围炉夜话|白帽子和路人甲,从0到1
孙维 安在专栏作者
中国信息安全测评中心华中测评中心高级安全顾问
0x00 引子
四月的南方又到了雷雨季节,城市上空层云密布,暴雨前特有的静谧和窒息得让人喘不过气来。
一个年轻人路过赫石坡某户人家的时候发现院子大门没上锁,从门缝望进去发现院子里繁花似锦,年轻人便推门而入,闻着花香一路走到了客厅,被精致而有味道的风格吸引后,年轻人不知不觉跨进了卧室,这个时候一声尖叫,年轻人和屋内正在更衣的女主人撞了个正着,慌乱不择路,年轻人转身就往屋外跑,不小心碰碎了价值不菲的瓷器,最终在院子外面被保安逮到。
年轻人解释说看到门没锁担心有坏蛋进去干坏事,所以就进去检查一下,顺便提醒一下主人,没想到结果发生了这种事,但是这个解释没有任何意义,既定事实摆在面前,年轻人最终被送进了派出所。
为什么要讲这么一个故事?实际与一则新闻有关,同样这个故事也和今天要聊的主题相关。
前两天朋友圈被山东省高院的一篇新闻刷屏,安徽池州贵池区人民法院对某在校大学生进行了一审宣判,以非法控制他人计算机系统罪判处被告人王某有期徒刑6个月。
有意思的是,新闻中提到公安机关从被告人电脑内提取了其上传到国内某漏洞报告平台的具体入侵证据24条,计算机犯罪的新闻大伙时常看见,但通过第三方漏洞报告平台进行取证这倒是第一次。
彷佛平静的池塘猝不及防被砸进了一块石头,关于白帽子的讨论在各个安全圈子里炸开了锅,那么今天我也聊聊自己的看法。
0x01 入侵不等于渗透测试
所有未授权的网络活动都可以视为入侵,也就是违法行为。
无论你是网络安全初学者还是资深黑客,也不管是在虚拟机里边跑个Kali扫描真实站点练练手,或者自己写份PoC来进行漏洞利用提权,从法律层面来讲,这些都是入侵行为。
渗透测试则是在取得授权的前提下,适度模拟黑客行为以验证其风险的可控过程。
授权,是区分入侵和渗透测试的度量衡,这也是有所为有所不为的准则。
有些人天生骄傲,依从自己的内心和价值观在网络世界肆意穿行,自认但行好事,莫问前程。但即便你的初心是为了帮人家找几个漏洞,维护互联网安全,顺便再体面地补贴一下家用,如果没有授权,这一切如同泡沫般虚幻。
初心能值几个钱?一旦客户单位报案问责,公安机关立案调查,那开篇的新闻就会不断重演,通过漏洞报告平台进行取证的场景也将继续重现,谁也不会保护你,也保护不了你。
0x02 白帽子不是洗白
这几年白帽子这个词非常流行,经过各种宣传普及之后,被广大群众视为与攻击者划清界线的正面形象。百度百科的解释为正面的黑客,识别漏洞不去恶意利用,而是公布漏洞。白帽子表面意义是相对黑帽子而言,其实背后的潜台词还是可控,大伙都知道失控之后的白帽子可能会比黑帽子更具杀伤力。
正是因为白帽子这个称呼有着人畜无害的萌态称谓,所以很多人都乐于自诩为白帽子,各种社交账户简介都以白帽子自居,技术水平先不谈,姿势明显更重要,白帽子一戴,就觉得可以不忘初心铁肩担道义,然后随便出入别人家院子了。
同样漏洞报告平台也将所有提交过漏洞的注册用户称之为白帽子,一部分人也正是因为头顶着漏洞报告平台赐予的白帽子头衔,就迅速进入角色开始自己的RPG游戏,千里之外脱人库子,夜半时分植入木马,打一枪换一个地方,撸完之后再把漏洞提交到漏洞报告平台进行洗白。
有一个逻辑我一直没弄明白,明明是黑了别人,怎么到某个网站上提交一下漏洞就成白帽子了?
0x03 路人甲背后的故事
你去拜访客户,大楼门卫会录入你的身份证信息,确认你的所属单位,并且跟客户电话确认之后才分配给你客户所在楼层的访问权限,这就是实名认证和可控的一个典型应用场景,在生活里边也是四处可见,如果不实名登记并和客户确认,门卫也无法判断你出于什么目的出现在这里。
其实圈内一直有一个共识,白帽子要可控,首先就得实名认证,实名认证之后才知道这个人的身世背景,你是谁?你从哪里来?你要干什么?不管是第三方的漏洞报告平台还是甲方自己的SRC,实名认证是必须要面对的大前提。
当大家看到一个以公开透明为准绳的漏洞报告平台上面,提交漏洞的作者满眼都是路人甲的时候,心里会是什么感想?
突然想起《夜宴》里的一句台词,我泱泱大国当以诚信为本。那这些所谓的白帽子呢,是什么原因让他们以匿名身份出现,是在职人员利用空闲时间赚些外快?还是企业内部员工发现自家漏洞领两份工资?抑或是离职后员工心怀不满故意曝光前东家的糗事?又或者是乙方服务团队中饱私囊?
我们不愿意带着恶意去猜测这些马甲背后不为人知的故事,但是当路人甲横行于网络的时候,我们的担忧不无道理,他们来自数字世界,又消失于虚无,他们究竟做过什么,是不是与你我有关,我们不得而知。
0x04 尾
当某种秩序混乱至失控的时候,必然会有一股力量来引导其走上正轨。当道德和价值观在网络安全领域发生偏差的时候,必然会受到法律准绳的惩罚。穿行于网络世界的白帽子和路人甲,如果不及时矫正自己的过失行为,那么很有可能会从0变成开篇新闻中的那个1。
榜样的力量无法忽略,当被攻击者举起法律旗帜对抗混乱秩序的时候,城市上空的黑云终会散去,暴雨不仅仅会带来泥泞,还有大地迷人的芬芳。