呆神致嘶吼同学的一封信

  • A+
所属分类:安全新闻

呆神致嘶吼同学的一封信

各位同学,大家好:

前些天,在咱们身边发生了一件挺有意思的事儿,可能有些同学已经知道了,就是有一名“黑客”发现了嘶吼网站的一个漏洞,这件事儿发生后,嘶吼的老大来问我的想法,也跟我讲了事情前前后后的原委,这个事儿引发了我的一些思考,所以今天想拿来跟大家一起共勉。
嘶吼是一个公开的安全媒体平台,对于嘶吼来说,能够被关注是好事儿。但是关注你们的人是谁,他关注你的目的又是什么,这些事儿你还控制不了。然而想要不断的发展壮大,你就需要有一个开放和进取的态度,去接受别人的关注,当然也有可能是“测试”和批评。
我觉得这次的漏洞问题是不应该发生的,哪怕是在程序开发中的漏洞都是可以避免的,更何况这次是十分低级的“弱口令”问题。然而并不是低级的错误就造成不了严重的后果。这件事儿发生后,我试想“肇事者” 当时的心态就是“没发布,测试机,临时的,就周末,图省事,我以为”,这些主观意识实际就是“偷懒、侥幸、懈怠、主观”,这些都是人性,这些赤裸裸的人性才是导致这次事故的根源。
在安全圈做了这么多年,我慢慢悟出来一个事儿——“安全是一场逆人性的修行”。它需要我们把懒散、惰性放到一边,用复杂、繁琐、严谨、扎实的态度去面对和处理所有的问题。因为只有这样你们才能成长,才能在抵御攻击时拥有稳健的筹码。
其实这位自称为“赏金猎人”的“黑客”一开始提出赏金和荣誉回馈要求时,我还挺欣慰的,因为至少他有黑客的荣誉感,但是当我知道如果赏金和荣誉二选一,他更愿意选择要钱的时候,我觉得有些失望,或许我不应该用我理解的“黑客”的标准来衡量一个自称“赏金猎人“的人。
对于这个“赏金猎人”的行为,我不希望在诉诸法律之后让这件事儿成为他人生一个不太漂亮的转折点。我想请所有的同学都用你们善良的心更加宽容的看待这个事情,还是要感谢他帮你们发现了问题,帮你们提高了安全质量。有同学会说我这是纵容,是害了他。我无法预测这个事情的两面性,我也在想是不是会有更好的处理办法。 
在我的理解中只要跟人有关系的事都可能犯错误,我向来认为别人帮你发现了你的漏洞,并且告诉了你,这肯定是一件好事,不管出于什么目的。要感谢黑客帮你们发现了问题,正视自己存在的问题,错了就是错了,错了就得认。对于黑客发现漏洞并报告给你这事儿,我向来都是支持给予他们物质奖励的,毕竟人家付出了劳动,也帮你发现了问题,我愿意鼓励这样的事情。这次这位“赏金猎人”一再提出更多的要求,虽然你们很生气,但我也要你们忍让和接受,并不是我认同他的做法和有什么顾虑,而是我希望你们认真的看到他的行为,知耻而后勇。同我愿意给更多的钱一样,不是这个值这么多钱,而是让你们能深刻的认识到问题的严重,同样的错误以后不要再犯。“打的不疼,记得不牢”。还有,团队内部要追责,从老大开始。
事情已经发生了,你们能做的首先应该是深刻的反思,在反思的同时大家还是应该往前看,把坏事变成好事。严格整改,加强安全意识和技能上的教育培训,加强安全管理措施,加强安全制度的落实与审查。不断的完善制度,精进自己,严格的进行监督管理,这样才能夯实你们发展壮大的根基。请你们老大带头,拿出实际行动来,制定实际改进的方案和措施,并认真落实。
正所谓:理越辩越明,希望嘶吼能将这个事情公开与业界同仁一起讨论,请大家能以我为鉴,在发挥安全媒体的传播和影响作用的同时,与大家共同进步。
对于企业,出于品牌形象、舆论、市场销售等各方面考虑,公开承认自己有安全问题要面对很多压力,更何况是一个安全媒体,这并不容易,需要很多勇气。若你们发起公开讨论,可将此信一并公开抛砖引玉,我错了我也认。

呆神

呆神致嘶吼同学的一封信

呆神致嘶吼同学的一封信

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: