V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
alexecn
V2EX  ›  信息安全

关于“某白帽子在乌云报漏洞,结果逮捕”,国内还有白帽子的环境吗?

  •  
  •   alexecn · 2016-06-26 09:53:42 +08:00 · 10618 次点击
    这是一个创建于 3074 天前的主题,其中的信息可能已经有所发展或是发生改变。

    早上看到了这个新闻: http://www.solidot.org/story?sid=48713 立马感觉到了一丝丝凉意!

    起因:上个星期刚在 V2EX 发了一篇: https://www.v2ex.com/t/286712

    后来也在网友的劝说下去 http://www.wooyun.org/ 发了一下,最后得到的乌云反馈是:小漏洞,但联系不到厂商! 再过了几天,发现某某默默的把这个漏洞修复了。

    当时虽然有点生气,想评论下什么小漏洞,但现在看来非常谢谢某某的处理方法。 很庆幸,对于当时自己有点喝 high 、闲得蛋疼的情况下所做的事情没有造成多大的问题!

    现在,这里的总结一下:

    1. 没有所谓的白帽子,放弃这个称谓吧! 你所做的入侵检测,以及相应的行为在法律上都算违法。(这个是很明显的),你要承担成为被告的风险。 你所谓的善意,对于被检测公司而言没法看出,没法证明!他们只能看到同样被入侵的行为。
    2. 私自检测别人的漏洞,并报告,伤害了安全公司的利益!你们都帮忙了,安全公司就越来越没有用了。
    3. 私自检测别人漏洞,并报告,伤害了被检测公司相关程序员的利益。安全的问题,不只是程序员的问题,但以这样的形式被报告出来,很可能最受伤的是相关程序员。管理层看到这个,如果不是出身于技术,对安全不慎理解,很可能会责怪相关程序员。

    所以综上,白帽子的行为得利的只有白帽子所谓提交漏洞得到的那点奖励,其他相关人员都不可能收益,还有极大的被损害利益。所以,白帽子这样的行为在国内暂时行不通!

    还要说的一点是,乌云在其中起的作用:我觉得非常不好。被抓与乌云拖不开关系!乌云鼓励了这样一种违法的行为,并且没有警告这些白帽子做相应的个人保护!乌云给人一种错觉:就是这样的行为在国内是安全的,是被这些厂商允许的! 如果该事件已经进入法律阶段,公安部门要取证的情况下,乌云相信也得配合,将这个事件锁定到这个白帽子上。

    所以,忘了白帽子吧! 兴趣是兴趣,安全更重要!

    26 条回复    2016-06-26 22:43:46 +08:00
    ixinshang
        1
    ixinshang  
       2016-06-26 10:10:05 +08:00 via Android
    第一次感觉比特币的好处
    mornlight
        2
    mornlight  
       2016-06-26 10:30:34 +08:00
    很大程度上,正是因为有了乌云和白帽子这类东西,爆出一次次安全丑闻,才让信息安全行业越来越受重视,站在行业发展的角度说,我支持他们的存在,因为这不仅对于公司,而且是对广大用户有利的。目前有各种问题是相关的法律和流程还不完善的原因,关于世纪佳缘那事,白帽子拉一堆数据下来的做法的确越界了。
    7654
        3
    7654  
       2016-06-26 10:58:09 +08:00
    如果他不下载 4000 多条数据不会有事
    wdlth
        4
    wdlth  
       2016-06-26 11:12:13 +08:00
    像移不动不理不睬的直接乌云被拉黑了,之所谓家丑不可外扬,又因为信息安全厂商商业推广的原因,很多 LD 所认识的信息安全,就是评等保、上设备,而不是从系统自身去检查。
    就像那个抗洪的笑话一样,没出事的默默无闻,出事后上头条的得嘉奖……
    alexecn
        5
    alexecn  
    OP
       2016-06-26 11:22:40 +08:00
    @ixinshang 恩,比特币却有好处。
    @mornlight @7654 对于因为下载数据而有事,个人认为这个是厂商要依据的法律。其实从一开始做就已经触犯法律了,现在只是需要找法律条文来处罚,所以把这个下载数据拿来说事而已! 关键的问题在于,一开始这个白帽子就疏忽了,就没有做个人防护。他天真的认为只要自己不去做坏事,就肯定没事,况且自己还把漏洞上报给了乌云,自己是一个善意的举动。


    @wdlth 同意
    SourceMan
        6
    SourceMan  
       2016-06-26 11:38:53 +08:00 via iPhone   ❤️ 2
    最近看了个观点: 虽然人家的后面开着,但是你不能不打招呼就进去溜一圈还顺带点东西说你看,你家门确实开着
    ctsed
        7
    ctsed  
       2016-06-26 11:51:13 +08:00 via iPhone
    立法了
    chentongsi
        8
    chentongsi  
       2016-06-26 11:51:58 +08:00
    不能只站在技术的角度去考虑问题,驱动这个世界运作的,还有法律,春秋战国时期,连孔子腰里都要挂一把宝剑,以作防身自卫,想必那个时代人人都要会一点剑术。现代社会你不用拿着宝剑就能出去逛街,保护你的不是剑术,而是法律。
    chentongsi
        9
    chentongsi  
       2016-06-26 11:57:13 +08:00
    上面那些拿黑市来吓唬人的愤青,说的就跟法律拿黑市没办法似的。现实中盗贼也有圈子,也有黑市,你家里被盗以后会因为害怕盗贼的圈子而不报警吗?

    对了, 10 年前有个小偷论坛,上面都是小偷交流扒手技术的,你跟他们谈法律,他们跟你谈技术。
    techyan
        10
    techyan  
       2016-06-26 11:59:33 +08:00
    尽管下载数据这件事不是很道德,

    但是如果是我能进到世纪佳缘的数据库,我肯定也会下载一点内容,看看数据库里有什么
    qq316107934
        11
    qq316107934  
       2016-06-26 12:17:56 +08:00 via Android
    @techyan 不是不道德,是违反法律了,希望乌云能在提交漏洞的时候用红字普及下相关法律。
    alexecn
        12
    alexecn  
    OP
       2016-06-26 12:34:33 +08:00
    其实对于漏洞的挖掘,只要你开始做,就无法分清哪些是违法,哪些不违法。
    有很多时候,需要下载数据库里的内容,去继续分析下面的漏洞。

    所以,我个人认为这里下载数据并不是主要需要关注的地方。
    这里是由于厂商要采取法律行为,就把下载数据这个事情来当做主要处罚的证据。
    longr923
        13
    longr923  
       2016-06-26 13:57:36 +08:00 via iPhone
    真是冤枉,看了下乌云,洞主用的是 sqlmap 这款软件,不是自动跑的吗?
    strwei
        14
    strwei  
       2016-06-26 14:53:55 +08:00
    乌云别看表面光鲜靓丽,私下干着不少黑产,每个白帽子提交漏洞,他们都要亲自实验并下载存储数据
    ByZHkc3
        15
    ByZHkc3  
       2016-06-26 14:59:34 +08:00
    国内厂商的态度不想做任何评论,但是国内互联网安全环境也是因为乌云的存在才得以促进发展的。
    现在也不评论乌云是否卖了这些白帽子,但是我个人的观点从两年前开始就是抱着看热闹的心态去面对这个圈子的。现在无意中挖出个漏洞都是自己藏着慢慢玩,原谅我的自私。
    Vamwere
        16
    Vamwere  
       2016-06-26 15:16:28 +08:00
    白帽子把漏洞提交在乌云,怎么确保乌云不作恶呢?
    lianghudou
        17
    lianghudou  
       2016-06-26 15:25:47 +08:00
    厂商邀请的才叫白帽子,不请自来的是傻帽子
    cmxz
        18
    cmxz  
       2016-06-26 15:32:24 +08:00 via Android
    @qq316107934 乌云提交漏洞的时候只会让你“证明漏洞危害”…
    alexecn
        19
    alexecn  
    OP
       2016-06-26 15:49:41 +08:00
    @lianghudou 说的好!

    @Vamwere 确实,乌云的主体并不明确。 从乌云的网站上看不到这个网站承办人的任何信息。 起码乌云不是一个公司的行为。

    可能因为行业的敏感性,乌云也隐去了这些信息。为了保障自己的安全,或者其他的原因!


    @ByZHkc3 比较正确的做法
    aeshfawre
        20
    aeshfawre  
       2016-06-26 15:50:17 +08:00
    白帽子减少,黑帽子增加,这就是结局.
    国内从事黑帽子的应该有几十万人吧. 白帽子的减少,只会帮助黑产行业的壮大.
    一个游戏库是 100 万的起步价,受得了诱惑不?
    webjin1
        21
    webjin1  
       2016-06-26 16:06:37 +08:00 via Android
    @longr923 见识了,原来是这个工具,我以为是用明小子
    mywaiting
        22
    mywaiting  
       2016-06-26 16:09:09 +08:00
    看到这帖子,忍不住说两句:

    1 、无论怎么对待白帽子黑帽子,漏洞就在那里,不增不减,多弱智的漏洞真心不少;
    2 、乌云这样做并非完全正确,至少不算法律上的完全正确,但漏洞始终需要出口,没有公开修复的,有价值的都会被玩残。乌云的做法有它正确的地方,至少一定程度促进了互联网的安全环境;
    3 、某网站的这做法,并不能掩盖它自身的安全薄弱,漏洞还有人愿意报给它说明这厂家大家还认为它有点良心。这么一闹,我相信很快某网站的数据就会在地下流得遍地都是,那时候就不是 4000 条数据的问题了,一旦被渗透,整个公司的安全架构和各种留下的 backdoor ,足够他们折腾好久好久了;
    4 、现在有很多 *SRC ,也算是个每个公司自己的乌云,因为安全漏洞真心不可避免,懂得安全的公司会对帽子们好一点的;

    最后,越来越多这样的事情,不说别人,至少我是发现了就收藏起来自己玩,不要报了也不要提醒了,重回黑暗的世界,这样看起来就天下太平是不是?嗯嗯,也只是看起来而已
    alexecn
        23
    alexecn  
    OP
       2016-06-26 16:16:58 +08:00
    @aeshfawre 个人认为这才是现在正确的结局!
    黑帽子越多,安全问题越严重,才能倒逼厂商越重视。
    当厂商付出更多的钱到安全方面的时候,安全公司才能越来越多,才能有越来越多的人洗白!
    整个利益链条就会导致事情向好的方面转向。

    而后,才能有白帽子的生存空间!
    Felldeadbird
        24
    Felldeadbird  
       2016-06-26 16:41:19 +08:00 via iPhone
    不是你撞的,你为什么要扶起来?
    kalintw
        25
    kalintw  
       2016-06-26 21:13:30 +08:00
    非法治社会,你有没有罪,看衙门心情
    alexecn
        26
    alexecn  
    OP
       2016-06-26 22:43:46 +08:00
    有人问我,现在需要一个法外之地吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1007 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 21:39 · PVG 05:39 · LAX 13:39 · JFK 16:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.