企业内部安全宣贯:乌云网停摆事件的思考与评论

2016年7月20日,“自由平等开放的漏洞报告平台”乌云网[1] 被迫停摆,包括乌云网创始人方小顿[2] 在内的多名高管突然被捕。乌云的存在可以说是为了修复人们长期缺失的安全意识和堪忧的安全生态,但是在当今中国的语境中,相应法规尚未完善以及市场环境不够成熟的情况下,乌云网所走的弯路或者做的努力都有待验证。

西电捷通作为一家领先的网络安全基础技术国际化研究机构。我们研究、设计和交付的网络安全基础协议如果被比喻成盾的话,那么渗透测试或者黑客工具就可以看作是矛。但是在西电捷通安全业务中渗透测试或者黑客工具的使用也可以视为一种有效的诊断措施,简单地说,渗透中找出的漏洞可以被进一步当做从产品的架构设计、研发、测试、运维、甚至完整的产品生命周期各个环节的安全规划输入信息,提前发现自身协议或者系统中的问题。

这个事件给西电捷通敲了个警钟,涉及到“矛”的时候,我们要有所为有所不为,因为也许就是大家的一个“无意之举”,我们西电捷通的公司负责人也有可能面临被带走的后果。所以,在相关法律法规出台之前,西电捷通不希望发生类似的事并为此付出如此沉痛的代价!

0x01:乌云网踩雷的原因究竟是什么?

乌云网作为这个行业的先行者,以漏洞披露作为其商业模式,确实帮助不少机构及时发现了漏洞。但像乌云这样一家民营公司,掌握如此多的安全漏洞,自诞生之日起,其本身就一直游走在法律的灰色地带。同时,乌云网的漏洞披露执行机制,让很多机构和个人也存有很多疑虑。据说圈内流行这样一种做法:黑客们入侵网站盗取信息,最后只要在乌云网向厂商提交漏洞,就可以洗白。以上种种都构成了这次乌云网踩雷的原因。

0x02:从法律角度来说,西电捷通人要了解什么呢?

作为西电捷通的员工,我们有必要重点了解一下漏洞测试的法律边界或者说临界点。

1)  漏洞测试的法律边界在哪里?[3]

我国法律中和攻击入侵有关的主要是《刑法》第二百八十五条、二百八十六条这两条,以及相关司法解释。这两条主要看:有没有越权控制系统,有没有越权获得数据,有没有破坏系统可用性。

简单来理解就是说:入侵获取 10 组以上金融证券行业的用户身份认证信息,或 500 组以上一般系统的用户身份认证信息,或入侵了 20 台系统,就可以判刑了。如果获取 50 组以上金融证券行业的用户身份认证信息,或 2500 组以上一般系统的用户身份认证信息,或入侵了 100 台系统,就可以判三年以上。

如何在漏洞测试过程中避免触犯《刑法》,那么就要注意获取的信息种类和数量,更不要去尝试植入后门。如果从规避自身风险的角度来讲尽量不要触碰一些身份认证信息,所谓身份认证信息,包括帐号、密码、口令、数字证书等。

2) 黑客到底有没有黑白之分?

在IT世界里,黑客分为两种,一种是“黑客”,把系统漏洞兜售到黑市上,谋取巨额利益。另一种则是“白帽子”,把系统漏洞提交给厂商,让厂商及时修复漏洞从而保护用户信息。两者有一个共同点,他们都能够发现计算机和网络系统上的漏洞。但是在一个刚刚对信息安全有些概念的国家里,人们还没有足够的能力去完全辨别“白帽子”的工作和“黑客”有什么区别。两种黑客之间,实际上仅有一线之隔,都游走在法律的边缘。

举一个形象例子[4]来看:有相应技术的黑客们,“黑”进一家企业的系统并发现漏洞,相当于一个江洋大盗撬开了银行的保险柜。按照白帽子、黑帽子约定俗成的分野,黑帽子黑客会直接将保险柜中的财宝席卷一空;但是白帽子黑客的做法,是并不偷拿保险柜中的“一针一线”,而是好心好意告诉银行,保险柜的锁不够安全,应该及时加固,更有甚者,会告诉银行加固的方法。

退一步讲,如果银行的保险柜失窃,丢没丢东西,只要清点一下数目即可。但是数字化的系统对于“闯入者”性质认定就极为复杂,因为数据有着极其容易复制的特性,偷看数据、复制数据都可以非常隐蔽地进行。“数据没有丢失,但不代表没有被偷看、复制,这在技术上比较难以界定。”

0x03:从技术角度来说,西电捷通人如何避免踩上雷?

作为西电捷通人,如果有哪位公司安全技术工程师对挖掘漏洞这方面有浓厚的兴趣或者工作之余做了一些白帽子的工作。但是通过这次事件也应该引起注意,明确哪些红线不能踩:

1) 不要随意使用黑客工具进行非授权测试

未授权的黑盒安全测试从法律角度讲是违法的,也就说没有经过厂商的同意和授权,进行渗透的过程本身就是非法渗透的过程。更重要的是,很多检测工具在检测过程中,可能会涉及到自动缓存数据的问题。或许我们并不愿意获取这个数据,但是检测过程中,工具有可能把数据存储在我们的电脑上,这个情况下就会导致非法获取计算机信息数据。

2) 漏洞测试要经过授权或者报备

如何真正做到负责任的漏洞披露或者测试[5],这个问题值得我们深思。有一些渗透测试是必要的,但是没有授权的渗透无异于无证驾驶。如果大家要在公司内部进行渗透测试,一定要事先在IT或者相关协作上进行报备;如果大家要对其他厂商、企业、个人进行渗透测试一定要经过授权后,注意是授权后,是授权后,授权后(重要的事说三遍)!那什么是经过授权的渗透测试?要有正规的书面/邮件认定,像这样的(模板)。

0x04:从职业操守来说,西电捷通人需要选择做正确的事情!

西电捷通的安全技术工程师们可能会问:“为什么部队里的军人需要实战练习,相互搏击,而不是对着沙袋天天锤?原因很明显,只有在最真实的环境中,才会遇到很多意想不到的问题,而攻克这些问题,才能真正使得技术得以提升,同理,安全人员如果只是拿着虚拟机测试环境在那一遍又一遍的测试的话,多半也是没什么进步的,所以我们不可避免的会接触一些实际环境。”

OK,西电捷通的安全技术工程师们有极强的安全敏感性当然是很好的,但是当面临利益诱惑时要选择做正确的事情。引用《黑客追击令》里非常出名的一句话:“我能从全世界的每一个 ATM 机里取出钱,但是我没有”, 这正是公司要求大家在工作行为上需要做到的应有的自律。

0x05:公司寄语

在日后的工作中,西电捷通希望大家真正将安全融入工作的各个方面,基于对抗的安全研发核心理念并紧扣公司的核心业务进行研究,以及更加全面的判断和有效验证西电捷通公司各安全产品的工程化实现安全性。顾城的一句诗似乎可以道出西电捷通人目前所做的事情:“黑夜给了我黑色的眼睛,而我却用它寻找光明”。

如果您是有兴趣的“技术爱好者”可以选择加入安全可视化团队,与他们一起在遵从国家和地区安全法规的基础上,将你所掌握的技术适当地转化为可视化应用案例,解决客户和基础安全技术之间的认识和理解盲区,提供能够充分满足不同需求的安全可视化解决方案。


[1] 乌云成立于2010年,可以说是中国最大的民间漏洞平台兼“白帽子”聚集地。乌云不止有漏洞报告平台,还有安全领域的知识库、讨论社区,还有众测平台 ( http://ce.wooyun.org )。乌云网此前曝出了多个互联网平台信息泄漏事件,如此前的铁道部官网12306用户数据泄露一事,为乌云网赢得了公众不少好感。

[2] 方小顿,网络ID叫“剑心”,是乌云网的创始人之一,也是赫赫有名的“白帽子”黑客。

[3] 参考TK教主(Tombkeeper)微信公众号的评论文章《关于“白帽子”的法律和道理》

[4] 引用自南方周末记者李在磊的报道文章(http://www.infzm.com/content/118576),借鉴了傅德明(化名)的比喻和个人观点

[5] 互联网工作组在RFC2026《负责任的漏洞披露过程》草案中提到“报告者应确保漏洞是真实的。“

时间: 2024-11-05 21:51:36

企业内部安全宣贯:乌云网停摆事件的思考与评论的相关文章

乌云网停摆之后的思考----记我短暂的互联网安全之旅

近日,听闻著名漏洞报告平台乌云网(http://www.wooyun.org/)被迫停摆,多名高管被抓,网站也贴出“服务升级”公告,暂时无法访问.我与乌云网的几位创始人也有过几次接触,也算从事过互联网安全行业,虽然仍是个门外汉,也希望能够借此聊一下我对互联网安全行业的一些思考和观感. 我真正开始接触安全行业,是从CSDN帐号泄漏事件开始.当时服务的公司也遇到类似的问题,我作为一个门外汉,当时只是在处理帐号问题以及antispam,可以说并没有真正接触安全领域.一次在杭州召开的安全行业大会上,我了

iOS app 企业内部发布及HTTPS服务器配置

iOS企业内部发布及HTTPS服务器配置 一:所需的条件 1. 苹果开发者证书,企业版 299$ 版本 2. ssl 证书,即https使用的服务器证书 3. web服务器,支持https 4. 一个域名,可以是子域名,绑定ssl证书和https服务器 二:大致流程 申请免费或付费ssl证书-----> 配置https web服务器------>发布企业版ios app----->配置safari浏览器安装 1: ssl证书,由于苹果最近的新要求,之前发布使用的http方式已经不行了,现

信息安全意识宣贯

信息安全意识就是人们头脑中建立起来的信息化工作必须安全的观念,也就是人们在信息化工作中对各种各样有可能对信息本身或信息所处的介质造成损害的外在条件的一种戒备和警觉的心理状态. 如何增强信息安全意识? 通过各种形式的信息安全意识教育.培训及宣传,使得信息安全意识融入到生活工作中,变成一种常态化的工作.再配以检测.奖罚等机制,让信息安全意识变得如同呼吸一般必要和自然.汇哲科技至2011开始推动出了一系列信息安全意识免费产品,立志于把信息安全意识打造成一个全民皆晓的.全民皆参与的事情,无论是企业.组织

如何持久建立信息安全意识宣贯/不解释

信息安全意识是企业员工头脑中建立的信息化工作必须安全的观念,在信息化工作中对各种各样有可能对信息本身或信息所处的介质造成损害的外在条件的一种戒备和警觉的心理状态.拥有良好的信息安全意识,能够使得信息安全工作事半功倍. 在当前我国公民的个人信息缺乏专项法律保护的情况下,公民作为个人信息的主体,要加强个人信息安全的保护意识.另一方面,政府有关部门也可以加强个人信息保护法律的宣传,让公民了解如何在日常生活中预防个人信息被泄露,且在个人信息被非法侵害时能够通过法律途径来维护自己的合法权利. 2012年初

企业内部IT一体化系列之一:系统架构

有个构想,将企业内部IT的日常运维,管理以及员工服务等日常全部集合和汇总到一起,说起来简单,其实相当复杂,因为自己在之前的公司曾经做过,虽然还未做完,但是构想有了,期待能有机会实施,现在先把可行的成果展示出来,主要是以前技术定级的时候写的ppt的图,凑合看看吧. 平台架构: 这图是微软给的私有云体系,我基本就是照着这个来做的. 下图是我目前整个系统所有的架构: 大概讲解一下: 1:首先整个企业IT统一管理平台需要一个登入的接口,或者说WEB的平台,那么我用SharePoint来做,WFE01,W

IOS以无线方式安装企业内部应用(开发者)

请先阅读:http://help.apple.com/deployment/ios/#/apda0e3426d7 操作系统:osx yosemite 10.10.5 (14F1509) xcode:Version 7.2 (7C68) 1.Product-- >Archive,如果成功则会弹出Organizer--Archives界面,选择Export 2.选择“企业部署方式” 3.选择相应的账号 4.选择“所有设备” 5.勾选“生成plist文件” 通过无线方式安装需要用到plist文件,所以

细说针对企业内部应用地图开发

从事开发行业以来,本人一直喜欢GIS开发这块.尤其是中国进入电子商务互联网时代以后,电商的发展带动了地图行业的发展,越来越多社会活动和经济活动基于地图开发的产品.各种地图的衍生行业也越来越多,发展最块的就是公共地图行业,百度,谷歌,高德,腾讯等地图龙头企业用户都超大大占有了市场.同时地图衍生社区活动,购物银行等附带产品也日益丰富.在公共地图的打压下,有些地图厂商便将自己的产品转向了企业地图和商用地图的领域. 在地图行业我也算个老人了,所以行业的发展趋势我比较的关注.从朋友的公司最近我也是了解到不

企业内部IT一体化系列之二:系统角色

继续上一章的内容,这章主要将整个系统中每个角色详细讲解一下: SharePoint结构: 由于我在做这个项目的时候,所有的系统要求都是高可用,且公司人员基数也大,所有服务器都是高可用的结构,总过7台服务器,三层结构.两台WEB前端服务器,提供IIS服务,两台APP服务器,重要跑SharePoint的各种应用和服务,比如搜索服务,用户配置同步服务等.两台数据库服务器提供一个数据库群集,一台单独数据库服务器提供报表服务,因为report服务不支持群集.如下图: Operation Manager即S

我所经历的企业中IT部门在企业内部的地位

本月参加了一个ITIL的培训,从培训中了解很多关于企业信息化及系统业务运维的知识和方法论.通过这次培训并结合自己近6年的IT 工作经历,明白了以前很多不明白的道理. 先说说自己经历的几家公司吧,我属于那种跳槽不频繁的那种,工作6年,包括现在这家公司,我只呆过3家公司,这3家公司各有特色. 先说第一家吧,第一家是一家日资的纯软件外包公司,主要是做日本一个大企业的软件外包项目,这家公司的规模虽然不大,员工90%以上 都是中国人,但是管理却是日式的,我进入这家公司时,这家公司在深圳成立还不久,不到一年