VR中的白帽機制,這把安全的雙刃劍應(yīng)該如何使用?

責任編輯:editor006

2016-07-08 16:54:42

摘自:VR日報

白帽與黑客相對,簡單來說白帽就是未受聘用的網(wǎng)絡(luò)安全管理員,有點類似于俠盜羅賓漢。從科技巨頭的作為看來,白帽機制雖然有一定的隱私隱患,但只需稍加引導(dǎo)就能作為虛擬現(xiàn)實程序安保中的重要一環(huán)。

白帽與黑客相對,簡單來說白帽就是未受聘用的網(wǎng)絡(luò)安全管理員,有點類似于俠盜羅賓漢。而所謂的白帽機制,即利用白帽黑客來挖掘程序系統(tǒng)中漏洞的一種形式。

Facebook、微軟,Google目前都有自己與VR相關(guān)的白帽機制,主要手法就是將程序的查錯權(quán)力放開,借助在野的VR專家來協(xié)助修補漏洞。包括MR相關(guān)的操作系統(tǒng)Windows Holographic和移動VR平臺Daydream,它們都被劃定在漏洞獎勵范圍之內(nèi),而Facebook Bug Bounty計劃也將影響到Rift程序的安全等級。

但在去年12月,白帽黑客袁煒通過烏云網(wǎng)將網(wǎng)站漏洞提交給世紀佳緣之后,卻因為這項行為而遭到逮捕,其主要原因可能是涉及到了SQLmap的使用。SQLmap除了檢測漏洞的功能之外還能對漏洞進行利用,這也表現(xiàn)出某些企業(yè)對于白帽黑客觸及隱私的深深憂慮。

白帽機制雖然在一方面整合了資源,提高了自身程序漏洞的填補能力,加強了安全等級,但另一方面又缺乏系統(tǒng)的白帽群體約束規(guī)則,他們在修補漏洞的同時也可能因由各種原因?qū)ο到y(tǒng)造成威脅破壞,是一把雙刃劍。

不過,從科技巨頭的作為看來,白帽機制雖然有一定的隱私隱患,但只需稍加引導(dǎo)就能作為虛擬現(xiàn)實程序安保中的重要一環(huán)。

·白帽黑客對VR系統(tǒng)的安全有很大的積極意義

微軟和谷歌的白帽機制早在2005年就得以建立,他們先后設(shè)立了SRC應(yīng)急響應(yīng)機制,鼓勵全球的白帽黑客能夠協(xié)助自己一同建立安全防線。國內(nèi)企業(yè)起步較晚,直到2012年騰訊才開啟了漏洞收集平臺TSRC(騰訊安全反饋中心),但我們?nèi)匀豢梢钥吹桨酌睓C制已經(jīng)初見成效。

Facebook的Bug Bounty計劃截止到2015年已經(jīng)發(fā)現(xiàn)了2400個漏洞,僅2015一年內(nèi)就有210位白帽反饋的526單漏洞獲得審核。除此之外,微軟在今年上半年總共收到了124個程序漏洞信息,Adobe、蘋果和谷歌則認證了485個漏洞反饋。

這些漏洞的發(fā)現(xiàn)者包括世界各地的網(wǎng)絡(luò)安全提供商,也存在一些在野的白帽黑客。Facebook的一份報告表示,XSS和CSRF形式的跨站攻擊已經(jīng)開始減少,他們的漏洞主要集中在系統(tǒng)的邏輯上而非技術(shù)上,這也是自身的安全團隊很難發(fā)現(xiàn)的問題。此外,得益于白帽機制的推行,大部分漏洞在測試階段就能獲得填補。

而白帽提交的漏洞報告也越來越趨向于成熟,非關(guān)鍵性漏洞的舉報頻次逐年降低,在報告中通常還會附帶一些可能發(fā)生的攻擊手段,這也是大環(huán)境技術(shù)上升的一種表現(xiàn)。

無論如何,白帽機制是一種集思廣益的作法,獨立的安全團隊很難發(fā)現(xiàn)程序中的盲點,這個盲點在VR系統(tǒng)中更為致命。主流VR設(shè)備往往需要針對性的開發(fā)一套新系統(tǒng),這些技術(shù)的發(fā)展在目前來看遠未成熟,漏洞存在的可能性更高。從Oculus Rift系統(tǒng)的拆包信息來看,Oculus正在努力研發(fā)一個內(nèi)置的保護程序,而這個程序還在跟隨版本不斷迭代。

再者,一旦VR系統(tǒng)涉及到用戶個人信息的記錄,將不僅限于簡單的賬戶密碼。還會牽扯到人們使用VR頭顯的動作習慣,聯(lián)網(wǎng)中具體的地理位置,無屏VR則與智能手機中的信息強相關(guān)。

白帽機制在一定程度上加大了漏洞發(fā)現(xiàn)的可能,盡早的填補則是保障網(wǎng)絡(luò)安全的重中之重。而廠商也可以通過這個手段來均攤成本,一方面懸賞漏洞的成本比挽回事故的成本要低得多,另一方面也能降低安全團隊的組成成本。

·白帽機制又存在一定的安全隱患

從白帽黑客袁煒被捕的事件可以看出,白帽機制也存在一定的安全隱患。SQLmap的使用對系統(tǒng)來說具有兩面性,而白帽在獲得漏洞資料之后也有可能進行二次泄露,從而對程序和網(wǎng)絡(luò)安全造成損害。

國內(nèi)的法律規(guī)定,對于不涉及商業(yè)、科研和國家安全的計算機信息系統(tǒng),如果只是侵入,沒有進行破壞和篡改或者牟利等行為的,不構(gòu)成犯罪。但這個法規(guī)的判定不太嚴謹,白帽黑客隨時可以采取取巧的手法繞過監(jiān)管,而對于程序安全的保障幾乎全靠個人在道德上的自律。

這又引申出另一個問題,從嚴格意義上來說白帽的劃分標準是相當模糊的。最近這幾年出現(xiàn)的激進駭客(Hacktivist)則介乎白帽與黑客之間,以“匿名者(Anonymous)”這個組織為例,他們有著自己的一套正義法則。

在2002年前后,Anti-Sec社區(qū)中就有一類人,他們在白天上班的時間內(nèi)專注于網(wǎng)絡(luò)和系統(tǒng)安全的相關(guān)事宜,回到家后又開始從事黑客的工作。2011年10月,匿名者(Anonymous)攻擊了40個與兒童色情相關(guān)的網(wǎng)站,并將1500位訪客的個人信息公之于眾,這種行為也許在某種程度上是合乎道義的,但他們也確實觸犯了法律。

相比之下,VR領(lǐng)域中也存在類似的“灰色地帶”,VR情色一直被人們所津津樂道,這其中也包含了一些不能搬上臺面的合法內(nèi)容。白帽在某種條件的促使下將會拿不準行事的標準,從而對合法內(nèi)容展開相應(yīng)的攻擊,進而侵犯他人的隱私。

·白帽機制可以引入安全體系,但需要相關(guān)規(guī)則的約束

僅僅依靠白帽自身的道德約束是不夠的,要完善整個體系需要有相關(guān)規(guī)則的制定。常規(guī)的方法就是增加獎勵機制,讓“做好事”的受益程度大于“做壞事”的受益程度。

谷歌在不久之前的一份聲明中闡述,他們在6年間總共對漏洞的發(fā)現(xiàn)者回饋了約600萬美元的賞金,僅2015年內(nèi)就給300多位白帽頒發(fā)了200萬美元的獎金。在將漏洞的審查范圍擴展到Android和iOS平臺之后,VR平臺則是Google的下一個目標,去年最高的獎金數(shù)額為37500美元,而這個數(shù)字還在不斷的上升。

微軟和Facebook在白帽的酬勞設(shè)置上也顯得十分慷慨,微軟在去年將獎金的數(shù)額翻了一倍,表示一個漏洞的反饋最多能獲得10萬美元的獎勵,而Facebook從2011年至今也已發(fā)放了430萬美元的查錯獎勵了。

除了加大獎勵金額外,企業(yè)在不同領(lǐng)域也應(yīng)該設(shè)置相應(yīng)的白名單。如若是針對虛擬現(xiàn)實領(lǐng)域,就面向VR方面相關(guān)的白帽開放部分程序的入口,這樣一方面能加大查錯的范圍,另一方面又能確保點對點的正確性。

白名單的設(shè)置也應(yīng)該引入一些信用標準,只對通過驗證的白帽發(fā)放。例如規(guī)定白帽曾經(jīng)提交過數(shù)個相關(guān)的規(guī)范漏洞報告,或是在業(yè)界積累了一定的口碑。Facebook的政策也許能夠作為一個參考,他們直接向白帽發(fā)放Visa借記卡,只要他們匯報的漏洞得以確認,獎勵就會直接發(fā)放到借記卡中。

Facebook安全響應(yīng)團隊經(jīng)理Ryan McGeehan表示,有了這種獨立的黑客卡,白帽黑客的變現(xiàn)速度更快且更隱蔽。而這種借記卡的存在,也相當于一種變相的白名單體系,目前已經(jīng)有81個安全人員得到了Facebook的Visa借記卡。

白帽黑客作為駭客范疇內(nèi)最具約束力和自制力的團體,在技術(shù)和道德上都起到了先驅(qū)模范作用,并非是應(yīng)該泯滅的對象。白帽的初衷都是為了分享知識和交流解決問題,而整個互聯(lián)網(wǎng)科技領(lǐng)域不應(yīng)該由于個人的變味從而否定整個社群。在一定規(guī)則的引導(dǎo)下,白帽機制能為VR領(lǐng)域甚至整個科技領(lǐng)域帶來可觀的收益。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號