![跟黑客“搞”好关系——一次真实的网络攻击后记]( "跟黑客“搞”好关系——一次真实的网络攻击后记")
不久前,嘶吼碰见点麻烦,这点麻烦里的关键词是:黑客、白帽黑客、漏洞、赏金。
我们费了很大的精力处理这点麻烦,但是依然无法确定最终的处理方式是否恰当,所以决定把事情拿出来,跟大家聊一聊。
两周前,嘶吼接到一自称“赏金猎人”的黑客来信,对方表示在嘶吼网站发现了一个漏洞,并且提出现金奖励的要求。
嘶吼的技术人员在获知后进行了验证,核实后第一时间完成了修补。当然,按照惯例,我们给出了1000元购物卡的奖励,并且对于对方第一时间将漏洞通知我们的行为表达了感谢。
但是事情并没有结束,在收到这笔奖金后,“赏金猎人” 再次提交了两个漏洞。
值得一提的是,其中一个漏洞存在于嘶吼网站的一台测试服务器中:“赏金猎人” 通过弱口令获取到了嘶吼网站的部分权限。
在提交漏洞的同时,对方提出9000元的赏金要求。
我们必须承认,嘶吼网站存在漏洞的事实,而弱口令这类漏洞的产生也是由于技术人员的网络安全意识淡薄,所以我们在修改服务器密码,加强网络防护的同时,也趁着这次事件,在公司内部进行了网络安全意识的培训。
当然,在承认漏洞存在并及时修复的同时,我们也同步在与对方联络协商奖励方式,对方拒绝了再以购物卡的形式支付奖励,并且在一轮沟通后将赏金金额提升到10000元。
在嘶吼提出需要纳税的问题后,对方提出税后10000元的要求。
作为一家网络安全媒体,我们常年在报道黑客人物、网络安全事件,所以我们也清楚,黑客为公司提交漏洞的事情不少见。
在黑客群体中有一批人,当他们发现企业网站漏洞时,会第一时间联系企业进行修复,我们称之为白帽黑客。
而嘶吼作为网络安全媒体,与很多白帽黑客之间都一直在保持着良好的协作、交流关系。
但这次的事件让我们有了些犹豫,我们甚至不认为“赏金猎人”的行为还属于白帽黑客的范畴。
实际上,按照网络安全法第二十七条规定,任何个人和组织不得从事非法入侵他人网络危害网络安全的活动。
如果仅出于这样的考虑,“赏金猎人”无上限索要赏金的行为,是在挑战我们的底线,更是在触碰法律底线。
但是在双方交涉过程中,嘶吼发现“赏金猎人”还在完成学业,甚至可能是个未成年的孩子。
假如,我们一味响应他的要求,一个未成年人失去了内心的标尺,会不会投身黑产,越走越偏;再假如,借助法律制止他的行为,会不会量刑,会不会毁了孩子的一生。
所以,我们不得不重新思考之前的处理方式是否对“赏金猎人”做出了错误的引导。
实际上,我们认为这个孩子可能并没有意识到这些行为的严重性,但是,假如真的把决定权抛给一个孩子,在往后漫长的岁月中,我们不确定他能否再秉持本心。
最终,嘶吼选择了一个折衷的方式,决定将这笔钱以“赏金猎人”的名义,作为漏洞奖励捐赠给湖北恩施山区的贫困儿童,并将处理意见通知了对方。
——技术能力还是应当应用在更有意义的人类事业上,而非牟利。
这里也为捐款项目求波关注,发动社会人士,为湖北恩施山区孩子捐献助学金。
嘶吼根据捐款项目,最终决定以“赏金猎人”的名义捐出10800元的同时,再以嘶吼名义捐出10800元,希望更多的孩子能够得到帮助。
事情到这里基本已经解决,按理说,嘶吼是一家网络安全媒体,我们每天都在报道黑客与网络安全运营者的纠葛,同时也有专门的技术团队在从事网络安全技术方面的研究。
这种见怪不怪的事,不至于大张旗鼓的宣扬、引发讨论。
但是在长达两周的事件处理过程中,我们发现,有些问题是这个行业的从业者都可能碰到,并且无法回避的问题。
所以我们决定把这些细节披露出来,希望能借助这次嘶吼的经历现身说法,让这些问题得到更多的关注和讨论。
(1)网络安全意识
网络安全意识的问题,是我们近来反思最多的一个问题,我们意识到尽管在网络安全技术能力上投入了大量的人力、精力与财力,网络安全意识培训也没落下,但仍然存在着网络安全意识薄弱的问题。
比如弱口令的问题,“123456”、“admin”这类简单的密码设置,黑客入侵系统时一般都会先做尝试,很大程度上说,这类密码形同虚设。
但问题的出现,本质上是因为网络安全意识的薄弱,大部分运营者都不认为黑客攻击会落到自己头上。尽管是老生常谈,但对于大部分中小企业的网络安全运营者来说,这种现象很普遍。
而一旦这类网络受到黑客乃至黑产的关注,就会发生大面积,甚至是毁灭性的破坏。
实话说,这类话题历来不受欢迎,因为谈的太多,又没有直达病灶的解决方案,落到最后只能让大家加强防范意识,但是从这次事件的角度来说,安全意识薄弱是病,“早治早好”!
(2)黑客与网络安全
大约在上世纪90年代,“hacker”这个词跟随热销读物“骇客帝国”传入中国,被译为“黑客”。
当年一群热衷于计算机技术的年轻人成立了绿色兵团、红盟、安焦等黑客组织,为了和凭借技术作恶的一批人作区分,又纷纷发明了“骇客”、“红客”这样的代称,希望能与执“黑”的一方做出区分。
多年以后,当年的“脚本小子”技术有成,这批江湖老手中,执白的一方与厚积薄发的学术派拼接起了现今中国网络安全的版图,而执黑一方则转入幕后,或伺机而动、或锒铛入狱。二十几年过去,一如棋盘上的黑白二子,千羁万绊,却又不是单纯一个黑白说得清的。
还是聊聊现在,过去十年里,人类发觉到数据的价值,财富的天平从未像今天一样如此偏爱过这些数学符号。
掌握了庞大数据财富的企业很舍得花钱,网络安全就像是存放这笔财富的金库,从业人员不断的浇筑水泥,加厚钢板。
这是好事,对于年轻人来说,假如你热爱的东西恰好是这个世界需要的,绝对是一种幸运。
尤其是各个SRC奖励机制健全后,掌握技术的年轻人比同龄人更早地掌握了财富和名声。
这批人有了一个更加恰当的称呼,“白帽黑客”。
在网络安全力量壮大的同时,以破坏为目的的黑客行为门槛越来越高,“白帽黑客”的数量越来越多。
与十几年前的网络安全环境相比起来,对于年轻黑客来说,这不只意味着多了一个兑换奖励的渠道,也多了合理、合法的锻炼机会。
这些可喜的变化代表着国内的黑客文化在朝着更健康的方向成长。
但网络安全归根结底是在与“人性”作斗争,掌握技术的人也掌握了开启金库的钥匙,执白者警惕黑的恶意,执黑者捕捉白的漏洞,但是,还有一群没有开局、未定执方的人,这些人怎么选?
这些我们无法定义为白帽黑客的人和行为,又应该怎么引导和应对?
十几年前,那批混迹在各个黑网吧的年轻技术爱好者,喜欢搭传奇私服、盘小霸王游戏机,厉害点的搞一个QQ靓号,多年以后还能成为酒桌上的谈资笑料,当成是青春的懵懂无知。
而如今,技术一旦变成牟利工具后,牟利者恐怕再也摘不下脸上的面具,对于那些未定性的技术人来说,警钟该长鸣。
![跟黑客“搞”好关系——一次真实的网络攻击后记]( "跟黑客“搞”好关系——一次真实的网络攻击后记")
结语:
我回忆起早些年在网络安全论坛上,一个前辈概括黑客这个群体:
“我印象中经典意义的黑客形象是这样的: 他到你家,敲敲门,发现你家门没有关,于是给你留了个信,提醒你关上;路过你家花园,发现篱笆有个漏洞,于是告诉你一下,或者索性顺手给你补上。”
或许那个时代已经过去了,我们无意抨击任何个人的行为,围棋上讲究留气与养势,有些问题是多方因果的叠加,我们想要寻找一个引导问题向好方向发展的答案。
2、未建立漏洞应急响应机制的公司对白帽黑客提交的漏洞奖励标准是什么?
文中ID为化名,目的是将视线集中在我们想要讨论问题上,对于个体事件点到为止。
但是我们仍然希望能借由这一事件,让一些问题浮出水面来。
当然,这样的插曲并非常态,我们还是会跟“黑客”搞好关系。
评论