在無數個向廠商提交漏洞的日子裏,以下的場景你是否似曾相識?
被廠商“白嫖”:“這根本不是一個漏洞!”但當你再次複查時,發現漏洞已經被修復。
被廠商的威脅:“這就不是一個洞,但你敢公開的話就試試看!”
被廠商誤會:“你知道這樣是違規披露漏洞嗎?我會報警的!”然後你真的就被邀“喝茶”了。
被廠商“佔便宜”:“不好意思,今日起,這類漏洞的獎金減半!”
近幾年,白帽子私曝漏洞的事件頻發,在業界引起了不小的波瀾,在告知白帽子私曝漏洞的行為會有觸犯法律的風險,呼籲白帽子加強法律意識之際,好像沒有人去深究白帽子選擇私曝漏洞的原因,也沒有人問過他們,“為什麼你要違規披露漏洞?”。
為了一探究竟,筆者採訪了四位來自不同團隊、不同背景的白帽子,瞭解這個羣體選擇私曝漏洞背後可能的原因。
答案似乎很一致:炫技、法律意識不強、由於誤會和廠商起了衝突所以一氣之下公佈漏洞……這三點是造成白帽子私曝漏洞的常見原因,其中第三點很可能是最主要的原因。
“不承認漏洞就算了,他們還威脅我!你敢信?”
被誤會的月神:2017年,我在提交了某個互聯網新聞平台的漏洞後,立馬接到了廠商的電話,“你到底是誰,你是不是要攻擊我們,如果你敢亂來,我們就要報警了”,和對方解釋了半天,我才發現對方根本不是該廠商SRC的對接人,只是該平台的業務人員,並且其對白帽子這一羣體的性質並不瞭解。
被“白嫖”的Balis0ng:遇到過一些廠商,對我提交的漏洞報告置之不理,過了幾天我再去檢測,發現漏洞已經被修復了……我還遇到過向廠商連續提交了兩個漏洞,但廠商SRC對接人表示經過開發人員鑑定,認為這兩個漏洞是同一個漏洞的情況,我也是很無語。
被威脅的小七:2018年,在提交了某大廠的漏洞後,我接到了廠商的來電,他們不但不承認這是一個漏洞,還威脅我,“如果將漏洞公開,你以後不好找工作吧?”,不承認漏洞就算了,他們還威脅我!你敢信?
被“教育”的遠海:在一週內提交了某教育平台的6個系統漏洞後,我被使用該教育平台的廠商運維人員“教育”了一頓。應該是一下子提交了太多的漏洞,耽誤運維人員下班了,所以當時廠商的運維人員還特地通過ID找到我,把我説了一頓。
被誤會可以選擇解釋、被“教育”可以選擇體諒、可是當被“白嫖”和威脅時,白帽子也只能選擇自認倒黴嗎?,“是的,沒錯,遇到了也就只能自己吃了這個虧,也沒有任何辦法,但是好在大多數正規的廠商,不會這樣對我們”,Balis0ng説道。
接受採訪的這四位白帽子,在向廠商提交漏洞時,均吃過不少“啞巴”虧,即使在廠商不願意承認他們提交的漏洞時,他們也從來沒有想過要私曝漏洞,究其原因,是他們對正義那顆初心的堅守,也是因為他們深知,這種行為不但會將本來有理的他們推向無理的邊緣,他們還要承擔被追究法律責任的風險。因此,要從根本上避免白帽子私曝漏洞事件的發生,除了法律法規的完善和普及,還需要各大廠商一同努力。
“隨着法規的完善和行業的成熟,我相信私曝漏洞的行為會越來越少”
《中華人民共和國網絡安全法》規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。隨着《網絡安全漏洞管理規定(徵求意見稿)》的出台,有關網絡安全從業人員的相關行為規定更加明確和細化:第三方組織或者個人不得在網絡產品、服務提供者和網絡運營者向社會或用户發佈漏洞修補或防範措施之前發佈相關漏洞信息,不得發佈和提供專門用於利用網絡產品、服務、系統漏洞從事危害網絡安全活動的方法、程序和工具。一般情況下,發現漏洞後,第三方組織或者個人可以將相關漏洞報送給CNNVD或CNVD,CNNVD或CNVD將會在5個工作日內予以確認回覆,並通知廠商在90/10天內修復,廠商採取漏洞修補或防範措施後再予以公開。
《網絡安全漏洞管理規定(徵求意見稿)》的發佈,是為了規範網絡安全漏洞報告和信息發佈行為,同時督促相關廠商、第三方及運營方及時應對漏洞問題,這是在《中華人民共和國網絡安全法》的基礎上,法制體系進一步完善的體現。
“隨着該規定的出台,能有效減少白帽子因為炫技或者法律意識不強而私曝漏洞的行為。”
接受採訪的四位白帽子均認為,《網絡安全漏洞管理規定(徵求意見稿)》能起到規範行業行為和保障行業健康發展的作用。
“從大學的硬性教育作為突破口,是一個不錯的選擇。”
據遠海透露,有關網絡安全法知識的課程,在他的學校目前是以選修網課的形式開展的,而那些沒有選修該課程的學生,可能對哪些行為會觸犯法律並不清晰,隨着我國網絡安全市場越發活躍以及相關法律法規陸續出台,他認為從大學的硬性教育作為突破口,是一個不錯的選擇。
“建立漏洞仲裁機制,有助於減少白帽子和廠商之間的‘扯皮’事件。”
隨着騰訊、百度、阿里、華為、深信服、滴滴等各大廠商安全應急響應中心的機制日漸完善,越來越多的白帽子更傾向於向廠商直接提交漏洞,一是因為廠商一般會優先處理在自己平台上提交的漏洞,二是因為直接向廠商提交漏洞,白帽子能獲得更多的回報。Balis0ng也談到:“現在各大廠商也越來越重視白帽子的貢獻,比如2020年,騰訊首次推出了百萬獎金池,單個漏洞額外獎勵最高可達20萬元;深信服前不久升級了獎勵機制,單個漏洞税後最高獎勵金額有50萬元;滴滴於2021年增加了年度獎勵規範中獲獎金的名額,年度排名第一的白帽子可獲得8萬元獎勵。”
“很多大廠還是很有誠意的,其實我們也感受的到,所以我們現在也比較傾向於向廠商直接提交漏洞”,Balis0ng説道。但是直接向廠商提交漏洞,白帽子有時候也會面臨一些問題,比如當廠商駁回漏洞時,白帽子就只能在“守法等於吃虧”和“曝洞等於犯法”之間選擇嗎?
Balis0ng認為,如果可以在業內建立漏洞仲裁機制,當白帽子與廠商因為漏洞鑑定出現爭執時,第三方機構可以介入仲裁,那將能有效減少白帽子因為廠商駁回漏洞而違法披露的行為。
在網絡世界,如果説惡意黑客是矛,利用系統或軟件的漏洞,非法入侵併獲取利益,那白帽子就是盾,他們選擇用技術來保護網絡安全,他們需要比惡意黑客跑的更快,他們發現的漏洞越多,網絡世界也就更安全,但相比惡意黑客的“張揚”,他們的事蹟卻鮮有人知,他們更像是隱世高手,低調地大戰四方。雖然有時候他們會被誤解,有時候他們的付出沒有得到應有的回報,但是他們還是堅守了自己的初衷,做正義的事情。
接受採訪的四位白帽子均表示,隨着行業的發展和規範,目前白帽子羣體遇到的一些困境都會得到有效的解決,同時他們也呼籲白帽子從保護自己的角度出發,依法披露漏洞,不要因為一時氣憤讓自己面臨觸犯法律的風險並帶上“無理”的枷鎖。