如何评价国内SRC纷纷上线“白帽子协议”?

    xiaoxiao2021-04-19  265

    2017年6月1日21:21分

    某监狱里,对话如下:

    犯人A:你们都是怎么来的?

    犯人B:我是XX漏洞平台挖漏洞不小心进来的。

    犯人C:我是XX平台路人甲,输错命令了rm -rf / (批量删除)

    犯人D:我是某测评中心的忘了要授权了……

    犯人E:我。。。就是那个在群里成天陪你们吹牛逼斗图的HELLEN啊!

    犯人F:这下齐了,到底谁黑的我网站我不打死你,我是那个管理员站长。

    ……………………

    黑客技术哪家强?中国监狱是天堂 !

    没错,以上只是个段子。但是在6月1日那天,这条段子在安全圈的微信群里传得很广,因为那天《网络安全法》正式实施。

    虽然安全圈里不少人都挺有自嘲精神的,但这些自黑的段子,明显也透露出几丝担忧,像是一段对白:

    嘿,老铁,知道你没毛病,也没有坏心思,可好心办坏事的情况也不是没发生过。要是一不留神就犯了法进去了,那就太冤了。多注意点吧!

    这种担忧并不是没依据的。提两个真事。

    一个是去年闹得沸沸扬扬的“袁炜事件”。

    2015年底,乌云漏洞平台的白帽子袁炜提交了一个世纪佳缘的安全漏洞,世纪佳缘确认并修补了这个漏洞,同时在乌云网上对白帽子表示致谢。但事后他们统计发现,有900多条有效数据被攻击者获取。

    出于对信息安全的担忧,世纪佳缘选择了报警。警方调查后才发现只有袁炜一个人涉嫌此案。最后袁炜被检察院公诉,2016年4月被批准逮捕。

    事件一出,整个安全圈都炸开锅了。随之而来的是各方对于白帽子行为边界的深刻讨论。

    第二件事就发生在最近,不过没有上一个那么“刺激”。

    6月1日 ,某知名互联网公司的安全应急响应中心(以下简称“SRC”) 发布了一篇公告,指出其平台上有白帽子不遵守平台漏洞测试原则,在未经他们授权的情况下擅自公开披露了一例漏洞细节。最后的结果是取消了该白帽子提交该漏洞的奖励。

    公告一出,也是众说纷纭。有人觉得专挑《网络安全法》实施当天发公告,言辞还挺激烈,这是示威啊!也有人觉得这没毛病,就得按照法律和规则来,凡事讲道理嘛;

    当事人白帽子也在其博客里指出,该SRC在发出公告之前,曾经在没通知的情况下,冻结了他账户下的所有漏洞奖励积分(包括之前挖漏洞的奖励),导致他无法兑换奖品。 虽然钱是小,但是让人很不爽啊!(还发了公告)

    ▲ 图片来自当事人白帽子的博文

    这两件事其实是企业和白帽子的矛盾关系在极端场景下的激活和爆发。什么矛盾呢?“又爱又怕”的矛盾。

    企业对白帽子是又爱又怕的。

    他们爱白帽子,因为后者能为帮他们发现不少安全漏洞,有时还给出修复方案,维护了他们的业务稳定;但他们又怕白帽子“放荡不羁爱自由”,懒得看法律条文和平台,按自己的行事逻辑办事。也怕白帽子因为对法律的不了解做出一些有争议的事。还怕有黑产分子假借白帽子的名义,伤了双方的感情,还败坏了白帽子的名声。

    白帽子对企业也是又爱又怕。

    他们喜欢挖漏洞带来的回馈,不仅包括物质上的礼物、奖金,更有精神上的鼓励——自己的ID出现在感谢名单上的自豪、组队挖漏洞带来的好基友和技术讨论氛围;同时他们也怕自己一不小心就背了锅,对方发来感谢并逮捕了自己,也怕自己的漏洞得不到认可。

    好,那有没有办法让这种微妙的关系达到某种平衡,形成一种默契呢?将“怕”的那一部分尽量降低,减少大家的顾虑和畏惧呢?

    其实各家企业的SRC和漏洞平台都在努力寻找这个答案。最终,他们选了一个还不错的解决方案:规则。

    于是他们推出“白帽子协议”。

    6月1日那天,超过19家企业的SRC组成了“SRC联盟”共同上线了“白帽子协议。

    白帽子协议是什么?按照我的理解,白帽子协议是一个企业和白帽子之间的约定。

    哪些事能干,哪些不能干,哪些需要提前打个招呼,咱提前都先交代好,签个协议点个“同意”,双方达成一致觉得没问题了,然后就可以继续开心地挖漏洞、刷榜和拿奖励了。

    之后的相关情况都有限按照之前约定好的来,这样大家都服气。没什么争执,也不容易出问题。

    ▲ 京东 JSRC 的白帽子协议页面截图

    画外音:擦,这么多规矩,条条框框,不是让我们白帽子挖漏洞捆手捆脚了吗?

    还真不是。我做个类比:

    《网络安全法》制定之后,一开始也有不少人担心,觉得这会让安全从业者的活动空间越来越小,捆手捆脚。可后来人们发现,诶?长远看来,制定了规则,明确了边界反而让人更能安心来做事,知道底线和边界在哪,反倒能在边界之内放开手脚去干,不必畏首畏尾。

    同样,漏洞平台和企业SRC也为白帽子制定“白帽子协议”,确定各自平台的规则和边界。这让白帽子也会心里有底,知道自己的权利和义务,可以在规则之下放开手脚,而不会迷迷糊糊做事,莫名其妙就出现了分歧和误会。

    当然,如果白帽子不同意某个平台的协议,双方没有达成一致,那就干脆不要开始,这家不行就换别家挖嘛,至少不会出现撕逼和误会。

    提前交代好权利义务和利害关系,对双方都是一种保护。

    画外音 :SRC 非要同意协议才让挖漏洞,他们不怕这样弄得白帽子都“不敢”或者“不愿意”去帮他们挖漏洞了吗?

    我把这个问题问了此次”白帽子协议“主导者之一京东JSRC的老大李学庆,他的回答原话是这样的:

    这个问题我之前考虑过,也担忧过,但是我觉得让白帽子知道条款中的内容比担心白帽子不来我们平台挖漏洞更重要。

    我不希望白帽子由于不知道条款中的内容,不知道网络安全法的严肃性而不小心给他们自己带来麻烦。

    李学庆告诉雷锋网,当他们把“白帽子协议”以及网络安全普法的想法告诉陌陌等其他 SRC 的运营团队时才发现,大家原来都想到一块儿去了,各家 SRC 大多都有类似的想法。

    一拍即合,最后居然有 19家 SRC 愿意一起做。此外还有其他SRC有类似的活动计划,只是因为节奏不一致所以很遗憾地没能一起来做。

    宅客发现,前文提到的6月1日发公告“怼”了白帽子的那家SRC也在其中。(好吧其实就是网易 SRC ,不匿了)

    从宅客的角度来看这个问题,无论是当事人白帽子在其博客公开把这件事的事前因后果说出来也好,网易 SRC 公开发布声明也好。

    与其私底下解决,最后相互猜忌怀疑,不如像他们这样大大方方把事情摆在明面上来说。虽然这可能给人留下强势的印象,但至少能让其他白帽子知道他的原则和底线。

    就像交朋友,脾气冲,但心直口快的人,可能一开始给人留下“强势”、“装逼”、“暴脾气”的印象,但这种人往往沟通交流更轻松直接,不会藏着掖着。

    网易SRC作出公开发公告这件事也是有压力的。一般来说,大厂公关的标准流程通常是大事化小。但他们这次选择扮一次黑脸。选择当冲出到当那个心直口快,敢把事情挑明了说的人。

    或许他们知道这公告会让一些白帽子不太舒服,甚至让自己平台的白帽子流失的。但也正如JSRC李学庆所说:

    我觉得让白帽子知道条款中的内容比担心白帽子不来我们平台挖漏洞更重要。

    把事情摆在明面上说,忍痛挖掉个脚底的烂疮,虽然一时剧烈疼痛,但也只有这样才能最终痊愈。而不是让它慢慢烂透。

    JSRC 李学庆告诉雷锋网(公众号:雷锋网),仅仅看京东的JSRC的数据,上线白帽子协议一天后,就有69个白帽子阅读并同意了协议,到第三天的时候已经有超过100个白帽子阅读并同意了协议。

    显然,越来越多的白帽子也意识到,规范起来,大家把事情讲明,也并非什么坏事。说出来,总比不说要好。

    和 JSRC 的李学庆交谈的最后,他告诉雷锋网,

    我一直认为安全响应中心的初衷是为了企业与安全从业者共同打造一个良性的安全生态。

    所以我更希望所有的安全响应中心能够拿出更真诚的态度,联合所有的资源为白帽子做些实事。当然我也更加希望白帽子兄弟们能够不忘初衷,用自己的正道能力帮助企业弥补安全的不足。我坚信未来的中国安全将是领先的,健康的,受世界尊敬的。

    也希望未来SRC和白帽子的关系能真的如此。

    本文转自d1net(转载)


    最新回复(0)