黑客来了怎么办

今天58同城彻底火了，继后台被拿下后，今天又被爆出好几个内部系统的root权限都被拿下了。姚劲波在微博上发消息：

“见识了，各位大佬差不多收了吧，我们兄弟一晚上没睡觉，对健康不利啊。 @慕岩百合网 那据说没有漏洞：）”

总的来说，姚劲波的这句话还是非常得体的。在这个时候，事态已经有点失控了，所以先博取一下同情很有必要。

关于应急响应之类的技术话题我就不多说了，相信58同城自然会拿出一个稳妥的解决方案。我聊一下企业在面对黑客事件时应该采取的心态吧。

首先我很赞同@yuange说的，要把“入侵者”和“研究者”区分开，其实也就是区分开“黑帽子”和“白帽子”。

入侵者会给你的企业带来真正的损失，比如把核心数据给偷走了，或者是篡改页面之类。面对入侵者，不能姑息，要拿起法律武器捍卫自己的权利。在刑法修正案中，第285条明确规定了，实施计算机入侵，或者提供工具的，可以判3年以上，7年以下的监禁。

而面对“白帽子”，则应该采取更加宽容的态度。白帽子不会给你的企业带来实质上的损失，他们不会偷你的数据，不会改你的页面，他们会善意的提醒你漏洞在什么地方。

白帽子唯一要求的东西，就是对他们的尊重。这种尊重主要体现在精神上，和物质上。

在以前，所有的厂商都是不提供现金奖励给报告漏洞的白帽子，所以白帽子们免费报漏洞，但拿不到任何回报。白帽子们唯一想要的东西，就是：

厂商能够出一份公告，在公告中说明自己的漏洞，并感谢白帽子的“ID”。

是的，只是ID，连真实姓名都不用，就这么简单。

但这件简单的事情曾经掀起了太多腥风血雨。大多数企业都会认为“你凭什么来找我的漏洞？”、“你黑掉我了还想要我奖励你？”、“你是来敲诈我的么？”、“这是负面新闻，要否认和掩盖！”。

大多数企业都会拒绝承认这些漏洞，或者是偷偷的修补掉，甚至还有要追究白帽子们法律责任的。这些行为，让白帽子们觉得自己的劳动成果没有得到应有的尊重，最终的后果，就是越来越少人愿意直接向厂商报告漏洞。

那么这些漏洞会流向哪里呢？一部分自然会流向地下黑客，以及黑色产业链。他们会利用这些漏洞来攻击网站、用户，攫取利益；还有一部分卖给第三方安全公司了。比如国外的ZDI就是专业收购漏洞的，一是用在产品里，二是提供给美国政府。最后一个流向是白帽子们私下里交流，自娱自乐。

所以知道为什么说安全行业是个屌丝行业了吧，这个行业里最好的专家想要报一个漏洞给厂商，但大多数时候换来的都是白眼，态度好一点的会稍微感谢下，但也难有现金奖励。要知道一个0day在黑市的流通价格在几万到几十万不等，最后有节操的人就越来越少了。

所以在2009的Cansecwest大会上，两位著名安全专家提出了“No More Free Bugs！”的口号，号召不再有免费的午餐。

企业的愚蠢做法是会付出代价的，特别是在激怒了整个安全社区以后。

在2006年底的时候，一位叫cocoruder的安全研究员分析了淘宝旺旺的控件的漏洞，并通知了淘宝。之后淘宝偷偷把漏洞补了，但没有发公告。有了这个教训，1个月后，cocoruder再次发现了支付宝控件的漏洞，这次他直接披露了漏洞相关的细节。

支付宝方面采取的应对措施是修补漏洞，不发公告，对于媒体的质疑玩文字游戏，然后找公关和谐掉所有负面新闻。

这个举动激怒了整个安全社区，所有的安全专家都开始一致指责阿里的行为，并发文申讨。这件事情的直接后果就是，阿里在安全社区的名声已经臭了，没人再愿意报漏洞给阿里。当时愤青和小黑客没这么多，信息流通也没现在这么快，否则难保阿里不会成为另一个58同城。

直到2008年以支付宝的名义召开“精武门安全峰会”，广邀业内专家来一起探讨安全问题，才慢慢的和安全社区修复了关系。

另一个例子是来自微软。微软自2003年冲击波蠕虫以来，在安全上吃尽了苦头，所以对安全的态度也是所有公司里最好的。

冲击波蠕虫给全球造成了数十亿美元的损失，感染了全球上千万台主机。蠕虫爆发后，盖茨亲自起草了一份“可信计算备忘录”，并号召全公司所有工程师停下手上的活，来参加安全培训，并review自己的代码。

微软自此后，每逢大的安全会议都要赞助，同时还自己举办了一个Bluehat大会（蓝帽大会），邀请全球最好的安全专家，来分享他们的经验和心得。

微软的做法取得了很大的成功。在此之后推出的SDL（安全开发流程）几乎成为了一种行业标准，全球所有一流的软件开发公司都在学习微软的经验，写出安全的软件。盖茨本人也一再强调安全的重要性，甚至希望能够在大学里就开始培养学生如何写出安全的代码。在此之前，微软每次修复一个安全漏洞的代价在数百万美金。

那么为何要披露漏洞呢？捂着偷偷补掉不是挺好的吗？

在微软时代，不披露漏洞意味着漠视客户的安全。如果不披露漏洞细节，很多客户把软件买回去后，可能根本意识不到安全补丁的重要性，而选择不升级，这就把客户置于危险之中。作为一个负责任的企业，必须要对客户的安全负责。而漠视这一点的，必将付出代价。微软在冲击波蠕虫后被好好的上了一课，客户找上门的时候根本就无法交代。这些客户中，也包括了美国政府。

在互联网时代，安全事件的性质有些类似。CSDN等大型社区、网站的用户密码数据库泄露后，在几个月内，几乎整个中国互联网的大型公司都遭受到了一次密码扫描的洗礼。当时腾讯的兄弟发消息来问，你们（阿里）被扫没？我说，是啊！（例如）如果你在人人网的账户和CSDN的账户、密码是同一个，那么你在人人网的账户可能也被黑客掌握了。

这么多年过去了，白帽子和厂商之间的关系并没有得到本质的改善。虽然有一些安全公司在共同努力，但相对于整个互联网来说声音仍然太小。

这次58同城的事件，其实可以成为一个契机。如果是有担当、有节操的公司，就应该像微软一样，从自身开始改变，从CEO的态度开始改变，成为一家让安全社区尊敬的公司，那么，整个安全社区，自然就也会有所回报。

最后，本文欢迎转载，你们给我使劲的转，转的整个互联网都是，转的那些“互联网大佬们”都能看到，这就是真正在造福安全行业，造福互联网了。

不过转载请注明出处哦！

—— 我是万恶的分割线 ——

受58同城事件影响，整个黑客圈的亢奋心情都被点燃了，这不，又来了一波猛的。

前两天CCTV-10的《走进科学》栏目播放了一期“黑客来了”的专题，乍一看是某数字公司的广告，再加外交部对美国的一次回应。

但今天居然有好事者仔细研究了这个视频，然后把里面某数字公司的“面具黑客”给人肉出来了，其精彩程度不亚于上次有人人肉出来泷泽萝拉拍视频的那个温泉。

想了解的朋友可以点击“阅读原文”查看（《走进科学》之“黑客来了”观后感—人人都可以5分钟破密码）。

======

本文内容来自微信公众账号：道哥的黑板报。微信ID：taosay。转载请注明出处。

回复m可以查看推荐文章。也可以访问：http://taosay.net

如果你喜爱我的文章，请点击右上角的…按钮，选择分享到朋友圈。你的分享是对我最大的支持。

@关于我：江湖人称“刺”，别号“道哥”，互联网安全砖家，不是叫兽。喜欢读书、看电影，与Geek们喝茶聊天。

微博ID（新浪、腾讯）：aullik5

关注互联网、黑客、创业、技术、历史、文化。欢迎提问，欢迎爆料。

摘自：http://taosay.net/?p=278

留言评论（旧系统）：

文章来源于lcx.cc:黑客来了怎么办