在无数天向厂商提交漏洞的过程中,你是否熟悉以下场景?被厂商“嫖”:“这根本不是bug!”但是当你再次查看时,发现bug已经被修复了。被厂商威胁:“这不是坑,但你要是敢泄露,就试试!”被厂商误会:“你知道这是违反披露漏洞吗?我会报警的!……”那你我真的是被请去“喝茶”了。被厂商“利用”:“对不起,从今天开始,此类漏洞奖励减半!”暴露漏洞的行为存在违法风险。在号召白帽子加强法律意识时,似乎没有人深究白帽子选择私下披露漏洞的原因,也没有人问过他们,“你们为什么要违规披露漏洞?”.为了一探究竟,笔者采访了四位来自不同团队、不同背景的白帽子,了解这群人选择私下披露漏洞背后的可能原因。答案似乎非常一致:炫技、缺乏法律意识、因误会和与厂商发生冲突而一怒之下公布漏洞……这三点是白帽子私自披露漏洞的常见原因,而第三点可能是最重要的原因。“你不承认漏洞就算了,他们还威胁我!你信吗?”被误解的Luna:2017年,我在某互联网新闻平台提交漏洞后,立马接到厂商电话,“你是什么人?谁,你要攻击我们?你要是敢乱来,我们会报警。”跟对方解释了半天才发现,对方根本不是厂商SRC的联系人,只是平台的业务人员,其他这群白帽子的性质是不太了解。被“白嫖”的Balis0ng:我遇到过一些厂商对我提交的漏洞报告无视。过几天再去测试,发现漏洞已经修复了。。。也遇到了连续两次提交给厂商。但是厂商SRC的联系人说,经过开发者的鉴定,他们认为这两个漏洞是同一个漏洞,我无语了。被威胁的小七:2018年,在提交了某大厂商的漏洞后,接到了厂商的电话。他们不仅不承认是漏洞,还威胁我,“如果漏洞公开,以后你就很难找到了。”工作?”,漏洞不承认就算了,还威胁我!你信吗?被“教育”的袁海:一周内提交了6个教育平台系统漏洞,我就被抓了被教育平台的厂商给运维人员“教育”了一顿,应该是一下子提交的漏洞太多,耽误了运维人员下班,所以运维人员当时的厂家还通过ID找到我教训了一顿,被人误会可以选择解释,被“教育”可以选择体贴,但“嫖”的时候“白帽子”并威胁说,白帽子就只能选择承认你倒霉了吗?遭受了这次损失,我们无能为力,但幸运的是,大多数正规制造商不会这样对待我们,“Balis0ng说。四个白h在向制造商提交漏洞时,接受采访的ats因“愚蠢”而遭受了很多苦难。甚至当厂商不愿意承认他们提交的漏洞时,他们也从未想过私下披露漏洞。究其原因,是他们对正义初心的坚守,也是因为他们知道,这种行为不仅会将自己推向非理性的边缘,更要承担被追究法律责任的风险。因此,要想从根本上避免白帽私自泄露漏洞的发生,除了法律法规的完善和普及之外,还需要各大厂商的共同努力。“随着法律法规的完善和行业的成熟,相信私自披露漏洞的行为会越来越少。”网络攻击、网络入侵等网络安全信息应当符合国家有关规定。随着《网络安全漏洞管理规定(征求意见稿)》的颁布,对网络安全从业人员的相关行为规范更加明确和细化:第三方组织或个人不得向社会发布网络产品、服务提供商和网络运营商的漏洞修复或防范措施或用户在发布相关漏洞信息前,不得发布和提供专门用于利用网络产品、服务和系统漏洞的方法、程序和工具,从事危害网络安全的活动。一般情况下,漏洞发现后,第三方组织或个人可将相关漏洞报告给CNNVD或CNVD,CNNVD或CNVD将在5个工作日内确认回复,并通知厂商在90/10天。在公开之前采取漏洞修补或预防措施。《网络安全漏洞管理规定(征求意见稿)》的发布是为了规范网络安全漏洞报告和信息发布,同时督促相关厂商、第三方、运营商及时响应漏洞问题。这是在《中华人民共和国网络安全法》基础上对法律制度的进一步完善。“随着这一规定的出台,可以有效减少白帽子因技术过硬或缺乏法律意识而私自揭穿漏洞的行为。”受访的四位白帽子均认为,《网络安全漏洞管理规定(征求意见稿)》能够起到规范行业行为、保障行业健康发展的作用。“从大学的死板教育做起,是个不错的选择。”据袁海介绍,网络安全法律知识课程目前在他所在的学校以选修在线课程的形式开展,不上这门课的学生可能不清楚哪些行为会触犯法律。随着我国网络安全市场日趋活跃以及相关法律法规的出台,他认为从大学的刚性教育入手作为突破口是一个不错的选择。“建立漏洞仲裁机制将有助于减少白帽子与厂商之间的‘扯皮’事件。”随着腾讯、百度、阿里、华为、深信服、滴滴等各大厂商的安全应急响应中心逐步完善,越来越多的白帽更倾向于直接向厂商提交漏洞。一是因为厂商一般会优先考虑自己平台提交的漏洞。其次,由于直接向厂商提交漏洞,白帽子可以获得更多的回报。Balis0ng还表示:“现在各大厂商越来越重视白帽子的贡献,比如2020年腾讯首次推出百万奖金池,单个漏洞的额外奖励可达高达20万元;深信服近期升级奖励机制,单个漏洞税后最高奖励金额为50万元;滴滴在2021年年度奖励规范中增加了奖金数量,排名第一的白帽子年可获得8万元奖励。”“很多大公司还是很诚恳的,其实我们也感受到了,所以我们现在更倾向于直接向厂商提交漏洞,”Balis0ng说。然而,当直接向制造商提交漏洞时,白帽子有时会面临一些问题。例如,当厂商拒绝漏洞时,白帽是否只能在“守法等于损失”和“暴力打洞等于违法”之间二选一?Balis0ng认为,如果业界能够建立漏洞仲裁机制,当白帽与厂商就漏洞识别发生纠纷时,第三方机构可以介入仲裁,将有效减少白帽因厂商拒绝而违规泄露的情况。漏洞。综上所述,在网络世界中,如果说恶意黑客是长矛,利用系统或软件的漏洞进行非法入侵并获取利益,那么白帽子就是盾牌。他们选择用技术来保护网络安全,他们需要比恶意黑客跑得更快。他们发现的漏洞越多,网络世界就越安全。然而,比起恶意黑客的“张扬”,他们的作为却鲜为人知。他们更像是隐藏的高手,低调对抗四方。尽管他们有时会被误解,有时他们的努力得不到应有的回报,但他们仍然坚持初心,做正义的事。受访的四位白帽子均表示,随着行业的发展和规范,白帽群体目前遇到的一些困难将得到有效解决。同时,他们也呼吁白帽子从保护自己的角度,依法披露漏洞。不要因为一时的愤怒,把自己置于触犯法律、套上“无理”枷锁的危险之中。
