这就像如果你同事背着老婆在公司大采红花,有一天他的老婆来到公司做客,你会主动告诉她这件事么?在大部分情况下是不会的,除非你跟她是非常好的朋友。

所以,这就是为什么有很多人发现了漏洞之后,选择去利用(得利)或者无视(避险)而不是主动报告的原因。
youyoumarco
2017-01-10 13:57:52 +08:00
@raincious 有道理。

有人通知有漏洞,应该有感恩的,因为人家大可不必这么做,既然告诉你了,修复后送点小东西啊什么的,大公司给个证书啥的会有积极作用。如果一味的靠打压是行不通,总有一天会因此吃大亏的,所有人都知道你有问题,就自己自我感觉良好。。。。无法长远。
Explorare
2017-01-10 13:59:13 +08:00
@RIcter 隔壁老王未经你允许捅了你家锁,但是他说他没偷东西只是想告诉你你家锁不安全,你会感谢他么?检测、修复漏洞是安全团队的事情,别拿什么“白帽的入侵怎么能说是入侵呢,是检测”之类的可笑言论来打幌子,未经允许进行“渗透测试”行为不合法,这个前提必须先摆明了。如果是上面所说用 keepass 生成的密码造成注册失败,用户提交 issue ,我发现这个 bug 涉及到了 SQL 注入,我修复了,我告诉用户此问题已修复,感谢支持,就这。如果对方提交了一个正常用户操作不会触及的地方,反馈我,我就得考虑是否遭到非法入侵了。
Explorare
2017-01-10 14:00:44 +08:00
@youyoumarco 检测、修复漏洞是安全团队的事情。未经允许的”入侵检测“是非法行为。
Explorare
2017-01-10 14:06:48 +08:00
@raincious >>>想要让大多数人主动帮助你,你得先让别人觉得你“人不错”
我并不是说做人就要不”知恩图报“,而是特指所谓的”白帽行为“,我想大多数公司是不欢迎不请自来的“免费入侵检测”吧,需要安全防护的服务、设施自然会雇佣安全人员。
raincious
2017-01-10 14:30:33 +08:00
@Explorare

其实你给的那个链接下面有个评论已经说的比较清楚了:

> The end goal is to avoid personal or company liability

如果是公司聘用的安全人员,他们的行为其实是代表了公司的,是一种职务责任。他们自然有权利去测试系统的安全性,他们的报告自然有权利去指出惩罚制造安全问题的员工。(因为这是公司层面授权的)

而如果是一个普通用户进行了报告,则是没有授权的、没有任何约束力的。这时候这个汇报安全问题的用户很容易就站在了与整个公司对立的一面。

我上面的发帖,是想说由于“黑森林效应”的存在,当一个有着足够知识的用户在提交漏洞报告之前,他的 Second Thought 大致是如何的。
Explorare
2017-01-10 14:38:11 +08:00
@raincious 是的,这就是我想表达的意思,感谢交流。( ゚∀。)
murmur
2017-01-10 14:42:24 +08:00
乌云就这样倒下的
Explorare
2017-01-10 14:50:18 +08:00
@murmur 乌云本身我还是挺喜欢的,能免费学到不少东西,但是一部分人手伸太长了,林子大了什么鸟都有,技术好情商低不懂法。如果乌云在最显眼的地方声明「未经授权的入侵检测是违法行为」,并且及时清理违法入侵的记录,我想也不至于背锅成为众矢之的。
sammo
2017-01-10 15:35:31 +08:00
发现问题解决问题
若想解决人,先清理自家门户吧 .... 聘请了弱智来 当然会造成漏洞

即使没有路人甲发现 还会有路人甲乙丙丁 默默啃噬这些漏洞
Explorare
2017-01-10 15:51:14 +08:00
@sammo 不知道这里所说的“聘请了弱智来”是指开发?运维?还是安全?开发的话,到目前没遇到过要求精通安全攻防技术的,运维只要求有相关系统的操作经验,接受 007 工作制,安全的话我技术就不去现眼了,所以不了解具体的职位要求。
RIcter
2017-01-10 16:15:37 +08:00
@Explorare 那你既然有想法了,就别发帖出来了,引战?
Explorare
2017-01-10 16:31:09 +08:00
@RIcter 我有我的想法,但不确定对不对,我想看看别人的想法,觉得我说的不对可以提出异议,或者懒得争辩就当看见了制杖。不占理就乱扣帽子,搞个大新闻,把我批判一番?你呀,拿衣服!
levn
2017-01-10 16:53:53 +08:00
这里,公司 “须要提供相应某种安全级别的产品” 这样一个义务,还不够明确。使得用户的安全权益缺乏保障。
Explorare
2017-01-10 16:59:27 +08:00
@levn 有法律来制裁
>>>《刑法修正案(九)》第二十八条
第二百八十六条之一 网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
​(一)致使违法信息大量传播的;
​(二)致使用户信息泄露,造成严重后果的;
​(三)致使刑事案件证据灭失,情节严重的;
​(四)有其他严重情节的。

​单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。

​有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
levn
2017-01-10 17:13:25 +08:00
@Explorare 没达到这种水平的损失能保护吗

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/333501

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX