微信号:a301zls

介绍:关注互联网安全和白帽子黑客成长,分享安全价值,驱动安全未来.国内唯一日更的个人安全自媒体平台,301一直在路上.

安全观点|“白帽”黑客被抓事件,我想说....

2016-06-25 00:08 301

前言:

强调本文是以个人白帽子身份表达自己的观点和态度,不代表任何公司立场态度切勿对号入座


今天,一则某“白帽子”因为提交某厂商漏洞信息,因为测试过程中涉及部分数据最后被抓的事件。在安全圈炸开了锅,朋友圈全部是有关这方面的讨论,对于“白帽子”而言大部分的声音都是偏负面,各种刺耳的言语、一系列轰炸,看完整个人都不好了。白天忙活一天,刚从外面回家,晚上跟朋友吃饭沟通的时候,心不在焉的状态,还是觉得无论从什么角度看,觉得自己得写一些东西,所以也在朋友圈发布了一则观点:


“用于商业目的的时候,满世界全部是白帽子黑客,遇到事件背锅的时候;清一色的落井下石。向坚守道德底线原则的白帽子们致敬。”


所以,我决定站在独立第三方视角来谈论这个话题,虽然我知道这个话题会非常具有争议性,对事不对人。然而,在不完全了解整件事情细节的情况下,我也不直接去讨论这个话题,我会从甲方厂商、乙方、白帽子视角上讨论这个问题:


1、如果我是甲方厂商:

外部有人发现自家漏洞,无论通过漏洞检测还是深入测试方式,对企业自身业务运行产生影响,采取法律措施保护企业利益,属于正常行为。当企业自身利益受到重大威胁时,采取报警的方式,也是理所应当的。正确引导安全人员的行为措施,给安全人员提供一个可以展示自己能力的舞台,这才是一个真正靠谱的企业需要去做的。


2、如果我是乙方厂商:

其实从乙方企业的角度上看,乙方安全公司本来就是一只白帽安全团队,保障网络安全为己任,带领安全团队向更多企业输出安全能力。乙方公司更多需要放低门槛,让更多的安全爱好者加入团队,提供良好的环境和平台,给新人机会,而不是,条条框框限制在外。


3、如果我是第三方平台:

通过互联网众包模式把安全研究人员与企业进行对接,第一时间把安全漏洞输送到企业端,第一时间确认漏洞、修复漏洞、漏洞细节公开提供后者学习,带动安全行业发展。有兴趣的可以看下WooYun背后的阳光


3、从白帽子视角看:

白帽子也作为消费者用户,自己的数据在企业端,在使用产品过程中发现了严重漏洞,作为合格的安全人员第一时间肯定想到的是把漏洞告知企业相关负责人,配合完成漏洞整改工作,得到企业的认可,这也是白帽子得到的容易。而作为一名相对合格的白帽子,发现企业漏洞过程中,点到为止,不影响企业业务进行,验证漏洞存在即可,不要做出格的事情,这是基本原则。如果自身真的越界,请参考第一条。白帽子需要一个健康的舞台展示自己的安全能力,解决自己工作和生活的问题,这才是所有安全新人需要的。


当然,看到今天那么多骂声,我也忍不住吐槽和提问:


1、乙方安全公司“未授权”渗透测试发现甲方企业漏洞上门谈合作或者借助已发现的漏洞去进行业务谈判合作的企业有多少?作为甲方角度,你遇到过多少这样的情况?


2、还有有多少企业利用信息不对称/法律擦边球在安全领域市场化运作,我相信大部分安全从业者都清楚这些细节,无需提醒。


3、国内确实缺乏一个独立的第三方机构对网信人才的监督,当然在此呼吁:甲方、乙方、第三方建立安全行业自律,一方面是企业自身自律,对企业自身的安全自律,一方面是安全从业者对自身行为自律。不过在自律的过程中,还有三个问题想说下:


1)那些白帽子曾经帮助过的那甲方企业,在没有任何利益回报帮助其发现问题,并且减少企业那的损失?


2)那些白帽子曾经发现过的漏洞背后,乙方安全公司把漏洞需求市场化后产生的订单,你们心里是怎么想?


3)第三方漏洞平台借助白帽子的资源、力量壮大社区和品牌,你们为什么沉默?


最后,借助习大大在你今年十八大前后关于人才问题的重要论述强调:“要聚天下英才而用之,为网信事业发展提供有力人才支撑。网络空间的竞争,归根结底是人才竞争。引进人才力度要进一步加大,人才体制机制改革步子要进一步迈开。各级党委和政府要从心底里尊重知识、尊重人才,为人才发挥聪明才智创造良好条件。要不拘一格降人才,解放思想,慧眼识才,爱才惜才。对待特殊人才要有特殊政策,不要求全责备,不要论资排辈,不要都用一把尺子衡量。要建立灵活的人才激励机制,让作出贡献的人才有成就感、获得感。要构建具有全球竞争力的人才制度体系。不管是哪个国家、哪个地区的,只要是优秀人才,都可以为我所用。”


你之所以看不到黑暗,是因为有人竭尽全力把黑暗挡在你看不到的地方。


看了那么多争论和吐槽,那些真正守护道德底线的白帽子,真凉透了心,你觉得呢?

长按二维码,关注301在路上。

联系作者微信:2036234

 
301在路上 更多文章 WooYun背后的阳光 乌云:2015年P2P金融网站安全漏洞分析报告 XcodeGhost事件后续:Xcode同病毒作者“UnityGhost”后门预警 短信“木马” 反黑的故事 github 上提交了公司代码怎么挽回安全影响?
猜您喜欢 ASP.NET 5探险(4):如何把ASP.NET 5从beta4升级到beta5 微信运营之文章阅读分析 他做过男妓、GV男星,50岁成了全世界身价最高的男模:年龄就是个屁! 让姑姑不再划拳 码农也要有原则 : SOLID via C# DevOps在银行系统里的神秘事实