这两天朋友圈一直在转发,新的反间谍法。无非就是针对国家机关、涉密单位或关键信息基础设施实施网络攻击行为,明确为间谍行为。
现在的媒体吧,都是当年UC震惊部教出来。对于新闻专业,我还是支持张雪峰。天天搞得乌烟瘴气,唯恐天下不乱,毫无职业操守。
新的反间谍法原文链接如下:https://www.gov.cn/yaowen/2023-04/27/content_5753385.htm
总则第四条,明确写了 间谍组织及其代理人实施或者指使、资助他人实施,或者境内外机构、组织、个人与其相勾结实施针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动;
你不勾结 间谍组织及其代理人 你就在授权的情况下挖挖SRC 还能把你定义为间谍?
所以新的反间谍法对正常白帽子影响不大,反而是对某些经常把国内漏洞提交到国外平台上的人有一些影响,随时可以把你定义为间谍。
为什么大家都会有这样的担心?
这几年网络安全法律法规逐渐完善,翻遍四法一条例,以及国内各种HW规则,也都是对甲方的要求保护,对安全从业者(渗透),社会白帽子没有保护,甚至还有惩罚。当然这与行业有一定关系,正邪一念之间,谁又能确定提交漏洞的白帽子不是黑客,有没有利用漏洞干了其他的事情呢?
这里也给大家分享三个真实小故事:
故事1:我在闲鱼上帮导数据遇到了几个倒霉蛋
有些人总想刷公益SRC,于是利用已公开的系统漏洞,利用网络空间搜索引擎,找相关系统。由于导出数据有限制,于是找了我,当然我也收了点小钱,突破导出数据限制,帮他们导出了想要的所有数据。这些人利用某一个漏洞批量刷,然后某一天,就被人找到了公司,质问这些倒霉蛋,为什么要攻击他们系统。好在大部分公司,并未深究,也没起诉这些倒霉蛋。
故事2:这两个月的地市HW经历
今年的我参加的几个地市HW,规则和以往有些不一样。今年的规则只能打指定目标,没有新增资产,给的IP+端口,只能打这个IP+端口,而且给的资产基本都是有防护的,防守方还一直封IP。攻击时候使用主办方指定的VPN攻击,当然这个规则大家都懂,关键是比赛期间还查,抓非法攻击的。这VPN一用就是被封IP,然后就没法动了。比赛过程中,某IP A端口,调用B端口服务,B端口存在漏洞,我提交了,然后被警告,自行承担后果。
真搞不懂,你让我去打,只能用指定出口IP,然后各种防护封IP,还要抓没用指定出口IP打的人。现在有些地方是不拔网线了,干脆不把资产上报或者服务下线,然后规则里面多了个不允许新增资产,就完事了。
故事3:HW没钱发怎么办,把红队抓起来。
某地HW,G公司报名参加了,但G公司没人,于是商量花钱请了红队H打比赛。比赛结束后,G公司没钱支付,于是报警把红队H抓起来,理由是非授权渗透。
以上皆为真实事件,搞渗透,抓你不用反间谍法。
搞安全一定要低调一点,闷声赚大钱就是了,少混点娱乐圈。要么不要干坏事,要干坏事就把技术学好点,一桶水不晃,半桶油乱荡,有些人呀,渗透连VPN都不开,还想搞事情。
渗透一定要授权!!! 渗透一定要授权!!! 渗透一定要授权!!!
原文始发于微信公众号(网络安全透视镜):漏洞挖着挖着就成了行走的50W?
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论