摘要 : 之所以黑客大行其道,主要還是利益相關(guān),如果在將來,能夠讓白帽子的收入達(dá)到甚至超過黑客,對(duì)于整個(gè)網(wǎng)絡(luò)安全環(huán)境都是一件功德無量的事情。
這幾天的北京格外冷,據(jù)說還要有一股弱冷空氣來襲,這種情景與許多公司的心情十分契合。本周,有白帽子發(fā)布消息稱,智聯(lián)招聘存在安全漏洞,并已經(jīng)造成86萬份用戶簡(jiǎn)歷信息泄露。而就在12月4日,白帽子“路人甲”提交了一個(gè)名為“東方航空大量用戶訂單信息泄露”的漏洞,危害等級(jí)為高。加上今年上半年,攜程資料泄露事件,漏洞問題幾乎成了大部分網(wǎng)站的隱患。
不過,上述幾家公司在漏洞曝光之后,都及時(shí)做出了回應(yīng),比如,智聯(lián)招聘表示,漏洞中曝出的 IP 地址歸是一家新興招聘網(wǎng)站,被泄露信息的并不是智聯(lián)招聘的用戶。關(guān)于這份聲明,實(shí)際上一直爭(zhēng)議不斷,針對(duì)這一問題有不少討論。不過,在技術(shù)專家360網(wǎng)站安全總監(jiān)趙武看來,這個(gè)爭(zhēng)論實(shí)際上是白帽子的技術(shù)語言與商業(yè)語言的無法契合導(dǎo)致的。
漏洞的定義有所不同
數(shù)據(jù)顯示,2013年,國(guó)內(nèi)有超過95%的網(wǎng)站存在安全漏洞,40%的網(wǎng)站被植入后門,這些數(shù)據(jù)表明,幾乎所有網(wǎng)站都可能有漏洞,這個(gè)問題是長(zhǎng)期存在的。為了保護(hù)網(wǎng)站安全,部分大公司建立了SRC(安全應(yīng)急響應(yīng)中心),能夠發(fā)動(dòng)全網(wǎng)白帽子為企業(yè)提交漏洞。但是,大部分企業(yè)沒有建立SRC。但這些企業(yè)對(duì)安全隱患是心知肚明的,它們當(dāng)然不想問題暴露,所以問題的關(guān)鍵在于,企業(yè)如何與發(fā)現(xiàn)漏洞的白帽子進(jìn)行溝通。之所以還會(huì)出現(xiàn)類似攜程、智聯(lián)招聘等公司的問題,主要有兩個(gè)原因。
第一,白帽子發(fā)現(xiàn)漏洞后遞交時(shí)存在顧慮。360網(wǎng)站安全總監(jiān)趙武表示,刑法修正案有一項(xiàng)規(guī)定,如果安全人員獲取了敏感信息或提供了安全工具,有可能觸犯刑法。所以,當(dāng)白帽子找到了網(wǎng)站的漏洞,由于涉嫌觸犯刑法,白帽子會(huì)考慮要不要告訴企業(yè)。而此前,有過這樣的案例,當(dāng)白帽子告知企業(yè)網(wǎng)站存在漏洞時(shí),廠商直接報(bào)警抓人。因此,白帽子不敢將漏洞報(bào)告給企業(yè),隱患最終爆發(fā)也就很常見了。
第二,企業(yè)對(duì)漏洞的定義存在誤區(qū)。即便企業(yè)能夠接受白帽子提供的漏洞,在趙武看來,雙方對(duì)漏洞嚴(yán)重程度的評(píng)估存在分歧。對(duì)企業(yè)來說,某個(gè)漏洞也許不涉及核心部分,也就不嚴(yán)重。但在技術(shù)人員看來,這一漏洞存在很大的隱患,通過此漏洞侵入網(wǎng)站核心部分是很容易的。雙方在定級(jí)方面存在分歧,一旦談不攏,漏洞很有可能會(huì)被曝光。
綜上所述,如果沒有SRC,企業(yè)與白帽子溝通起來是很困難的,對(duì)雙方來說,都存在一定的風(fēng)險(xiǎn),需要有一個(gè)中間方協(xié)調(diào)二者的關(guān)系。
平臺(tái)作用:讓技術(shù)語言與商業(yè)語言契合
在趙武看來,如果能像大企業(yè)一樣,為其他企業(yè)建立SRC,有兩個(gè)優(yōu)點(diǎn),一是能夠讓企業(yè)變被動(dòng)為主動(dòng),主動(dòng)發(fā)現(xiàn)網(wǎng)站的漏洞;二是有助有建立長(zhǎng)效機(jī)制,保證企業(yè)避免受到攻擊。在這種情況下,360成立了補(bǔ)天平臺(tái)。
補(bǔ)天平臺(tái)主要的作用是幫助企業(yè)建立SRC(安全應(yīng)急響應(yīng)中心),建立起廠商與白帽子之間的橋梁,最大程度避免企業(yè)由于安全漏洞遭受損失,讓白帽子獲得收益。在趙武看來,這樣可以保證白帽子與企業(yè)的利益。
第一,白帽子能夠獲得收益,增加動(dòng)力。補(bǔ)天平臺(tái)可以建立一個(gè)有效的機(jī)制,企業(yè)為白帽子找到的漏洞支付報(bào)酬,發(fā)現(xiàn)漏洞的白帽子則將獲得與辛勞相匹配的物質(zhì)獎(jiǎng)勵(lì),這樣一來,白帽子就會(huì)更有動(dòng)力。據(jù)趙武透露,有白帽子通過找漏洞,一個(gè)周可以拿到幾千塊錢,這對(duì)白帽子來說是一個(gè)相當(dāng)大的激勵(lì)。如果白帽子與企業(yè)對(duì)漏洞的定性依然存在問題,那么補(bǔ)天平臺(tái)會(huì)作為調(diào)停方進(jìn)行協(xié)調(diào),平臺(tái)的作用就發(fā)揮了出來。
第二,漏洞不會(huì)公開,防止被競(jìng)爭(zhēng)對(duì)手利用。將漏洞毫無保留地公布,很有可能會(huì)被競(jìng)爭(zhēng)對(duì)手和黑客利用,導(dǎo)致企業(yè)遭受到輿論壓力,面臨更大的被攻擊的風(fēng)險(xiǎn)。而在補(bǔ)天平臺(tái)上,除了漏洞發(fā)現(xiàn)者和相關(guān)企業(yè)之外,所有其他人員均不能看到漏洞相關(guān)細(xì)節(jié),企業(yè)便可以安心修補(bǔ)漏洞。
綜合來看,補(bǔ)天平臺(tái)能夠兼顧網(wǎng)站站長(zhǎng)、白帽子和第三方建站程序廠商的共同利益。便可以讓技術(shù)的“驢唇”和商業(yè)的“馬嘴”對(duì)上。
寫在最后:
攜程、智聯(lián)招聘等網(wǎng)站是無辜的,因?yàn)闆]有百分之百的安全,總會(huì)不斷有漏洞出現(xiàn)。關(guān)鍵在于這個(gè)漏洞是被誰發(fā)現(xiàn)的,如何協(xié)調(diào)的。如果協(xié)調(diào)地順利,事情便不會(huì)發(fā)酵,企業(yè)利益也就能夠保障。
關(guān)于網(wǎng)絡(luò)安全,趙武表示,“希望能讓白帽子將愛好變成職業(yè)”。目前來看,之所以黑客大行其道,主要還是利益相關(guān),如果在將來,能夠讓白帽子的收入達(dá)到甚至超過黑客,對(duì)于整個(gè)網(wǎng)絡(luò)安全環(huán)境都是一件功德無量的事情。