黑客在线接单交易平台 淘宝有黑客接单暗号

黑客在线接单交易平台 淘宝有黑客接单暗号

黑客平台hacker2020-10-31 8:00:001993A+A-

“非常感谢提交漏洞和对XXXX的支持,我们已第一时间将漏洞修复完毕,并抓捕了你”。看过这么一句话,你会不会莞尔一笑?对了,还有一条表情包的内容是这样的“我有乌云保护,日你网站怎么了,不仅日你网站还拖你裤子……怎么了”。大家又乐呵了一把。

昨天一条信息引爆了国内的信息安全行业,某厂商报案把某平台上一个提交漏洞的技术人员给抓了,行业两派的争议不断,互相鄙视,程度远远超过了当年Windows阵营对Mac阵营。“白帽子”派(我们姑且这么叫)是说厂商太无耻,我们好心给你们提漏洞,你们居然敢这么对我们,你们要像其他厂商学习,人家不只快速修复,还有奖励;“亲厂商”派说你们明确触犯了刑法,未得到授权,泄露了信息,把一个单纯的技术漏洞硬是利用到了公关层面,公开数据公开细节,对企业造成了极大的负面影响。

我并不想就本身的事件进行任何的重复,我码这段文字是因为我发现大家没有意识到,要争论的根本问题是什么。白帽子和漏洞平台到底想要达到什么样的诉求,厂商到底想要达到什么样的诉求,以及最终能通过什么样的渠道去解决。

大家喜欢用一句话来说明问题“不忘初心,方得始终”,这似乎是一把尚方宝剑,放到哪都能用,都是权威,说了这句话我们就无敌了,任何伤害反弹。好吧,我们按照这个思路来说明一下问题。漏洞平台的初衷和白帽子的初衷是什么?我暂且先用这么一句话来代表白帽子描述——

“我们有着足够强大的技术力量能够帮助企业发现问题,并协助企业解决问题。也希望企业能够信任我们,支持我们的行为。我们并不求任何回报,不过有一定的回报我相信我们能配合的更深入更好。”

我觉得这个初心没有任何问题,这个社会一定有很多人心存善意,愿意打造一个和谐互助的环境。但是一个巨大的拦路虎在哪里:刑法两次的修正案都明确定性了,未授权入侵检测,获取了数据,尤其是在传播的情况下明确属于违法行为。这些条文大家能看出来,防君子不防小人。一个国家需要这么一批有能力的人,但是又不希望是完全不可控的,所以立了法,没有伤害没人追究就持观望态度,一旦事情闹大有了负面影响,不打击是不可能的了。

任何一个个体抗风险能力为0,你的善心在尚未得到验证之前是不被认可的,说抓也就抓了。于是出现了一些漏洞平台,他们有一些官方层面的认同和合作,有些事情就有了沟通渠道。这时候,白帽子群体的共同诉求开始进行了转变,他们希望“这种漏洞的发现和披露形式是合法合规且合理的”。也许掩盖了一些鱼目混杂的假白帽,但是大部分人还是希望能够往好的方向发展。

这个过程中,形式确实发生了一些变化,执法部门加入了尝试性的接触和观望态度,他们也不希望涉入太深;各企业也开始了与各漏洞平台试探性的合作。记住了,这些都是实验性质的,谁也没有对此定型善或者恶,都想先通过行业的自我发展来进行妥协和调整。

但是这种尝试性的合作前期引起了误解,最直接的体现是有少数一批白帽子们并没有认清形势的发展,突然感觉良好,认为漏洞平台的实验性质的合作就是合法,导致无限膨胀了。比如有白帽子认为不给奖励就是有问题,比如有白帽子认为厂商在技术上不认为是漏洞也是有问题,甚至是这种问题激怒了白帽子引发了“恐吓”,“脱裤”,“删数据”等过激行为(这是真实发生过的)。

前期冲突几乎是一定的,可以预见的,因为没有规则,没有权威的机构,只有民间自建的体系。记住了,所谓的和谐体系是一个初期妥协的产物,厂商对漏洞平台的所谓合作,以及对白帽子们的认同,这种微妙的合作关系非常脆弱,就如同一张窗户纸,一捅即破。如果厂商觉得白帽子的行为不可控,所谓的提交漏洞对企业弊大于利,那么企业就会反弹,撕破那张纸,向有关部门施加压力。相关部门压力积累到一定量的时候,很多事情就扛不住了,心想给你们机会不好好珍惜,闹得社会不安宁,看着心烦于是干脆一巴掌拍死得了。

我们回到最初的诉求,白帽子是希望自己的身份得到认可,希望跟企业更好的合作。企业希望看到的是你真诚的笑脸,而不希望看到你背到后面的手上拿着一把刀。尤其在这个已经明确定义为不合法的法律社会,白帽子很多事情不能做,很多玩笑不能开。你可以试想一个国家的领导人到劳苦大众中视察,满脸的笑亲切的很,但是如果一个小摊贩不识好歹,尝试跟领导人勾肩搭背做兄弟状,他离死也就不远了。领导人跟你勾肩搭背开玩笑可以,你爬到他身上就不行。

上面说的大家如果能理解,那么我们再往后走一步:目前不合法,未来能不能合法?如果未来都看不到希望,我觉得这个社会未免太黑暗了。同性恋在多少年前全球就不合法,但是到今天我们再看看,许多国家已经明确立法支持合法,很多国家虽然没有明确支持,但是也没有明确反对了,这就是进步这就是改变,这就是方向。所以,其实各大漏洞平台都在做这样的尝试:

漏洞平台越来越多,接入的厂商越来越多,跟相关部门的合作月来越多,白帽子越来越多切越来越能管控自己在一个合理可控的区域,那么整个生态体系的抗风险能力就强了,它就从一个黑暗面逐步进化到台前。

这难道不就是希望么?

有个观点我还想说一说,白帽子之所以发生膨胀,漏洞平台不能完全脱离干系,如果平台没有处理好跟厂商的关系,那么平台必须对真正善意白帽子做好保护工作,比如漏洞如何披露,数据如何展示。白帽子没有法律意识,漏洞平台必须有法律意识,找相关的律师事务所合作,不只是保护平台,也要保护好白帽子在做贡献的同时自身是安全的。除此之外,给白帽子进行一些规范,有所为有所不为,哪些红线不能踩一定要先沟通好。否则,收漏洞时很开心,披露时也很开心,事情闹的还挺大,出事了平台说跟我无关是不利于行业发展的。

最后,有利益的地方就有犯罪,有进步的地方就有冲突。我们不要因为一些特例来一棒子打死一个新方向的尝试,我们为任何过激行为(不论是白帽子还是厂商)表示遗憾,我们还是希望呼吁所有人正确看待白帽子们的贡献。电能电死人不代表我们就不用电,车能撞死人不代表我们就不开车,电和汽车都是科技的产物,都是人类社会进步的产物。我们应当给予适当的包容,适当的理解,适当的欣赏。

几点补充:关于这件事情本身,我跟平台和企业方之前都深入接触过,因此我也想再补充几句:

1、白帽子未必做了伤天害理的事。对他而言,当他在点击“提交漏洞”按钮的时候并不认为跟往常有任何区别。只是报告漏洞,提供了一些证据,然后收到企业方的致谢以及小礼物。他知道自己并未做出任何破坏性的工作,相信厂商是理解的。


(责任编辑:网络)

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理