互联网为什么需要“黑客”?

2020 年 7 月 8 日 CSDN

作者 | Yakko Majuri
译者 | 弯月,责编 | 屠敏
图 | CSDN 下载自东方 IC
出品 | CSDN(ID:CSDNnews)

以下为译文:

黑客的契机

不久前,在偶然间我发现了一个拥有数百万用户的网站上的漏洞。

是的,你没听错:偶然发现。

问题在于,我不是黑客。我从来没有尝试过破解任何东西。

那日,我像往常一样浏览该网站,然后就发现这个网站潜在的漏洞。然后我很害怕,非常害怕。

我通过仅有的电脑知识判断:

1)我发现的漏洞对这个网站来说非常危险

2)掌握了这一信息的我一旦犯错,就会惹祸上身

所以,我做了理所应当的事情:我报告了这个漏洞,报告了4次。

问题在于:他们没有负责任的披露政策。这意味着我没有正式的方式将这个问题报告给团队,也没有他们将如何处理这类披露的说明。

这个部分是最恐怖的。没有这样的政策,对于发现服务漏洞的人来说,即使是偶然发现的,也需要在道德义务和自身安全之间做选择。

我不知道我发现的漏洞是否会暴露敏感数据,但从理论上讲,可能会。我没有尝试找出答案,这不关我的事,而且深入研究可能会惹祸上身。

于是,我发现了漏洞,我报告了漏洞,然后就溜之大吉了。之后,我度过了一个不眠之夜,即使我没有做错任何事情。


好人禁止入内

 

这个故事有一个皆大欢喜的结局。

该公司收到了我的报告,立即对其进行了修复,并感谢我揭露了这个漏洞。

然而,很多时候事情不会如此顺利。浏览在线网络安全论坛就会发现,通常研究人员发现的漏洞都会被忽略,或由于担心受到公司的报复而不会予以报告。

没有负责任的披露政策或对善意的白帽黑客的回敬,就像企业前面树立了一个标志“好人禁止入内”一样。

既然好人禁止入内,那么必然会成为坏人聚集的地方。


建立网站轻而易举

 

互联网问世已有很长时间一段时间了,如今几乎任何人都可以拥有网站。

你只需要大约一周的学习,就能掌握建设并启动网站的必要技术。而且,如果不想亲自动手,还有数不尽的服务可以帮你完成。

这是一件了不起的事。

如今,我们可以如此轻松地分享想法、宣传产品并与他人建立联系,但我们也需要付出相应的代价。

随着构建网站和软件越来越容易,黑客攻击的难度也大幅降低。

我们都看到过有关青少年入侵政府组织和大公司的报道。

出现这种情况的原因是,任何人都可以访问互联网,并且某些人一定会尝试搞破坏。

任何曾经运行过Web服务器的人都知道这一点。你的服务器每天都会收到数百甚至数千个非常奇怪的请求,包括请求1700年代《俄罗斯历史》的PDF。他们在寻找某个有可能危及到网站安全的错误。

学习挖掘简单但具有破坏性的漏洞技术并不是很难,而且还有很多工具可以自动扫描这些漏洞。

如果黑客想尝试不太复杂的攻击,那么他们可以设置工具来在线搜索可以为他们所用问题,然后就可以出去喝咖啡了。而且他们确实会这么做。

因此,每年我们都会收到有关各种重大黑客事件的消息,一些大公司未发现的问题是如此低级,即使是实习生也应该能够处理。

例如Tweetdeck的 XSS、iPhone的整形下溢出、WhatsApp 的黑点漏洞,Lenovo发售的设备中带有Superfish恶意软件、Adobe糟糕的密码安全性等等。

仅在去年,一个名为GnosticPlayers的黑客(或组织)在短短几个月内就暴露了近10亿用户记录。

信息泄露和违规到处都是。

例如,与我之前的电子邮件相关的数据至少已泄漏了六次。

我们每个人都可以采取一些措施来保护我们的数据,我建议大家都试试看,例如,过去的几年中,我一直在使用这个工具(https://github.com/yakkomajuri/privacy-initiative)。

然而,我们还有另一种(不太可能的)解决方案来帮助我们减少安全漏洞的数量和影响。


欢迎黑客

 

信不信由你,只要我们欢迎黑客就可以解决上述许多问题。

对于我们大多数人来说,“黑客”一词仍然带有贬义,但这种观点有缺陷。

如果我们假设大多数人都很善良,那么黑客也一样。

确实,黑客也有白帽和黑帽之分:一个是你最大的敌人,但另一个应该是最好的朋友。

黑帽黑客就是我们在新闻中听到的,利用你最喜欢的图形设计网站泄露用户的详细信息。

但是,白帽黑客通常都是有道德的黑客,他们会设法发现网站上的漏洞,但目的不是滥用这些漏洞,而是修复漏洞,并防止黑帽黑客发现这些漏洞。

正因为有了这些黑客,不安全的互联网才仍然可以使用。

但问题在于:我们对他们的支持不够。

科技巨头都明白这一点。这是为数不多的我与科技巨头持相同观点的方面。Facebook、Google、亚马逊、微软和大多数顶级技术公司都拥有广泛的“负责任的披露/漏洞赏金”计划,不但奖金丰厚,而且还会保护白帽黑客。

“找到入侵当地咖啡馆网站的方法,你可能会锒铛入狱。但找到入侵Facebook的方法,你就有可能成为百万富翁。”

尽管这些科技巨头拥有庞大的网络与信息安全部门,但他们仍然意识到为自己的利益支持白帽黑客社区的价值。

一些政府也理解这一点。美国五角大楼以及英国司法部甚至设立了白帽黑客程序。

他们意识到,安全始终需要在修补下一个漏洞的边际成本与收益之间寻求平衡。这也是为什么我们的房屋周围有2米的高墙,而不是20米。因为20米的高墙付出的成本太高,但对提高安全性收效甚微。

换句话说,确保服务百分百安全是不可能的,因此你需要相应地分配有限的资源,并优先考虑哪些漏洞需要修复,即便假设你知道这些漏洞。

然后,让你的服务公开接受世界的审查,并奖励那些帮助你保护你没有找到或没有足够资源来修复的领域。

每个人都是赢家。

HackerOne和Bugcrowd等网站启动了强大的“负责任的披露”计划,帮助各家公司找出其产品和服务中的关键问题。

许多公司甚至不提供金钱奖励。黑客们往往愿意花费数小时或数天的时间免费测试服务,只是为了智力挑战、赢得T恤或者将自己的名字留在公司的网站上。

并非每家公司都能负担得起每年数十万美元的运营网络安全部门开销。但是,每个网站所有者都可以负担得起security.txt文件,并鼓励网站上的白帽黑客行为。

我们越来越重视构建数字产品,但缺乏对网络安全的投资以及白帽黑客的边缘化,这对所有人都有害。

这意味着那些技术娴熟的白帽黑客更有可能由于缺乏支持而“黑化”,而那些考虑从事职业的白帽黑客活动的人也可能会被迫三思。

网络安全工作市场的缺口已高达上千万,并且还在迅速增长,我完全可以理解为什么。

如果现在你问我:“你想成为一名有道德的黑客吗?”

我肯定会说:“拉倒吧。我宁愿好好睡觉。”

原文https://medium.com/london-blockchain-labs/the-internet-is-too-unsafe-we-need-more-hackers-c9742fc1a03b

本文为 CSDN 翻译,转载请注明来源出处。

【End】

更多精彩推荐

B 站 Up 主自制秃头生成器,圆你秃头梦想可好?

☞20年前的程序员什么样?从版主到架构大牛的成长之路

后浪“95”获 CVPR 2020 最佳论文,前得主这样解读

马斯克身家超马云,网友:看完他的履历后一点也不惊讶

用Python轻松搞定Excel中的20个常用操作

孟岩:从DeFi内卷式发展看数字资产的意义

点分享
点点赞
点在看
登录查看更多
0

相关内容

黑客(Hacker,台湾译作「骇客」)广义上指在计算机科学,编程以及设计领域有高度理解力的人。 然而,人们通常对黑客一词的理解都是取其狭义的涵义,即信息安全领域的黑客: 未经许可入侵他人系统并窃取数据信息等的可以视为 黑帽黑客,也可取侩客 cracker 的涵义。
而主要从事安全检测,系统调试,技术研究的安全从业者可称为 白帽黑客
还有一种存在称为「脚本小子」,往往冒充黑客也常被人误认为是「黑客」,其实是利用一些现有的工具或者程序达到入侵或破解等目的,然而其知识储备以及对技术的理解力却完全不符合广义黑客的标准,甚至不及狭义黑客标准。
【2020新书】社交媒体挖掘,212pdf,Mining Social Media
专知会员服务
60+阅读 · 2020年7月30日
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【2020新书】从Excel中学习数据挖掘,223页pdf
专知会员服务
90+阅读 · 2020年6月28日
最新《Deepfakes:创造与检测》2020综述论文,36页pdf
专知会员服务
62+阅读 · 2020年5月15日
德勤:2020技术趋势报告,120页pdf
专知会员服务
190+阅读 · 2020年3月31日
【资源】100+本免费数据科学书
专知会员服务
107+阅读 · 2020年3月17日
【新书】Python中的经典计算机科学问题,224页PDF
专知会员服务
52+阅读 · 2019年12月31日
分享8个强大的黑客技术学习网站
黑客技术与网络安全
88+阅读 · 2019年8月29日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
Python为啥这么牛?
Python程序员
3+阅读 · 2018年3月30日
为什么你应该学 Python ?
计算机与网络安全
4+阅读 · 2018年3月24日
为什么 Python 更适合做 AI/机器学习?
计算机与网络安全
10+阅读 · 2018年3月18日
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
Arxiv
22+阅读 · 2019年11月24日
Arxiv
18+阅读 · 2019年1月16日
VIP会员
相关VIP内容
【2020新书】社交媒体挖掘,212pdf,Mining Social Media
专知会员服务
60+阅读 · 2020年7月30日
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【2020新书】从Excel中学习数据挖掘,223页pdf
专知会员服务
90+阅读 · 2020年6月28日
最新《Deepfakes:创造与检测》2020综述论文,36页pdf
专知会员服务
62+阅读 · 2020年5月15日
德勤:2020技术趋势报告,120页pdf
专知会员服务
190+阅读 · 2020年3月31日
【资源】100+本免费数据科学书
专知会员服务
107+阅读 · 2020年3月17日
【新书】Python中的经典计算机科学问题,224页PDF
专知会员服务
52+阅读 · 2019年12月31日
相关资讯
分享8个强大的黑客技术学习网站
黑客技术与网络安全
88+阅读 · 2019年8月29日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
Python为啥这么牛?
Python程序员
3+阅读 · 2018年3月30日
为什么你应该学 Python ?
计算机与网络安全
4+阅读 · 2018年3月24日
为什么 Python 更适合做 AI/机器学习?
计算机与网络安全
10+阅读 · 2018年3月18日
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
Top
微信扫码咨询专知VIP会员