以下为译文:
黑客的契机
不久前,在偶然间我发现了一个拥有数百万用户的网站上的漏洞。
是的,你没听错:偶然发现。
问题在于,我不是黑客。我从来没有尝试过破解任何东西。
那日,我像往常一样浏览该网站,然后就发现这个网站潜在的漏洞。然后我很害怕,非常害怕。
我通过仅有的电脑知识判断:
1)我发现的漏洞对这个网站来说非常危险
2)掌握了这一信息的我一旦犯错,就会惹祸上身
所以,我做了理所应当的事情:我报告了这个漏洞,报告了4次。
问题在于:他们没有负责任的披露政策。这意味着我没有正式的方式将这个问题报告给团队,也没有他们将如何处理这类披露的说明。
这个部分是最恐怖的。没有这样的政策,对于发现服务漏洞的人来说,即使是偶然发现的,也需要在道德义务和自身安全之间做选择。
我不知道我发现的漏洞是否会暴露敏感数据,但从理论上讲,可能会。我没有尝试找出答案,这不关我的事,而且深入研究可能会惹祸上身。
于是,我发现了漏洞,我报告了漏洞,然后就溜之大吉了。之后,我度过了一个不眠之夜,即使我没有做错任何事情。
这个故事有一个皆大欢喜的结局。
该公司收到了我的报告,立即对其进行了修复,并感谢我揭露了这个漏洞。
然而,很多时候事情不会如此顺利。浏览在线网络安全论坛就会发现,通常研究人员发现的漏洞都会被忽略,或由于担心受到公司的报复而不会予以报告。
没有负责任的披露政策或对善意的白帽黑客的回敬,就像企业前面树立了一个标志“好人禁止入内”一样。
既然好人禁止入内,那么必然会成为坏人聚集的地方。
互联网问世已有很长时间一段时间了,如今几乎任何人都可以拥有网站。
你只需要大约一周的学习,就能掌握建设并启动网站的必要技术。而且,如果不想亲自动手,还有数不尽的服务可以帮你完成。
这是一件了不起的事。
如今,我们可以如此轻松地分享想法、宣传产品并与他人建立联系,但我们也需要付出相应的代价。
随着构建网站和软件越来越容易,黑客攻击的难度也大幅降低。
我们都看到过有关青少年入侵政府组织和大公司的报道。
出现这种情况的原因是,任何人都可以访问互联网,并且某些人一定会尝试搞破坏。
任何曾经运行过Web服务器的人都知道这一点。你的服务器每天都会收到数百甚至数千个非常奇怪的请求,包括请求1700年代《俄罗斯历史》的PDF。他们在寻找某个有可能危及到网站安全的错误。
学习挖掘简单但具有破坏性的漏洞技术并不是很难,而且还有很多工具可以自动扫描这些漏洞。
如果黑客想尝试不太复杂的攻击,那么他们可以设置工具来在线搜索可以为他们所用问题,然后就可以出去喝咖啡了。而且他们确实会这么做。
因此,每年我们都会收到有关各种重大黑客事件的消息,一些大公司未发现的问题是如此低级,即使是实习生也应该能够处理。
例如Tweetdeck的 XSS、iPhone的整形下溢出、WhatsApp 的黑点漏洞,Lenovo发售的设备中带有Superfish恶意软件、Adobe糟糕的密码安全性等等。
仅在去年,一个名为GnosticPlayers的黑客(或组织)在短短几个月内就暴露了近10亿用户记录。
信息泄露和违规到处都是。
例如,与我之前的电子邮件相关的数据至少已泄漏了六次。
我们每个人都可以采取一些措施来保护我们的数据,我建议大家都试试看,例如,过去的几年中,我一直在使用这个工具(https://github.com/yakkomajuri/privacy-initiative)。
然而,我们还有另一种(不太可能的)解决方案来帮助我们减少安全漏洞的数量和影响。
信不信由你,只要我们欢迎黑客就可以解决上述许多问题。
对于我们大多数人来说,“黑客”一词仍然带有贬义,但这种观点有缺陷。
如果我们假设大多数人都很善良,那么黑客也一样。
确实,黑客也有白帽和黑帽之分:一个是你最大的敌人,但另一个应该是最好的朋友。
黑帽黑客就是我们在新闻中听到的,利用你最喜欢的图形设计网站泄露用户的详细信息。
但是,白帽黑客通常都是有道德的黑客,他们会设法发现网站上的漏洞,但目的不是滥用这些漏洞,而是修复漏洞,并防止黑帽黑客发现这些漏洞。
正因为有了这些黑客,不安全的互联网才仍然可以使用。
但问题在于:我们对他们的支持不够。
科技巨头都明白这一点。这是为数不多的我与科技巨头持相同观点的方面。Facebook、Google、亚马逊、微软和大多数顶级技术公司都拥有广泛的“负责任的披露/漏洞赏金”计划,不但奖金丰厚,而且还会保护白帽黑客。
“找到入侵当地咖啡馆网站的方法,你可能会锒铛入狱。但找到入侵Facebook的方法,你就有可能成为百万富翁。”
尽管这些科技巨头拥有庞大的网络与信息安全部门,但他们仍然意识到为自己的利益支持白帽黑客社区的价值。
一些政府也理解这一点。美国五角大楼以及英国司法部甚至设立了白帽黑客程序。
他们意识到,安全始终需要在修补下一个漏洞的边际成本与收益之间寻求平衡。这也是为什么我们的房屋周围有2米的高墙,而不是20米。因为20米的高墙付出的成本太高,但对提高安全性收效甚微。
换句话说,确保服务百分百安全是不可能的,因此你需要相应地分配有限的资源,并优先考虑哪些漏洞需要修复,即便假设你知道这些漏洞。
然后,让你的服务公开接受世界的审查,并奖励那些帮助你保护你没有找到或没有足够资源来修复的领域。
每个人都是赢家。
HackerOne和Bugcrowd等网站启动了强大的“负责任的披露”计划,帮助各家公司找出其产品和服务中的关键问题。
许多公司甚至不提供金钱奖励。黑客们往往愿意花费数小时或数天的时间免费测试服务,只是为了智力挑战、赢得T恤或者将自己的名字留在公司的网站上。
并非每家公司都能负担得起每年数十万美元的运营网络安全部门开销。但是,每个网站所有者都可以负担得起security.txt文件,并鼓励网站上的白帽黑客行为。
我们越来越重视构建数字产品,但缺乏对网络安全的投资以及白帽黑客的边缘化,这对所有人都有害。
这意味着那些技术娴熟的白帽黑客更有可能由于缺乏支持而“黑化”,而那些考虑从事职业的白帽黑客活动的人也可能会被迫三思。
网络安全工作市场的缺口已高达上千万,并且还在迅速增长,我完全可以理解为什么。
如果现在你问我:“你想成为一名有道德的黑客吗?”
我肯定会说:“拉倒吧。我宁愿好好睡觉。”
原文:https://medium.com/london-blockchain-labs/the-internet-is-too-unsafe-we-need-more-hackers-c9742fc1a03b
本文为 CSDN 翻译,转载请注明来源出处。
【End】
更多精彩推荐
☞后浪“95”获 CVPR 2020 最佳论文,前得主这样解读
点分享 点点赞 点在看