山东热线 - 山东地区最专业的新闻资讯网站!
当前位置: 主页 > 国际新闻 > 互联网资讯 爱打破规则的黑客需要遵守什么规则? | 专访漏

爱打破规则的黑客需要遵守什么规则? | 专访漏

发布时间: 2017-05-08 10:13:17 来源: 作者:
只有从双方都认同的规则出发,才可能发生冲突时达成一致。

世界上的许多冲突,归根结底就四个字:认知差异。打个比方:

小张他女朋友说该换裙子了,小张以为她嫌天气太热,而女友想的却是“又该买新裙子了”。

面对同一个事情,认知的不同导致了角度、观点的不对称,由此引发冲突。这种认知差异的怪圈,存在于每个人的身上,哪怕是看起来无所不能的黑客也无法逃脱。而且,当认知差异发生在黑客身上,事情变得更加有趣。

安全众测平台漏洞盒子的负责人曾裕智向小编讲述了他看到的,黑客遭遇的认知差异。

认知差异一:漏洞还是 BUG?

程序员通常喜欢把程序出现的所有问题统称为“Bug”,无论是编程问题、逻辑问题,还是设计问题。然而,每个人对 Bug 的认知不同,便产生了认知差异。

曾裕智为小编()编辑讲了一个真实案例:

一个公司开发的 APP 具备发送短信验证码的功能,它的流程是“输入手机号并确认 → 收到短信验证码 → 填入验证码 → 验证完成。” 整个短信验证流程很完整,在开发者眼里,没有任何 “BUG”

然而这世上却有种叫“短信轰炸机”的东西,攻击者可以通过大量重复调用APP的短信接口来对某一个号码实施“短信轰炸”。于是,在黑客的眼里,这个流程有“BUG”,因为他没有对短信轰炸问题做处理。

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

▲短信轰炸器截图,图片来自网络

这就是开发者和黑客的典型认知差异,前者看重逻辑和预期,后者看重可能性和危害。

漏洞盒子作为一个漏洞众测平台,站在企业和白帽子的中间,他们需要借助民间白帽子黑客(安全测试人员)的力量来帮助企业发现安全漏洞,便注定每天面对无数类似的认知差异。

不过他们找到了一个解决思路:明确定义和规则。他们知道,当双方产生认知差异时,只有从双方都认同的定义和规则出发,才可能达成最后的一致。

他们把“安全漏洞”定义为“可能对业务造成不良影响或损失的缺陷,一旦处理不当就可能引发安全事件和安全事故。”。这和安全行业通用的定义,也是双方都认同的。

按照这样的定义,上文案例中的问题就不难处理。企业的 APP 一旦被攻击者短信轰炸,轻则造成短信资源浪费,重则引起大量用户投诉,导致短信接口屏蔽被电信运营商屏蔽,造成业务中断。因此,短信接口没有做防攻击处理,应该视为“安全漏洞”。

“最后双方达成一致,APP开发者对短信验证码接口加入了验证码,并且对短信次数进行了限制,从而降低了被利用于短信轰炸的风险。”曾裕智说,这其中最重要的一点,就在于对安全漏洞及安全事件的定义。

认知差异二:白帽子,黑客,还是安全专家?

漏洞盒子首页上有句这样的话:

漏洞盒子是一个互联网安全测试平台,它的模式是众包全球各地的网络安全专家,让他们在平台上去为企业解决各种各样的网络安全问题。

这句话里的“安全专家”,指的是白帽子(善意的黑客)。但漏洞盒子更愿意称他们为“网络安全专家”而非“白帽子”或“黑客”,因为人们黑客这个词本身就存在认知偏差。

黑客是什么?有人觉得它具有褒义,只有技术高超的人才有资格叫黑客;有人觉得黑客带有贬义,他们喜欢利用技术来搞破坏和恶作剧;而更常规的解释则是一个中性词,意为“精通电子计算机技术的人”。

对“黑客”的认知差异体现在漏洞平台上,最直接的体现就是厂商无法彻底摆脱对白帽子的忌惮,他们担心所谓“安全专家”会在测试漏洞时做一些坏事,拖走他们的数据库、泄露商业隐私等等。

这一点和网约车非常相似,3年前,网约车乘客遭遇司机不法侵害的事件偶有发生,许多漂亮姑娘不敢用打车软件,因为在许多人的认知当中,网约车的前身就是不安全的“黑车”。“安全专家”的前身终究还是黑客。

网约车解决这个问题的方法是“明确规则”,比方说对司机进行实名认证。而漏洞盒子解决认知差异问题的方法也是明确规则。曾裕智告诉小编,漏洞盒子主要从三个方面对交易过程进行严格的风险控制:

  • 对象风控:是指平台会实名制测试人员的身份,同时也校验企业的资质 ——即打车之前先实名登记司机和乘客身份。
  • 过程风控:是指平台会提供网络镜像流量、VPN等,确保审计测试人员的行为 —— 即乘车时在车里安装一个行车记录仪。
  • 结果风控:是指通过法律协议,严禁“白帽子”对外透露测试过程和结果的任何细节。—— 即签约不允许透露乘客信息。

如今网约车已经成为许多人生活的一部分,这在某种程度上得益于规则的完善。同样基于共享模式的“安全众测”,未来或许也会在不断完善的规则之下,逐渐被更多的人所接受。

认知差异三:高危漏洞,还是低危漏洞?

曾裕智告诉小编,在漏洞盒子的平台上进行安全检测,一开始不用支付任何费用。检测结束之后,平台会按照漏洞数量和危害级别计费,没有发现问题一分钱也不用付,即所谓的“按效果付费。”

这将导致了另一个认知差异:既然按效果付费,效果好不好,谁说了算?

曾经有这么个段子,一家餐厅做关于菜品价格的问卷调查,结果价格一降再降,顾客依然在问卷里表示“太贵”,老板很郁闷,明明自家菜价比别家低很多,为什么顾客还觉得贵?一名服务员点醒他:这世上哪有嫌便宜的?就算你免费赠送,也会有人想让你倒贴钱。

同样的道理,让企业来评定安全效果,永远都是“不够好”,让测试人员来评定,永远都“很好”。

曾裕智告诉小编,解决办法依然在于“双方都认同的定义和规则”。正因如此,漏洞盒子在漏洞价值评定上采用国际公认的漏洞评级标准 CVSS 。

据小编了解,CVSS标准由安全组织 FIRST 管理。这个组织来头相当大,主要成员是各国的国家应急响应中心以及谷歌、苹果这样的行业巨头,国内仅有华为、中兴两家是企业成员。CVSS 漏洞标准在行业内具有相当高的权威性。

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

▲CVSS标准示意图 ,图片来源漏洞盒子官网

无独有偶,此前美国知名的漏洞平台 Hacker one 的首席运营官(COO) 王宁向小编编辑透露,他们也曾遭遇过因漏洞鼓励计划没写明确,造成白帽子和企业双方的误解。

就在 2017年3月中旬,小编得知, Hacker one 也开始放弃他们原本自己制定的漏洞分级评定标准,不断向 CWE、CVSS 等行业通用标准靠拢。今年五月份, Hacker one 将发布美国国防部推出“黑掉美国空军”漏洞奖励项目,鼓励黑客们来漏洞平台黑掉美国国防部。

Hacker one 能够得到国防部的信赖,相信其中的一大原因就在于其规则的公认性。

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

▲“黑掉空军”宣传海报

黑客与规则,说起来其实挺有趣的。在小编编辑眼里,黑客通常是打破规则,不受约束的角色,而像漏洞盒子这样漏洞平台的出现,又恰恰要为黑客提供一套规则,让他们遵循平台的规则行事。或许未来“黑客”这个词会越来越少用,而更多出现在我们眼中的将是“网络安全专家”。又或者,关于黑客是否“喜欢打破规则,不受约束”的话题,同样存在认知差异。

,。

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

  • 关键词浏览:
  • 2022第九季 SIUF国际超模大赛总决赛在深圳举行
  • 8月12日晚,“心衣天使内衣超模”2022第九季SIUF国际超模大赛总决赛在深圳会展中心举行。当晚,13号选手周家圻夺得冠军,1号选手张珊梦夺得亚军,29号选手褚晓雯夺得季军。...

  • 秦怡去世:百岁百件事,致敬这不凡的美丽人生
  • 2022年1月31日,演员秦怡100周岁的生日。这位承载了几代人记忆的老艺术家,正式从“90后”晋升“00后”行列。...

  • 借“医”行诈国家医保基金,这家取名“民泰”的医院被端了!
  • 如果不是警方找上门,23岁的杨某并不知道,2018年底到2019年7月间,“自己”在四川省达州市宣汉县民泰医院住了五次院,共32天,医保报销12831.5元。...

  • 北京证券交易所来了(财经眼)
  • 9月2日,习近平主席在2021年中国国际服务贸易交易会全球服务贸易峰会上提出“我们将继续支持中小企业创新发展,深化新三板改革,设立北京证券交易所,打造服务创新型中小企业主阵地”。...

  • 选手确诊、丑闻不断,东京奥运会“混乱中”即将开幕
  • 如无意外,23日,东京奥运会将迎来延迟一年后的正式开幕。然而,奥运相关人员确诊病例数仍不断增加。...

  • 刚上市就爆火!“1瓶能顶4张面膜”的玻尿酸气泡水,是智商税还是美颜水?
  • 花点小钱真就能抚平皱纹、抵抗衰老、重返十八?吃着零食喝着水也能变漂亮的口服玻尿酸方法真的靠谱吗?...

  • 部分商家宣称护眼仪能让孩子告别眼镜 专家提醒:真性近视不可逆,科学用眼更重要
  • 随着电子产品越来越普及,电脑、智能手机、平板电脑等电子产品已逐渐成为孩子手中的“掌中宝”。...

  • 四名大学生高铁上抢救婴儿 其中三人来自湖北
  • 昨日,一篇暖文火遍全网——飞驰的列车上,4名医学生成功救回一名被食物卡住呼吸道的婴儿。...

  • 谨防洗手间“伏地魔”!男子洗手间内跪地偷窥,当事女子录下视频
  • 小张拍摄的视频显示,洗手间内一名男子趴伏下身子,头部已经快贴到地面上,尝试从缝隙处偷窥如厕。...

  • 乳房健不健康,5点就可判断!女人别太晚知道
  • 说到妇科疾病,必然逃不掉的是乳腺疾病,不管已婚还是未婚,女人都有可能被乳腺疾病盯上。...

    特别推荐