·设为首页收藏本站📧邮箱修改🎁免费下载专区🔐设置/修改密码👽群雄群聊

 找回密码
 立即注册

QQ登录

只需一步,快速开始

DZ插件网 门户 网站安全 查看内容

白帽子生存指南之:但愿人长久

2023-8-5 07:22| 发布者: 镖师| 查看: 30173| 评论: 0

摘要: 开了一天会,早上发的一条关于某位安全从业者在新加坡被抓判罚的微博经过来总转发,刚才一看已经过几百的转发量了,也看到了很多朋友问能不能删除。最近不是很太平,我们从暗网第一时间发现了华住的疑似数据泄漏进行 ...
    开了一天会,早上发的一条关于某位安全从业者在新加坡被抓判罚的微博经过来总转发,刚才一看已经过几百的转发量了,也看到了很多朋友问能不能删除。最近不是很太平,我们从暗网第一时间发现了华住的疑似数据泄漏进行了预警,很快收到了相关法务部门的压力删文章,然后上周也是监控到了另一起不能说的某厂商疑似大量数据泄漏被勒索的事件,很快也收到了相关领导的电话通知删文章。再结合上次味多美被黑的案例,我突然发现一件事:什么时候开始,我们都适应了有事没事删个贴?

    微信上有几位我很尊重的大佬也在给我留言,说这事对个人影响很大,影响人家的前途。在微博下面也有几位朋友留言说删除,圈内都知道他的ID,甚至也有一位自称是那位安全技术人员女朋友身份的人给我私信,大意是我发微博有点过了。我给这位“女朋友”的回复原话是“xxx现在应该罚钱就行了吧?我也不信他会主观破坏。我发这个仅仅是提醒其他白帽子,我对他个人很认可,腾讯不要,到我这来”。我觉得有必要进行一下说明,避免这件事情被妖魔化。

    首先,我看过作者的原作,包括之前我看过他的一些文章,从行业两位技术大神反馈的情况和本身技术文章的内容,作者的技术实力是很不错的。在当前环境下有原创漏洞挖掘能力的人实在不多,那份做技术的狂热感觉,我们在很多安全大牛身上都能感受得到,也能看到自己当年愣头青似的那种影子。而且,从他的字里行间,明显能感觉到一种桀骜不驯,一种朝气蓬勃的进取之心。虽然并没有直接接触过,但是从文章至少可以得出,他是一个典型的快速进步中的安全研究人员。我并不认为他是一个真正的黑客,因为没有一个黑客会在进行破坏之后,如此堂而皇之地把这些细节拿出来唯恐天下人不知道似的(黑客会偷偷地拿走不属于他们的东西,然后每天等着抓到那些替罪羊,然后安然地实施下一次犯罪),他可能只是纯粹地想要分享(或者说炫耀)他的技巧和能力,这是每个安全研究人员会去做的一件事,至于分享的范围多大,很多人并不能很好的判断和遵守。

    目前无论是国际还是国内,对于网络安全犯罪的打击都明显趋严。绝大部分国家都已经做到从有法可依,至于是不是有法必依,那就看情况了。其中大家必提的一点是:未授权的渗透。至于渗透是指攻击,还是扫描,还是访问或者连接,大家的标准并不一致,但至少有一点可以肯定,解释权不在白帽子手里。这个过程就变得尤为微妙,大家都在装糊涂,事情都多互相找麻烦,你要真撞到枪口了,该办了还是办了。警告一次,两次,三次,扬起的鞭子也就落下了。

    说到这里,我就稍微解释一下为什么我不删除微博,不是我针对这位安全技术研究人员,也不是说我故意针对腾讯,而是说Zheng同学真的只是白帽子群体里面非常典型的一个人物,他的“不知道”或者“不觉得”相关的法律风险,就提现了一群人的共性。上次味多美的案例微博上讨论的人很多,大家一方面开玩笑,一方面很多人也在偷偷跟我说“这事以前也干过”,没想到会闹这么大件事出来。大家是很有感触的,这事按照严格的法律要求来办,那么安全技术研究人员就只能坐在实验室里成长了,这个行业也就完了。是不是一刀切?有没有灰度?大家都很忙,社会主义假设的道路还很漫长,有所为有所不为,哪些事情该碰哪些事情不该碰,心里一定要有个底,高压线千万不要去开玩笑。这种警示效果平时大家根本看不到,大家知道以前phpspy的作者4ngel被抓吗?看不到吧,因为大家说都认识,别发了;大家知道另一个知名平台关停,其实对行业而言是个很大的损失,但是大家讳莫如深,至今没有明确的说法,这事大家也就都不讨论了。可能老一辈的安全从业者知道这些事情,所以大家会注意,但是接下来新入门的安全从业者呢?他们看不到,他们可能看到的只是成捆的钞票,只是美女名车,只是万人崇拜的技术大拿。对于风险,从来就没人跟他们聊过。2016年2月,我跟一位行业大神私信,我说变天了,这位大神的话我这辈子都记得“WY关了后,回家卖水果”。

    我想把几件红线高压线跟各位安全从业的朋友列一下:一)终身不碰黑产,不做任何破坏性活动;二)非礼勿视,非礼勿言。安全从业者是上帝视角,能接触到很多大众不知道的事情,严格做到不看自己不该看的,不说自己不该说的;三)研究有度,点到为止,害人之心不可有,在这个前提下,任何场合为了避免不必要的麻烦,技术手段上务必保护好自己;四)实在想要交流,小范围技术圈几个朋友交流就好,切忌广而告之,隐私务必打码;

    中国目前还没有网络安全方面的法律豁免权,防君子不防小人的情况还会持续下去,但是已经有相关监管部门正在研讨政策,因为漏洞是战略资源,发现漏洞的人才尤其是战略资源。创造或者维护一个可控的环境才是能够长久发展的道路,也许过了若干年,我们再来讨论可能就变成了“你们现在多幸福,想当年啊,在那个法律的空档期,都去抓白帽子不去抓黑客了,因为白帽子好抓啊,黑客偷偷的打枪,白帽子成天叫唤”。

    我要表达的就是这些,至于大家说洗地也好,反转也罢,都不重要。记住,今天我之所以这么说,不是事不关己站着说话不腰疼,而是因为我们的公司叫白帽汇,我认为白帽子的精神不能丢,不应该被妖魔化。“黑客”这个名称从褒义用到了贬义,“红客”也从褒义用到了贬义,以后如果连“白帽子”这个名词都不能用了,那就很可笑了,难不成安全行业每天就在这取名玩呢?最近倒有一件事挺开心的,某位同学重出江湖,还能在微信跟我插科打诨开玩笑,我真的很欣慰。



上一篇:10年web前端工程师自白:web前端开发如何从入门到不放弃
下一篇:揭秘丨中伦律师事务所:《矿业法典》编译者(附美照)

鲜花

握手

雷人

路过

鸡蛋

最新评论

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图

您的IP:3.236.46.172,GMT+8, 2023-9-21 20:49 , Processed in 0.125145 second(s), 38 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2023 Discuz! Team.

点击联系客服QQ
扫码联系客服微信