世界上的许多冲突,归根结底就四个字:认知差异。打个比方:
小张他女朋友说该换裙子了,小张以为她嫌天气太热,而女友想的却是“又该买新裙子了”。
面对同一个事情,认知的不同导致了角度、观点的不对称,由此引发冲突。这种认知差异的怪圈,存在于每个人的身上,哪怕是看起来无所不能的黑客也无法逃脱。而且,当认知差异发生在黑客身上,事情变得更加有趣。
安全众测平台漏洞盒子的负责人曾裕智向雷锋网讲述了他看到的,黑客遭遇的认知差异。
程序员通常喜欢把程序出现的所有问题统称为“Bug”,无论是编程问题、逻辑问题,还是设计问题。然而,每个人对 Bug 的认知不同,便产生了认知差异。
曾裕智为雷锋网编辑讲了一个真实案例:
一个公司开发的 APP 具备发送短信验证码的功能,它的流程是“输入手机号并确认 → 收到短信验证码 → 填入验证码 → 验证完成。” 整个短信验证流程很完整,在开发者眼里,没有任何 “BUG” 。
然而这世上却有种叫“短信轰炸机”的东西,攻击者可以通过大量重复调用APP的短信接口来对某一个号码实施“短信轰炸”。于是,在黑客的眼里,这个流程有“BUG”,因为他没有对短信轰炸问题做处理。
▲短信轰炸器截图,图片来自网络
这就是开发者和黑客的典型认知差异,前者看重逻辑和预期,后者看重可能性和危害。
漏洞盒子作为一个漏洞众测平台,站在企业和白帽子的中间,他们需要借助民间白帽子黑客(安全测试人员)的力量来帮助企业发现安全漏洞,便注定每天面对无数类似的认知差异。
不过他们找到了一个解决思路:明确定义和规则。他们知道,当双方产生认知差异时,只有从双方都认同的定义和规则出发,才可能达成最后的一致。
他们把“安全漏洞”定义为“可能对业务造成不良影响或损失的缺陷,一旦处理不当就可能引发安全事件和安全事故。”。这和安全行业通用的定义,也是双方都认同的。
按照这样的定义,上文案例中的问题就不难处理。企业的 APP 一旦被攻击者短信轰炸,轻则造成短信资源浪费,重则引起大量用户投诉,导致短信接口屏蔽被电信运营商屏蔽,造成业务中断。因此,短信接口没有做防攻击处理,应该视为“安全漏洞”。
“最后双方达成一致,APP开发者对短信验证码接口加入了验证码,并且对短信次数进行了限制,从而降低了被利用于短信轰炸的风险。”曾裕智说,这其中最重要的一点,就在于对安全漏洞及安全事件的定义。
漏洞盒子首页上有句这样的话:
漏洞盒子是一个互联网安全测试平台,它的模式是众包全球各地的网络安全专家,让他们在平台上去为企业解决各种各样的网络安全问题。
这句话里的“安全专家”,指的是白帽子(善意的黑客)。但漏洞盒子更愿意称他们为“网络安全专家”而非“白帽子”或“黑客”,因为人们黑客这个词本身就存在认知偏差。
黑客是什么?有人觉得它具有褒义,只有技术高超的人才有资格叫黑客;有人觉得黑客带有贬义,他们喜欢利用技术来搞破坏和恶作剧;而更常规的解释则是一个中性词,意为“精通电子计算机技术的人”。
对“黑客”的认知差异体现在漏洞平台上,最直接的体现就是厂商无法彻底摆脱对白帽子的忌惮,他们担心所谓“安全专家”会在测试漏洞时做一些坏事,拖走他们的数据库、泄露商业隐私等等。
这一点和网约车非常相似,3年前,网约车乘客遭遇司机不法侵害的事件偶有发生,许多漂亮姑娘不敢用打车软件,因为在许多人的认知当中,网约车的前身就是不安全的“黑车”。“安全专家”的前身终究还是黑客。
网约车解决这个问题的方法是“明确规则”,比方说对司机进行实名认证。而漏洞盒子解决认知差异问题的方法也是明确规则。曾裕智告诉雷锋网,漏洞盒子主要从三个方面对交易过程进行严格的风险控制:
对象风控:是指平台会实名制测试人员的身份,同时也校验企业的资质 ——即打车之前先实名登记司机和乘客身份。
过程风控:是指平台会提供网络镜像流量、VPN等,确保审计测试人员的行为 —— 即乘车时在车里安装一个行车记录仪。
结果风控:是指通过法律协议,严禁“白帽子”对外透露测试过程和结果的任何细节。—— 即签约不允许透露乘客信息。
如今网约车已经成为许多人生活的一部分,这在某种程度上得益于规则的完善。同样基于共享模式的“安全众测”,未来或许也会在不断完善的规则之下,逐渐被更多的人所接受。
曾裕智告诉雷锋网,在漏洞盒子的平台上进行安全检测,一开始不用支付任何费用。检测结束之后,平台会按照漏洞数量和危害级别计费,没有发现问题一分钱也不用付,即所谓的“按效果付费。”
这将导致了另一个认知差异:既然按效果付费,效果好不好,谁说了算?
曾经有这么个段子,一家餐厅做关于菜品价格的问卷调查,结果价格一降再降,顾客依然在问卷里表示“太贵”,老板很郁闷,明明自家菜价比别家低很多,为什么顾客还觉得贵?一名服务员点醒他:这世上哪有嫌便宜的?就算你免费赠送,也会有人想让你倒贴钱。
同样的道理,让企业来评定安全效果,永远都是“不够好”,让测试人员来评定,永远都“很好”。
曾裕智告诉雷锋网,解决办法依然在于“双方都认同的定义和规则”。正因如此,漏洞盒子在漏洞价值评定上采用国际公认的漏洞评级标准 CVSS 。
据雷锋网了解,CVSS标准由安全组织 FIRST 管理。这个组织来头相当大,主要成员是各国的国家应急响应中心以及谷歌、苹果这样的行业巨头,国内仅有华为、中兴两家是企业成员。CVSS 漏洞标准在行业内具有相当高的权威性。
▲CVSS标准示意图 ,图片来源漏洞盒子官网
无独有偶,此前美国知名的漏洞平台 Hacker one 的首席运营官(COO) 王宁向雷锋网编辑透露,他们也曾遭遇过因漏洞鼓励计划没写明确,造成白帽子和企业双方的误解。
就在 2017年3月中旬,雷锋网得知, Hacker one 也开始放弃他们原本自己制定的漏洞分级评定标准,不断向 CWE、CVSS 等行业通用标准靠拢。今年五月份, Hacker one 将发布美国国防部推出“黑掉美国空军”漏洞奖励项目,鼓励黑客们来漏洞平台黑掉美国国防部。
Hacker one 能够得到国防部的信赖,相信其中的一大原因就在于其规则的公认性。
▲“黑掉空军”宣传海报
黑客与规则,说起来其实挺有趣的。在雷锋网编辑眼里,黑客通常是打破规则,不受约束的角色,而像漏洞盒子这样漏洞平台的出现,又恰恰要为黑客提供一套规则,让他们遵循平台的规则行事。或许未来“黑客”这个词会越来越少用,而更多出现在我们眼中的将是“网络安全专家”。又或者,关于黑客是否“喜欢打破规则,不受约束”的话题,同样存在认知差异。