您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给谢幺
发送

0

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

本文作者:谢幺 2017-05-02 21:08
导语:只有从双方都认同的规则出发,才可能发生冲突时达成一致。

世界上的许多冲突,归根结底就四个字:认知差异。打个比方:

小张他女朋友说该换裙子了,小张以为她嫌天气太热,而女友想的却是“又该买新裙子了”。

面对同一个事情,认知的不同导致了角度、观点的不对称,由此引发冲突。这种认知差异的怪圈,存在于每个人的身上,哪怕是看起来无所不能的黑客也无法逃脱。而且,当认知差异发生在黑客身上,事情变得更加有趣。

安全众测平台漏洞盒子的负责人曾裕智向雷锋网讲述了他看到的,黑客遭遇的认知差异。

认知差异一:漏洞还是 BUG?

程序员通常喜欢把程序出现的所有问题统称为“Bug”,无论是编程问题、逻辑问题,还是设计问题。然而,每个人对 Bug 的认知不同,便产生了认知差异。

曾裕智为雷锋网编辑讲了一个真实案例:

一个公司开发的 APP 具备发送短信验证码的功能,它的流程是“输入手机号并确认 → 收到短信验证码 → 填入验证码 → 验证完成。” 整个短信验证流程很完整,在开发者眼里,没有任何 “BUG”

然而这世上却有种叫“短信轰炸机”的东西,攻击者可以通过大量重复调用APP的短信接口来对某一个号码实施“短信轰炸”。于是,在黑客的眼里,这个流程有“BUG”,因为他没有对短信轰炸问题做处理。

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

▲短信轰炸器截图,图片来自网络

这就是开发者和黑客的典型认知差异,前者看重逻辑和预期,后者看重可能性和危害。

漏洞盒子作为一个漏洞众测平台,站在企业和白帽子的中间,他们需要借助民间白帽子黑客(安全测试人员)的力量来帮助企业发现安全漏洞,便注定每天面对无数类似的认知差异。

不过他们找到了一个解决思路:明确定义和规则。他们知道,当双方产生认知差异时,只有从双方都认同的定义和规则出发,才可能达成最后的一致。

他们把“安全漏洞”定义为“可能对业务造成不良影响或损失的缺陷,一旦处理不当就可能引发安全事件和安全事故。”。这和安全行业通用的定义,也是双方都认同的。

按照这样的定义,上文案例中的问题就不难处理。企业的 APP 一旦被攻击者短信轰炸,轻则造成短信资源浪费,重则引起大量用户投诉,导致短信接口屏蔽被电信运营商屏蔽,造成业务中断。因此,短信接口没有做防攻击处理,应该视为“安全漏洞”。

“最后双方达成一致,APP开发者对短信验证码接口加入了验证码,并且对短信次数进行了限制,从而降低了被利用于短信轰炸的风险。”曾裕智说,这其中最重要的一点,就在于对安全漏洞及安全事件的定义。

认知差异二:白帽子,黑客,还是安全专家?

漏洞盒子首页上有句这样的话:

漏洞盒子是一个互联网安全测试平台,它的模式是众包全球各地的网络安全专家,让他们在平台上去为企业解决各种各样的网络安全问题。

这句话里的“安全专家”,指的是白帽子(善意的黑客)。但漏洞盒子更愿意称他们为“网络安全专家”而非“白帽子”或“黑客”,因为人们黑客这个词本身就存在认知偏差。

黑客是什么?有人觉得它具有褒义,只有技术高超的人才有资格叫黑客;有人觉得黑客带有贬义,他们喜欢利用技术来搞破坏和恶作剧;而更常规的解释则是一个中性词,意为“精通电子计算机技术的人”。

对“黑客”的认知差异体现在漏洞平台上,最直接的体现就是厂商无法彻底摆脱对白帽子的忌惮,他们担心所谓“安全专家”会在测试漏洞时做一些坏事,拖走他们的数据库、泄露商业隐私等等。

这一点和网约车非常相似,3年前,网约车乘客遭遇司机不法侵害的事件偶有发生,许多漂亮姑娘不敢用打车软件,因为在许多人的认知当中,网约车的前身就是不安全的“黑车”。“安全专家”的前身终究还是黑客。

网约车解决这个问题的方法是“明确规则”,比方说对司机进行实名认证。而漏洞盒子解决认知差异问题的方法也是明确规则。曾裕智告诉雷锋网,漏洞盒子主要从三个方面对交易过程进行严格的风险控制:

  • 对象风控:是指平台会实名制测试人员的身份,同时也校验企业的资质 ——即打车之前先实名登记司机和乘客身份。


  • 过程风控:是指平台会提供网络镜像流量、VPN等,确保审计测试人员的行为 —— 即乘车时在车里安装一个行车记录仪。


  • 结果风控:是指通过法律协议,严禁“白帽子”对外透露测试过程和结果的任何细节。—— 即签约不允许透露乘客信息。

如今网约车已经成为许多人生活的一部分,这在某种程度上得益于规则的完善。同样基于共享模式的“安全众测”,未来或许也会在不断完善的规则之下,逐渐被更多的人所接受。

认知差异三:高危漏洞,还是低危漏洞?

曾裕智告诉雷锋网,在漏洞盒子的平台上进行安全检测,一开始不用支付任何费用。检测结束之后,平台会按照漏洞数量和危害级别计费,没有发现问题一分钱也不用付,即所谓的“按效果付费。”

这将导致了另一个认知差异:既然按效果付费,效果好不好,谁说了算?

曾经有这么个段子,一家餐厅做关于菜品价格的问卷调查,结果价格一降再降,顾客依然在问卷里表示“太贵”,老板很郁闷,明明自家菜价比别家低很多,为什么顾客还觉得贵?一名服务员点醒他:这世上哪有嫌便宜的?就算你免费赠送,也会有人想让你倒贴钱。

同样的道理,让企业来评定安全效果,永远都是“不够好”,让测试人员来评定,永远都“很好”。

曾裕智告诉雷锋网,解决办法依然在于“双方都认同的定义和规则”。正因如此,漏洞盒子在漏洞价值评定上采用国际公认的漏洞评级标准 CVSS 。

据雷锋网了解,CVSS标准由安全组织 FIRST 管理。这个组织来头相当大,主要成员是各国的国家应急响应中心以及谷歌、苹果这样的行业巨头,国内仅有华为、中兴两家是企业成员。CVSS 漏洞标准在行业内具有相当高的权威性。

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

▲CVSS标准示意图 ,图片来源漏洞盒子官网

无独有偶,此前美国知名的漏洞平台 Hacker one 的首席运营官(COO) 王宁向雷锋网编辑透露,他们也曾遭遇过因漏洞鼓励计划没写明确,造成白帽子和企业双方的误解。

就在 2017年3月中旬,雷锋网得知, Hacker one 也开始放弃他们原本自己制定的漏洞分级评定标准,不断向 CWE、CVSS 等行业通用标准靠拢。今年五月份, Hacker one 将发布美国国防部推出“黑掉美国空军”漏洞奖励项目,鼓励黑客们来漏洞平台黑掉美国国防部。

Hacker one 能够得到国防部的信赖,相信其中的一大原因就在于其规则的公认性。

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

▲“黑掉空军”宣传海报

黑客与规则,说起来其实挺有趣的。在雷锋网编辑眼里,黑客通常是打破规则,不受约束的角色,而像漏洞盒子这样漏洞平台的出现,又恰恰要为黑客提供一套规则,让他们遵循平台的规则行事。或许未来“黑客”这个词会越来越少用,而更多出现在我们眼中的将是“网络安全专家”。又或者,关于黑客是否“喜欢打破规则,不受约束”的话题,同样存在认知差异。

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

编辑

关注网络安全、黑客、白帽子那些事, 欢迎来聊聊你的故事。
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说