IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

观点 @ 龚蔚:乌云之后真见彩虹?

发布时间:2015-09-02 13:04文章来源:未知文章作者: IT学习网点击次数:
乌云过后是什么?狂风、暴雨、亦或是彩虹! 最近信息安全圈爆出几件事情,大多涉及漏洞披露与用户数据泄漏,而所有这些事情,都与乌云有关。 那么问题来了,乌云是什么? 乌云是一家网站,它做的事情是这样的:一群白帽子主动收集或探取各互联网企业或厂家的安全漏洞,

/uploads/allimg/150902/130K11362-0.jpg

乌云过后是什么?狂风、暴雨、亦或是彩虹! 

最近信息安全圈爆出几件事情,大多涉及漏洞披露与用户数据泄漏,而所有这些事情,都与乌云有关。

那么问题来了,乌云是什么?

乌云是一家网站,它做的事情是这样的:一群白帽子主动收集或探取各互联网企业或厂家的安全漏洞,把这些漏洞公布在乌云网安全漏洞平台,关键技术信息被暂时保密,而作为被披露漏洞的厂家,必须积极主动认领安全问题,否则根据规则,可能会在一段很短的期限之后被曝光,甚至扩大到媒体宣传。

今天我想说的,暂且抛开法律问题——这种漏洞提交方式本身是否合法?我们先来看看,乌云到底给这个行业带来了什么?

首先必须肯定,乌云的存在很大程度是有利于这个行业的。

其一,正是由于乌云这种先报后公开的规则让很多厂家有了些许的畏忌。试想在乌云之前,有哪个互联网企业愿意主动将这些漏洞细节及修补情况进行公开的?正是由于这种无等级信息公开制度让很多厂家不得不重新审视日益敏感的安全问题,而这些问题,以往他们只要花一小笔的公关费用就可以解决。这一点,直接带来的好处就是厂家催生了大量的工作岗位,安全从业人员薪资逐步提升。这从近几年各大互联网企业的SRC 机构的扩大就能看到。

其二,技术细节的公开也有利于同样有问题的企业及时修补同类的问题,同类漏洞被发现并修复的时间变短,从业者可以通过乌云平台获得大量的最佳实践建议。

当然,如果你告诉我白帽子黑客都是活雷锋我肯定不信,是什么驱使他们心甘情愿的在乌云这个平台上不倦的发布着各种五花八门的漏洞信息,即使这个平台还不算是官方认可的唯一途径?

我们知道,早期的黑客,或者称拥有这种特殊技术能力的人,很少能有合法展示自己能力的途径。当立法还不是太完善的时候,他们可以通过一些大规模的政治事件来获得社会对这个群体的认可,以及群体对个人的认可。现如今,面对逐渐完善的法律,这群桀骜不驯的年轻人很难通过群体事件或带有玩笑性的页面修改来得到认可。众多的白帽子(黑客)未必是个人英雄的代表,但这种技术所代表的力量一定要得到行业认同,你可以无视他,但不能无视技术背后的力量,这就是他们的想法。正是这种日益膨胀的需求,借助乌云这个平台得以延续和发扬,而且还没有太多风险。也因此,这几年你很难再看到那种带有调侃性的篡改页面行为,除非脱裤。乌云平台给了一大部分还不至于彻底走向黑产的年轻人自我救赎的机会。

说了这么多的好,也得说说乌云的不足。

这么多年下来,乌云对安全漏洞的发布已然是最权威的平台了,一家独大之下,居然没有一个明确的关于安全漏洞等级的定义或标准。这就导致很多白帽子夸大事实,取个不符实际的标题来博取大众眼球,媒体借助这些标题大做文章。白帽子出名了,媒体销量上去了,可“祸根”也就埋下了。乌云的管理者真会不知道这些漏洞到底有几斤几两?一个邮箱暴露就涉及千万用户信息,一个错误日志就导致百万信用卡信息扩散?不得不说,媒体广泛报道的同时,乌云平台定然是最大的受益者,所以,乌云睁一眼闭一眼?这不能不有所质疑。

再来说说利益这个问题。乌云是一个开放平台,其本身对外宣传是非盈利的。但是,毕竟对厂家漏洞信息的删减都是不公开的,掌握这种权利的也仅仅在乌云内部最核心的成员。虽然我很愿意相信这些权利没有被滥用,但到底有没有躲在阳光背后的交易?这很难不让人想起一个词——“潜规则”。只有当乌云公开漏洞信息删减规则以及相关过程,或者设置厂商代表即“陪审员”,也许大家才会相信这里真正的公平公正。

最后,再说几句也许有些人最不愿意听的,利益背后的纷争也好,技术团队的站队也好,要真闹到不可开交,等真正的权利机构出台合法化流程,大家就都别玩了。很简单的道理,相关部门一旦推出唯一漏洞提交平台,合法性得到了保障,但是与此相关的利益分配、公正公平,套用一句俗话就是:“你懂得”。

若真如此,想要再见乌云之后的彩虹,恐怕就只会是一个美丽的幻想了。

 

 

本文转载自 安在
原文链接:http://mp.weixin.qq.com/s?__biz=MzIzMTAzNzUxMQ==&mid=211641351&idx=1&sn=ce56ab8e2194616c0d119b59396af12a&scene=1&srcid=CdzAiYIn62Nl7WmlxNpi&from=groupmessage&isappinstalled=0#rd


观点 @ 龚蔚:乌云之后真见彩虹?
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/News/renwu/53957.html

标签分类:

上一篇:上一篇:谷歌微软CEO都是印度人 为何印度盛产高级CEO?
下一篇: 下一篇:XcodeGhost作者凌晨现身微博并公开源码
无觅关联推荐,快速提升流量