雷锋网按:本文作者赵武,白帽汇创始人,作者原定标题为《白帽子与漏洞平台》。
“非常感谢提交漏洞和对XXXX的支持,我们已第一时间将漏洞修复完毕,并抓捕了你”。看过这么一句话,你会不会莞尔一笑?对了,还有一条表情包的内容是这样的“我有乌云保护,日你网站怎么了,不仅日你网站还拖你裤子……怎么了”。大家又乐呵了一把。
昨天一条信息引爆了国内的信息安全行业,某厂商报案把某平台上一个提交漏洞的技术人员给抓了,行业两派的争议不断,互相鄙视,程度远远超过了当年Windows阵营对Mac阵营。“白帽子”派(我们姑且这么叫)是说厂商太无耻,我们好心给你们提漏洞,你们居然敢这么对我们,你们要像其他厂商学习,人家不只快速修复,还有奖励;“亲厂商”派说你们明确触犯了刑法,未得到授权,泄露了信息,把一个单纯的技术漏洞硬是利用到了公关层面,公开数据公开细节,对企业造成了极大的负面影响。
我并不想就本身的事件进行任何的重复,我码这段文字是因为我发现大家没有意识到,要争论的根本问题是什么。白帽子和漏洞平台到底想要达到什么样的诉求,厂商到底想要达到什么样的诉求,以及最终能通过什么样的渠道去解决。
大家喜欢用一句话来说明问题“不忘初心,方得始终”,这似乎是一把尚方宝剑,放到哪都能用,都是权威,说了这句话我们就无敌了,任何伤害反弹。好吧,我们按照这个思路来说明一下问题。漏洞平台的初衷和白帽子的初衷是什么?我暂且先用这么一句话来代表白帽子描述——
“我们有着足够强大的技术力量能够帮助企业发现问题,并协助企业解决问题。也希望企业能够信任我们,支持我们的行为。我们并不求任何回报,不过有一定的回报我相信我们能配合的更深入更好。”
我觉得这个初心没有任何问题,这个社会一定有很多人心存善意,愿意打造一个和谐互助的环境。但是一个巨大的拦路虎在哪里:刑法两次的修正案都明确定性了,未授权入侵检测,获取了数据,尤其是在传播的情况下明确属于违法行为。这些条文大家能看出来,防君子不防小人。一个国家需要这么一批有能力的人,但是又不希望是完全不可控的,所以立了法,没有伤害没人追究就持观望态度,一旦事情闹大有了负面影响,不打击是不可能的了。
任何一个个体抗风险能力为0,你的善心在尚未得到验证之前是不被认可的,说抓也就抓了。于是出现了一些漏洞平台,他们有一些官方层面的认同和合作,有些事情就有了沟通渠道。这时候,白帽子群体的共同诉求开始进行了转变,他们希望“这种漏洞的发现和披露形式是合法合规且合理的”。也许掩盖了一些鱼目混杂的假白帽,但是大部分人还是希望能够往好的方向发展。
这个过程中,形式确实发生了一些变化,执法部门加入了尝试性的接触和观望态度,他们也不希望涉入太深;各企业也开始了与各漏洞平台试探性的合作。记住了,这些都是实验性质的,谁也没有对此定型善或者恶,都想先通过行业的自我发展来进行妥协和调整。
但是这种尝试性的合作前期引起了误解,最直接的体现是有少数一批白帽子们并没有认清形势的发展,突然感觉良好,认为漏洞平台的实验性质的合作就是合法,导致无限膨胀了。比如有白帽子认为不给奖励就是有问题,比如有白帽子认为厂商在技术上不认为是漏洞也是有问题,甚至是这种问题激怒了白帽子引发了“恐吓”,“脱裤”,“删数据”等过激行为(这是真实发生过的)。
前期冲突几乎是一定的,可以预见的,因为没有规则,没有权威的机构,只有民间自建的体系。记住了,所谓的和谐体系是一个初期妥协的产物,厂商对漏洞平台的所谓合作,以及对白帽子们的认同,这种微妙的合作关系非常脆弱,就如同一张窗户纸,一捅即破。如果厂商觉得白帽子的行为不可控,所谓的提交漏洞对企业弊大于利,那么企业就会反弹,撕破那张纸,向有关部门施加压力。相关部门压力积累到一定量的时候,很多事情就扛不住了,心想给你们机会不好好珍惜,闹得社会不安宁,看着心烦于是干脆一巴掌拍死得了。
我们回到最初的诉求,白帽子是希望自己的身份得到认可,希望跟企业更好的合作。企业希望看到的是你真诚的笑脸,而不希望看到你背到后面的手上拿着一把刀。尤其在这个已经明确定义为不合法的法律社会,白帽子很多事情不能做,很多玩笑不能开。你可以试想一个国家的领导人到劳苦大众中视察,满脸的笑亲切的很,但是如果一个小摊贩不识好歹,尝试跟领导人勾肩搭背做兄弟状,他离死也就不远了。领导人跟你勾肩搭背开玩笑可以,你爬到他身上就不行。
上面说的大家如果能理解,那么我们再往后走一步:目前不合法,未来能不能合法?如果未来都看不到希望,我觉得这个社会未免太黑暗了。同性恋在多少年前全球就不合法,但是到今天我们再看看,许多国家已经明确立法支持合法,很多国家虽然没有明确支持,但是也没有明确反对了,这就是进步这就是改变,这就是方向。所以,其实各大漏洞平台都在做这样的尝试:
漏洞平台越来越多,接入的厂商越来越多,跟相关部门的合作月来越多,白帽子越来越多切越来越能管控自己在一个合理可控的区域,那么整个生态体系的抗风险能力就强了,它就从一个黑暗面逐步进化到台前。
这难道不就是希望么?
有个观点我还想说一说,白帽子之所以发生膨胀,漏洞平台不能完全脱离干系,如果平台没有处理好跟厂商的关系,那么平台必须对真正善意白帽子做好保护工作,比如漏洞如何披露,数据如何展示。白帽子没有法律意识,漏洞平台必须有法律意识,找相关的律师事务所合作,不只是保护平台,也要保护好白帽子在做贡献的同时自身是安全的。除此之外,给白帽子进行一些规范,有所为有所不为,哪些红线不能踩一定要先沟通好。否则,收漏洞时很开心,披露时也很开心,事情闹的还挺大,出事了平台说跟我无关是不利于行业发展的。
最后,有利益的地方就有犯罪,有进步的地方就有冲突。我们不要因为一些特例来一棒子打死一个新方向的尝试,我们为任何过激行为(不论是白帽子还是厂商)表示遗憾,我们还是希望呼吁所有人正确看待白帽子们的贡献。电能电死人不代表我们就不用电,车能撞死人不代表我们就不开车,电和汽车都是科技的产物,都是人类社会进步的产物。我们应当给予适当的包容,适当的理解,适当的欣赏。
几点补充:关于这件事情本身,我跟平台和企业方之前都深入接触过,因此我也想再补充几句:
1、白帽子未必做了伤天害理的事。对他而言,当他在点击“提交漏洞”按钮的时候并不认为跟往常有任何区别。只是报告漏洞,提供了一些证据,然后收到企业方的致谢以及小礼物。他知道自己并未做出任何破坏性的工作,相信厂商是理解的。
2、企业方的技术团队未必真要抓白帽子。大家想过没有,所有企业内部的安全技术团队成员其实就构成了现在的所有漏洞平台的白帽子团队,他们发现别人厂商漏洞的成就感远比发现自己公司的漏洞来得更强。某种意义上说,虽然技术人员相爱相杀,但是某个层面上会达成一致,不至于通过法律途径来解决。就好比小学生闹矛盾,大家会鄙视“告老师”的那位小盆友。所以,不要鄙视厂商的技术团队。
最后,为什么会出现此类情况?我觉得两种可能性比较大:
一是白帽子沟通过程中表达不当(白帽子太不擅长跟厂商打交道了,同学们啊)激怒了厂商;
二是厂商那边有个“主战派”,他们不一定懂技术,但是一定是公司相关权利部门,比如法务部/公关部之类的,当然,最怕的是老板,最怕的是老板,最怕的是老板。一个暴燥如雷的老板会直接推动事情的进展。他们会喊出“犯我领土者,虽远必诛”的口号。强权确实在某些方面是有效的,至少气势上威慑住你。
所以,别怪白帽,别怪企业技术团队。大家多一些包容,把误会一步一步地消除。