白帽黑客因在漏洞眾測平臺(tái)提交漏洞,遭廠商舉報(bào)并被警方抓捕一事,在發(fā)酵了一段時(shí)間之后,終于引起了大規(guī)模的爭論。爭論的焦點(diǎn)集中在“未經(jīng)授權(quán)的滲透測試”這一模式是否應(yīng)該繼續(xù)進(jìn)行下去。
支持方認(rèn)為,這種模式警醒了漠視安全的企業(yè)或機(jī)構(gòu),吸引更多的信息安全愛好者加入白帽子的行列,為整個(gè)社會(huì)的安全狀況帶來了革新。反對(duì)方則認(rèn)為,這種模式助長了測試和闖入別人信息系統(tǒng)的隨意性和不負(fù)責(zé)性,甚至連黑帽子都可以利用這一模式在非法獲利的同時(shí)以白帽子的身份掩護(hù)自己,而且最難反駁的論據(jù)是,這一行為涉嫌違法。
在本文中,筆者試著先把爭論中的各種論據(jù)細(xì)節(jié)放在一邊,而從三個(gè)已經(jīng)發(fā)生的事實(shí)推導(dǎo)出未來可能的趨勢,透過現(xiàn)象看本質(zhì),以期引起大家的深度思考,而不是陷入無果的爭論。
第一個(gè)事實(shí):烏云的崛起
近兩年來,通過重大漏洞的曝光,烏云影響力飛速崛起。但大家有沒有考慮這是為什么?為什么在眾多影響巨大的漏洞曝光后,烏云還能夠矗立不倒?
其實(shí)許多人都知道答案,重大信息系統(tǒng)的漏洞危害整個(gè)社會(huì),揭開比捂著健康,加上給全社會(huì)網(wǎng)絡(luò)安全意識(shí)帶來的普遍提升,是一股強(qiáng)大的無形力量支撐著烏云。
第二個(gè)事實(shí):甲方的態(tài)度
這也是業(yè)內(nèi)眾所周知的一個(gè)事實(shí),被披露漏洞的企業(yè)或機(jī)構(gòu),對(duì)外來人員參與滲透測試的態(tài)度也在逐漸的轉(zhuǎn)變,這種轉(zhuǎn)變無疑并已經(jīng)給整個(gè)安全行業(yè)及至整個(gè)社會(huì)帶來巨大的價(jià)值。但仍然還有一些人的思想并未轉(zhuǎn)變過來,尤其是重要行業(yè)或領(lǐng)域的國有企業(yè),眾測模式對(duì)他們來說更是難越雷池一步。
第三個(gè)事實(shí):五角大樓的眾測
1400名白帽子應(yīng)邀參加針對(duì)五角大樓的滲透測試,并檢查出100多個(gè)漏洞,這就是美國最高國防機(jī)關(guān)對(duì)眾測的開放態(tài)度。
透過上述三個(gè)事實(shí)可以簡單抽象出一段結(jié)論:漏洞眾測是真實(shí)的安全需求,是有效的安全解決方案。我國目前的眾測模式還處于起步階段,未來很可能有著巨大的發(fā)展?jié)摿Α?/strong>
相信這一結(jié)論大多數(shù)人都不會(huì)反對(duì),實(shí)際上大家爭論的焦點(diǎn)還是“未授權(quán)的滲透測試”,至于漏洞披露與否或披露方式則是建立在這一基礎(chǔ)之上的,因?yàn)槿〉檬跈?quán)的前提是雙方要達(dá)成對(duì)漏洞披露的一致,而未取得授權(quán)的漏洞披露主動(dòng)權(quán),顯然掌握在發(fā)現(xiàn)漏洞的人的手上,不管是選擇在某平臺(tái)上發(fā)布,還是個(gè)人發(fā)布。
以上就是對(duì)中國漏洞眾測現(xiàn)狀的基本陳述,現(xiàn)在讓我們深度思考一下:
人類文明史上,任何一項(xiàng)革新都會(huì)受到傳統(tǒng)思想的置疑和巨大阻礙。其實(shí),雙方?jīng)]有絕對(duì)的誰對(duì)誰錯(cuò)。不是說革新就意味著正確,保守就意味著反動(dòng)。而且,革新往往意味著叛逆,甚至是違法。保守則意味著保護(hù)現(xiàn)有利益,維持穩(wěn)定與和諧。
兩者的沖突從來都是在所難免,關(guān)鍵在于革新帶來的價(jià)值是否大于破壞,是否只是一個(gè)“烏托邦”,是否只是一個(gè)“理想國”,是否得到了時(shí)間和實(shí)踐的驗(yàn)證。而有法可依,有理為據(jù)的保守方,也不應(yīng)該被扣上“阻撓革新”的帽子。維持現(xiàn)有法規(guī)秩序,保證既得利益的非極端思想,無論如何也不應(yīng)該受到過多的指責(zé)。
問題是,我們?cè)撛趺崔k?
是默許各種“非授權(quán)滲透測試+漏洞公開”的模式給企業(yè)帶來的騷擾和痛苦,還是與國際接軌或揮舞起法律的利劍,將其強(qiáng)行合規(guī)?無論前者還是后者,都不能忽略中國特色的現(xiàn)狀,都不能繞過國內(nèi)信息安全意識(shí)普遍薄弱,網(wǎng)絡(luò)安全法規(guī)還不甚健全的事實(shí)。
沒錯(cuò),“在未經(jīng)授權(quán)的情況下嚴(yán)禁對(duì)任何系統(tǒng)進(jìn)行滲透測試”也只是國際開源安全測試組織或者國外安全行業(yè)默認(rèn)的規(guī)定,中國的法律還沒有規(guī)定的這么細(xì)。
沒錯(cuò),眾測必須取得受測方的授權(quán)是一個(gè)對(duì)雙方而言,都非常不錯(cuò)的測試行為守則。但我們知道,眾測模式出現(xiàn)以前國內(nèi)的安全現(xiàn)狀是什么樣子的,這個(gè)蓋子在被揭開之后,帶來的價(jià)值是否遠(yuǎn)大于其破壞力?
沒錯(cuò),未授權(quán)的眾測模式令一些企業(yè)的確受到了困擾和傷害,并在某種程度上縱容了一些不講道德黑客的不良行為。但在我國信息安全意識(shí)普遍薄弱,眾測模式還處于起步階段,許多保守的企業(yè)普遍處于觀望和置疑態(tài)度的今天,直意否決這項(xiàng)已經(jīng)帶來深遠(yuǎn)意義和巨大價(jià)值的安全模式,是否有欠思考和過于激進(jìn)?
清朝末期,美國人向慈禧太后推薦剛剛興起的火車時(shí),老佛爺這樣回答:
還是轎子好,既安全又舒適。