知乎:如何看待白帽子在乌云网提交世纪佳缘网漏洞后被抓?

“非常感谢提交漏洞和对XXXX的支持,我们已第一时间将漏洞修复完毕,并抓捕了你”。看过这么一句话,你会不会莞尔一笑?对了,还有一条表情包的内容是这样的“我有乌云保护,日你网站怎么了,不仅日你网站还拖你裤子……怎么了”。大家又乐呵了一把。

昨天一条信息引爆了国内的信息安全行业,某厂商报案把某平台上一个提交漏洞的技术人员给抓了,行业两派的争议不断,互相鄙视,程度远远超过了当年Windows阵营对Mac阵营。“白帽子”派(我们姑且这么叫)是说厂商太无耻,我们好心给你们提漏洞,你们居然敢这么对我们,你们要像其他厂商学习,人家不只快速修复,还有奖励;“亲厂商”派说你们明确触犯了刑法,未得到授权,泄露了信息,把一个单纯的技术漏洞硬是利用到了公关层面,公开数据公开细节,对企业造成了极大的负面影响。

我并不想就本身的事件进行任何的重复,我码这段文字是因为我发现大家没有意识到,要争论的根本问题是什么。白帽子和漏洞平台到底想要达到什么样的诉求,厂商到底想要达到什么样的诉求,以及最终能通过什么样的渠道去解决。

大家喜欢用一句话来说明问题“不忘初心,方得始终”,这似乎是一把尚方宝剑,放到哪都能用,都是权威,说了这句话我们就无敌了,任何伤害反弹。好吧,我们按照这个思路来说明一下问题。漏洞平台的初衷和白帽子的初衷是什么?我暂且先用这么一句话来代表白帽子描述“我们有着足够强大的技术力量能够帮助企业发现问题,并协助企业解决问题。也希望企业能够信任我们,支持我们的行为。我们并不求任何回报,不过有一定的回报我相信我们能配合的更深入更好。

我觉得这个初心没有任何问题,这个社会一定有很多人心存善意,愿意打造一个和谐互助的环境。但是一个巨大的拦路虎在哪里:刑法两次的修正案都明确定性了,未授权入侵检测,获取了数据,尤其是在传播的情况下明确属于违法行为。这些条文大家能看出来,防君子不防小人。一个国家需要这么一批有能力的人,但是又不希望是完全不可控的,所以立了法,没有伤害没人追究就持观望态度,一旦事情闹大有了负面影响,不打击是不可能的了。

任何一个个体抗风险能力为0,你的善心在尚未得到验证之前是不被认可的,说抓也就抓了。于是出现了一些漏洞平台,他们有一些官方层面的认同和合作,有些事情就有了沟通渠道。这时候,白帽子群体的共同诉求开始进行了转变,他们希望“这种漏洞的发现和披露形式是合法合规且合理的”。也许掩盖了一些鱼目混杂的假白帽,但是大部分人还是希望能够往好的方向发展。

这个过程中,形式确实发生了一些变化,执法部门加入了尝试性的接触和观望态度,他们也不希望涉入太深;各企业也开始了与各漏洞平台试探性的合作。记住了,这些都是实验性质的,谁也没有对此定型善或者恶,都想先通过行业的自我发展来进行妥协和调整。

但是这种尝试性的合作前期引起了误解,最直接的体现是有少数一批白帽子们并没有认清形势的发展,突然感觉良好,认为漏洞平台的实验性质的合作就是合法,导致无限膨胀了。比如有白帽子认为不给奖励就是有问题,比如有白帽子认为厂商在技术上不认为是漏洞也是有问题,甚至是这种问题激怒了白帽子引发了“恐吓”,“脱裤”,“删数据”等过激行为(这是真实发生过的)。

前期冲突几乎是一定的,可以预见的,因为没有规则,没有权威的机构,只有民间自建的体系。记住了,所谓的和谐体系是一个初期妥协的产物,厂商对漏洞平台的所谓合作,以及对白帽子们的认同,这种微妙的合作关系非常脆弱,就如同一张窗户纸,一捅即破。如果厂商觉得白帽子的行为不可控,所谓的提交漏洞对企业弊大于利,那么企业就会反弹,撕破那张纸,向有关部门施加压力。相关部门压力积累到一定量的时候,很多事情就扛不住了,心想给你们机会不好好珍惜,闹得社会不安宁,看着心烦于是干脆一巴掌拍死得了。

我们回到最初的诉求,白帽子是希望自己的身份得到认可,希望跟企业更好的合作。企业希望看到的是你真诚的笑脸,而不希望看到你背到后面的手上拿着一把刀。尤其在这个已经明确定义为不合法的法律社会,白帽子很多事情不能做,很多玩笑不能开。你可以试想一个国家的领导人到劳苦大众中视察,满脸的笑亲切的很,但是如果一个小摊贩不识好歹,尝试跟领导人勾肩搭背做兄弟状,他离死也就不远了。领导人跟你勾肩搭背开玩笑可以,你爬到他身上就不行。

上面说的大家如果能理解,那么我们再往后走一步:目前不合法,未来能不能合法?如果未来都看不到希望,我觉得这个社会未免太黑暗了。同性恋在多少年前全球就不合法,但是到今天我们再看看,许多国家已经明确立法支持合法,很多国家虽然没有明确支持,但是也没有明确反对了,这就是进步这就是改变,这就是方向。所以,其实各大漏洞平台都在做这样的尝试:漏洞平台越来越多,接入的厂商越来越多,跟相关部门的合作月来越多,白帽子越来越多切越来越能管控自己在一个合理可控的区域,那么整个生态体系的抗风险能力就强了,它就从一个黑暗面逐步进化到台前。这难道不就是希望么?

有个观点我还想说一说,白帽子之所以发生膨胀,漏洞平台不能完全脱离干系,如果平台没有处理好跟厂商的关系,那么平台必须对真正善意白帽子做好保护工作,比如漏洞如何披露,数据如何展示。白帽子没有法律意识,漏洞平台必须有法律意识,找相关的律师事务所合作,不只是保护平台,也要保护好白帽子在做贡献的同时自身是安全的。除此之外,给白帽子进行一些规范,有所为有所不为,哪些红线不能踩一定要先沟通好。否则,收漏洞时很开心,披露时也很开心,事情闹的还挺大,出事了平台说跟我无关是不利于行业发展的。

最后,有利益的地方就有犯罪,有进步的地方就有冲突。我们不要因为一些特例来一棒子打死一个新方向的尝试,我们为任何过激行为(不论是白帽子还是厂商)表示遗憾,我们还是希望呼吁所有人正确看待白帽子们的贡献。电能电死人不代表我们就不用电,车能撞死人不代表我们就不开车,电和汽车都是科技的产物,都是人类社会进步的产物。我们应当给予适当的包容,适当的理解,适当的欣赏。

这是厂商问题 和乌云没多大关系。厂商假借送礼物向白帽索要地址,然后就报警抓人,呵呵。
来自乌云的一条队形:非常感谢提交漏洞和对世纪佳缘的支持,我们已第一时间将漏洞修复完毕,并抓捕了你.

这种事情在乌云上已经不是第一次了,在其它平台上也有类似的事情发生。就算是src,报告漏洞之后也会排查ip定性危害,如果发现白帽入侵也会采取相应手段。
法律说的很清楚,只要未授权的入侵都是非法,严格说漏扫都不行
所以你去乌云提交漏洞,就相当于将自己的犯罪证据公之于众
再说说甲方,一般甲方是特别讨厌乌云的,是特别,做过甲方的都有同感。乌云的公开行为不仅增加了公关成本,而且增加了安全隐患。例如你用sqlmap截图证明了世纪佳缘的sql注入,那至少表名字段名会公开,如果今后同站其它位置再出现sql注入,又因为安全原因无法枚举库名列名的时候,乌云可助黑产一臂之力。有时候黑产根据标题名就能猜出漏洞位置,在未修复前搞点动作。这些东西你作为一个白帽子会不知道?还有个答主竟然提什么信仰,呵呵了,你有信仰那是因为你不知道怎么合法变现,真有信仰就去补天漏洞盒子提交,对甲方友好对社会没有危害。
动不动就说xx厂商泄漏数据xx万这类标题党,这也是最让甲方反感的。我厂有个app,某日爆出一个任意用户登陆,吓尿了有没有,赶快加班有没有,漏洞详情里没有数据包没有漏洞参数,就提了一句要修改数据包,其它全是截图证明,没有任何技术细节,于是我们三个人从中午加班到晚上9点,依旧没有发现任何漏洞,后来才知道,提交者相当于直接把把请求响应数据改为其它用户id和头像,然后截图的,就好比你浏览了百度,本地在百度首页加了句hack by xx,然后就提交乌云说百度主站被黑影响xx用户。但是媒体不懂啊,竞争对手不管啊,炒啊,公关费你替我们出吗?
乌云合法吗,合法,这个早有定性。白帽子合法吗,未必。经常性地对厂商不友好,厂商反过来搞你合情合理合法。
从大局来说,乌云有节制的公开漏洞,对互联网的安全性是一种敦促,对安全人员的能力也是一种提升,你问我滋辞不滋辞,我只能忍着疼说:滋辞

作为一名乌云白帽子,我还是说一句,千万别碰数据,4400多条读了几百条数据,如果涉及敏感数据比如用户数据,这个事情是很难说的。确实从原则上说,这样做是不对的。但是厂商的行为也确实不对,因为用这种礼物的方式来查水表,我只能说,真tm无耻。这也是为什么我提漏洞是时候出来没有读过数据,因为我知道数据是一切的底线。。但是也不至于查水表。。。

首先拖数据肯定是不对的。无论是一条数据还是900条数据,只要不是你自己注册的测试账户就不要碰。这位被抓法理上也没有问题。从道义上我也不好评判。

但是我相信不会再有人去给世纪佳缘提交漏洞了。另外这公司要是组织沙龙啥的肯定也不会有人去了。

如果谁有兴趣共同建立一个安全圈厂商黑名单,私信我。

和当年微博报警抓了玩 XSS 蠕虫引起的反弹类似,现在这个反弹恐怕更大。对于厂家来说,法律当然说的过去,道义上就麻烦了,笼络人心主要靠道义。

另一个观点是:

虽然我不是什么什么帽子,但是我不反对现在各种帽子,你看到的只是个例,我看到的是游戏规则里的平衡…

————-

很多白帽子在声讨的同时,也建议多了解了解法律,法律不会因为你的声讨而妥协,白帽子要学会保护自己,以免遇到措不及防的“坑”。

讨论这种已经有明确答案的问题有意思吗?

法律明文规定任何未授权的行为都是违法行为,不管你是白帽子还是黑帽子,只要对目标网站进行未授权的检测(即便你自认为是安全测试)厂商都可以选择报警,因为你明确的违法了计算机相关法律条文。

更别说把漏洞流程、明细上报给第三方SRC,如补天,乌云等。

因为你上报了就意味着你把攻击流程写成了报告(自己给自己挖了坑)然后发到网站等着公开(实打实的证据,判你没商量)。

当然,还是鼓励各位白帽子提交漏洞的,但注意,不要碰到厂商的痛点。

执法部门要明白,如果我不发出来,我卖给黑产,我可以狠狠赚一笔,为什么,因为我有白帽子的信念。

如果我进了监狱,那白帽子这个群体谁还有信念?

首先说结论,不会担责。
1,不是拖了四千条数据,是发了四千条请求,真正拖的数据就九百多条;
2,而且这九百条不能确定是该白帽子所拖;
3,如果他判了,那就坐实了乌云是非法平台;
4,那就坐实了跟乌云合作的cert,cnvd,各测评中心都是非法机构;
5,如果他判了,世纪佳缘数据库分分钟流出。

这就是互联网安全圈的彭宇案,如果他被判了,那乌云上的人都抓了算了?
然后各地的网监、国安都可以去帮城管撵小贩了。

—-
以上建立在所述属实前提。

作为一个安全的外行人,我不评论对不对。

我只是觉得很可怕的地方在于:
先假意感谢你,要给你寄礼物,然后就把你抓了。

这等于坏了整个规矩,下次有人真心寄礼物的时候,也没人敢收了。

真是一锅老鼠屎坏了一锅粥。

利益相关:我这人非常缺乏安全感

我记得是今年二三月份还是去年,就有人进去了,乌云上的漏洞报告被用来作为证据指控那位小伙子。

这种事,要说孰对孰错,不好一概而论。从法律上来说,这的确是犯了法,但白帽子这行,其实说实在的,难免不湿湿鞋,对于不了解这行的人来说,可能会觉得这是我们在为自己犯法找借口,但其实举一个简单的例子就很能说明问题了,为什么部队里的军人需要实战练习,相互搏击,而不是对着沙袋天天锤?原因很明显,只有在最真实的环境中,才会遇到很多意想不到的问题,而攻克这些问题,才能真正使得技术得以提升,同理,安全人员如果只是拿着虚拟机测试环境在那一遍又一遍的测试的话,多半也是没什么进步的,所以我们不可避免的会接触一些实际环境,至于会不会破坏别人的系统或盗取资料,这就是一个操守的问题了。

这次这件事,我不得不说世纪佳缘这狗逼,确认了别人的漏洞,借着发礼物的名义索要住址之后却报警把人给抓了,这种行为真特么操蛋。以后hc脱你们裤子拿出来卖的时候,希望你们能报警把他们也抓了。

回过来,作为白帽子自身,也要注意自己的行为,毕竟你再有理,违法就是违法,进局子了怎么辩解都没用,sql注入多加个–start –stop,不挂黑页,不脱数据,不破坏系统,另外,对于世纪佳缘这种无良厂商,以后就别测了吧。

还有,我看见评论里一些嘲讽乌云的,送你们两个字母,“SX”,虽然我不怎么在乌云交洞,但我真特么看不惯你们这些人,在乌云学到了知识,反过来却咬乌云一口。

说句很客观的话,要不是乌云,国内不知有多少年轻白帽子正在做着HC;要不是乌云,国内的整体安全水平估计要滞后四五年;要不是乌云,你现在能看到那么多的SRC,漏洞平台,网络安全学院?

我对这个平台始终是持有敬意的,这是一个真正崇尚自由和开放的社区,剑心也是一个理想主义者,这么好的一个地方要是被你们这些人毁了,那真的是国内安全从业者最大的不幸。

对了,我收了乌云一毛钱。

他们把白帽子和厂商之间不成文的潜规则当做了道德和法律-白帽子对厂商做渗透测试,然后提交漏洞给厂商,厂商自觉不追究白帽子未授权渗透测试的责任。
这种潜规则这才是真正值得注意的,潜规则注定是潜规则,在没成为法律之前,不要指望潜规则能够默认的保护你。
居然为了点礼物就告知了家庭住址,还是naive啊。

搜到这个,事情涉及到朋友所以出来说话了,如果这件事被定有罪,
大家扫漏洞的时候是不是要拼命隐藏IP?
发现漏洞还提给乌云吗?
如果不再提给乌云这些,漏洞信息怎么处理?
乌云以后怎么面对白帽子?
回头来看世纪佳缘,以后发现他家漏洞,该怎么办才好?

镜像链接:谷歌镜像 | 亚马逊镜像

分类: 科技 标签:
  1. 呵呵
    2016年6月26日01:50 | #1

    坐等那个网站被人报复。

  2. 匿名
    2016年6月26日17:57 | #2

    白帽子是违法了,可是抓捕手段是钓鱼执法,这个只能呵呵了

  3. Mobile Guest
    2016年6月28日05:51 | #3

    白帽都是傻逼 支持世纪佳缘

  1. 本文目前尚无任何 trackbacks 和 pingbacks.