早上看到了这个新闻: http://www.solidot.org/story?sid=48713 立马感觉到了一丝丝凉意!
起因:上个星期刚在 V2EX 发了一篇: https://www.v2ex.com/t/286712
后来也在网友的劝说下去 http://www.wooyun.org/ 发了一下,最后得到的乌云反馈是:小漏洞,但联系不到厂商! 再过了几天,发现某某默默的把这个漏洞修复了。
当时虽然有点生气,想评论下什么小漏洞,但现在看来非常谢谢某某的处理方法。 很庆幸,对于当时自己有点喝 high 、闲得蛋疼的情况下所做的事情没有造成多大的问题!
现在,这里的总结一下:
- 没有所谓的白帽子,放弃这个称谓吧! 你所做的入侵检测,以及相应的行为在法律上都算违法。(这个是很明显的),你要承担成为被告的风险。 你所谓的善意,对于被检测公司而言没法看出,没法证明!他们只能看到同样被入侵的行为。
- 私自检测别人的漏洞,并报告,伤害了安全公司的利益!你们都帮忙了,安全公司就越来越没有用了。
- 私自检测别人漏洞,并报告,伤害了被检测公司相关程序员的利益。安全的问题,不只是程序员的问题,但以这样的形式被报告出来,很可能最受伤的是相关程序员。管理层看到这个,如果不是出身于技术,对安全不慎理解,很可能会责怪相关程序员。
所以综上,白帽子的行为得利的只有白帽子所谓提交漏洞得到的那点奖励,其他相关人员都不可能收益,还有极大的被损害利益。所以,白帽子这样的行为在国内暂时行不通!
还要说的一点是,乌云在其中起的作用:我觉得非常不好。被抓与乌云拖不开关系!乌云鼓励了这样一种违法的行为,并且没有警告这些白帽子做相应的个人保护!乌云给人一种错觉:就是这样的行为在国内是安全的,是被这些厂商允许的! 如果该事件已经进入法律阶段,公安部门要取证的情况下,乌云相信也得配合,将这个事件锁定到这个白帽子上。
所以,忘了白帽子吧! 兴趣是兴趣,安全更重要!
2
Select Language