白帽子与厂商battle的那些事,你是否也遇到过?
在无数个向厂商提交漏洞的日子里, 以下的场景你是否似曾相识?
- 被厂商“白嫖”:“这根本不是一个漏洞!” 但当你再次复查时,发现漏洞已经被修复。
- 被厂商的威胁:“这就不是一个洞,但你敢公开的话就试试看!”
- 被厂商误会:“你知道这样是违规披露漏洞吗?我会报警的!......” 然后你真的就被邀 “喝茶”了。
- 被厂商“占便宜”:“不好意思,今日起,这类漏洞的奖金减半!”
近几年,白帽子私曝漏洞的事件频发,在业界引起了不小的波澜,在告知白帽子私曝漏洞的行为会有触犯法律的风险,呼吁白帽子加强法律意识之际,好像没有人去深究白帽子选择私曝漏洞的原因,也没有人问过他们,“为什么你要违规披露漏洞?”。
为了一探究竟,笔者采访了四位来自不同团队、不同背景的白帽子,了解这个群体选择私曝漏洞背后可能的原因。
答案似乎很一致:炫技、法律意识不强、由于误会和厂商起了冲突所以一气之下公布漏洞……这三点是造成白帽子私曝漏洞的常见原因,其中第三点很可能是最主要的原因。
“不承认漏洞就算了,他们还威胁我!你敢信?”
被误会的月神:2017年,我在提交了某个互联网新闻平台的漏洞后,立马接到了厂商的电话, “你到底是谁,你是不是要攻击我们,如果你敢乱来,我们就要报警了”,和对方解释了半天,我才发现对方根本不是该厂商SRC的对接人,只是该平台的业务人员,并且其对白帽子这一群体的性质并不了解。
被“白嫖”的Balis0ng:遇到过一些厂商,对我提交的漏洞报告置之不理,过了几天我再去检测,发现漏洞已经被修复了……我还遇到过向厂商连续提交了两个漏洞,但厂商SRC对接人表示经过开发人员鉴定,认为这两个漏洞是同一个漏洞的情况,我也是很无语。
被威胁的小七:2018年,在提交了某大厂的漏洞后,我接到了厂商的来电,他们不但不承认这是一个漏洞,还威胁我,“如果将漏洞公开,你以后不好找工作吧?”,不承认漏洞就算了,他们还威胁我!你敢信?
被“教育”的远海:在一周内提交了某教育平台的6个系统漏洞后,我被使用该教育平台的厂商运维人员“教育”了一顿。应该是一下子提交了太多的漏洞,耽误运维人员下班了,所以当时厂商的运维人员还特地通过ID找到我,把我说了一顿。
被误会可以选择解释、被“教育”可以选择体谅、可是当被“白嫖”和威胁时,白帽子也只能选择自认倒霉吗?“是的,没错,遇到了也就只能自己吃了这个亏,也没有任何办法,但是好在大多数正规的厂商,不会这样对我们”,Balis0ng说道。
接受采访的这四位白帽子,在向厂商提交漏洞时,均吃过不少“哑巴”亏,即使在厂商不愿意承认他们提交的漏洞时,他们也从来没有想过要私曝漏洞,究其原因,是他们对正义那颗初心的坚守,也是因为他们深知,这种行为不但会将本来有理的他们推向无理的边缘,他们还要承担被追究法律责任的风险。因此,要从根本上避免白帽子私曝漏洞事件的发生,除了法律法规的完善和普及,还需要各大厂商一同努力。
“随着法规的完善和行业的成熟,我相信私曝漏洞的行为会越来越少”
《中华人民共和国网络安全法》规定,开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。随着《网络安全漏洞管理规定(征求意见稿)》的出台,有关网络安全从业人员的相关行为规定更加明确和细化:第三方组织或者个人不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息,不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具。一般情况下,发现漏洞后,第三方组织或者个人可以将相关漏洞报送给CNNVD或CNVD,CNNVD或CNVD将会在5个工作日内予以确认回复,并通知厂商在90/10天内修复,厂商采取漏洞修补或防范措施后再予以公开。
《网络安全漏洞管理规定(征求意见稿)》的发布,是为了规范网络安全漏洞报告和信息发布行为,同时督促相关厂商、第三方及运营方及时应对漏洞问题,这是在《中华人民共和国网络安全法》的基础上,法制体系进一步完善的体现。
“随着该规定的出台,能有效减少白帽子因为炫技或者法律意识不强而私曝漏洞的行为。”
接受采访的四位白帽子均认为,《网络安全漏洞管理规定(征求意见稿)》能起到规范行业行为和保障行业健康发展的作用。
“从大学的硬性教育作为突破口,是一个不错的选择。”
据远海透露,有关网络安全法知识的课程,在他的学校目前是以选修网课的形式开展的,而那些没有选修该课程的学生,可能对哪些行为会触犯法律并不清晰,随着我国网络安全市场越发活跃以及相关法律法规陆续出台,他认为从大学的硬性教育作为突破口,是一个不错的选择。
“建立漏洞仲裁机制,有助于减少白帽子和厂商之间的‘扯皮’事件。”
随着腾讯、百度、阿里、华为、深信服、滴滴等各大厂商安全应急响应中心的机制日渐完善,越来越多的白帽子更倾向于向厂商直接提交漏洞,一是因为厂商一般会优先处理在自己平台上提交的漏洞,二是因为直接向厂商提交漏洞,白帽子能获得更多的回报。Balis0ng也谈到:“现在各大厂商也越来越重视白帽子的贡献,比如2020年,腾讯首次推出了百万奖金池,单个漏洞额外奖励最高可达20万元;深信服前不久升级了奖励机制,单个漏洞税后最高奖励金额有50万元;滴滴于2021年增加了年度奖励规范中获奖金的名额,年度排名第一的白帽子可获得8万元奖励。”
“很多大厂还是很有诚意的,其实我们也感受的到,所以我们现在也比较倾向于向厂商直接提交漏洞”,Balis0ng说道。但是直接向厂商提交漏洞,白帽子有时候也会面临一些问题,比如当厂商驳回漏洞时,白帽子就只能在“守法等于吃亏”和“暴洞等于犯法”之间选择吗?
Balis0ng认为,如果可以在业内建立漏洞仲裁机制,当白帽子与厂商因为漏洞鉴定出现争执时,第三方机构可以介入仲裁,那将能有效减少白帽子因为厂商驳回漏洞而违法披露的行为。
总结
在网络世界,如果说恶意黑客是矛,利用系统或软件的漏洞,非法入侵并获取利益,那白帽子就是盾,他们选择用技术来保护网络安全,他们需要比恶意黑客跑的更快,他们发现的漏洞越多,网络世界也就更安全,但相比恶意黑客的“张扬”,他们的事迹却鲜有人知,他们更像是隐世高手,低调地大战四方。虽然有时候他们会被误解,有时候他们的付出没有得到应有的回报,但是他们还是坚守了自己的初衷,做正义的事情。
接受采访的四位白帽子均表示,随着行业的发展和规范,目前白帽子群体遇到的一些困境都会得到有效的解决,同时他们也呼吁白帽子从保护自己的角度出发,依法披露漏洞,不要因为一时气愤让自己面临触犯法律的风险并带上“无理”的枷锁。
