围炉夜话|漏洞披露,乌鸦还是知更鸟
写在前面的话
一石激起千层浪,自从笔者拙文《白帽子和路人甲,从0到1》发表以来,就引起了业内人士的激烈讨论。
虽然有诡辩出现,但是未授权测试属于非法行为已经成了业内共识,特别是甲方安全从业人员,对于部分漏洞报告平台肆无忌惮毫无隐私保护的披露行为是深恶痛绝,敢怒不敢言,至于原因大家都知道。
正所谓天下苦“秦”久矣,这个“秦”大家不妨对号入座一下。
我们就好好聊聊同样的漏洞披露这个事儿,国外究竟又是如何开展的?
诡异的“第三方”
就国内情况而言,漏洞披露平台就如同三国时期魏蜀吴三分天下。
第一类是甲方平台,首先是各大甲方的SRC平台,大的像BAT3这些互联网巨头,体量稍小的像京东携程途牛,大家都成立了自己的官方SRC,引导大家遵照规则提交自家的漏洞,并且给予提交者较为丰厚的酬劳,关键是甲方认可的行为,不用担心被跨省。
而各大SRC的要求就是在漏洞未被修复之前,漏洞提交者不要公开和传播。
为什么各大甲方要成立自己的SRC?背后的原因是什么,大家有没有深究过,我想特别重要的一点就是其他的漏洞披露平台存在甲方无法接受的风险,比如漏洞披露未进行完全脱敏,使得漏洞细节被攻击者知晓,从而造成敏感数据的二次泄漏。(编者注:之前安在报道过的《你以为你在匿名聊天?小心被人扒了底裤!》关于朋友印象app的安全问题,已经进行了细节脱敏,但是安在的读者还是凭借着这里面的逻辑思路与蛛丝马迹进行了完整的攻击再现。)
第二类是第三方平台,像CNNVD、CNVD这类由国家相关职能部门维护的公共漏洞库也会收集各类安全漏洞,国内各大安全厂商和个人会成为其支撑单位,而CNNVD和CNVD不会公开漏洞细节。
第三类是争议不断的乙方平台,像乌云、补天等。
也有人习惯把乙方平台叫做“第三方”漏洞披露平台,其实这是错误的说法,这里所谓的“第三方”平台并非由政府职能部门建立,而是私企运营,所以纠正一下。
那为什么说乙方平台争议不断,核心问题是乙方漏洞披露平台有无权限直接收集和披露未授权企业的漏洞,我们从刑法285条和网络安全法可以获知未授权的测试是非法行为,那么未授权的漏洞披露行为算不算非法行为,相信大家心里都有一杆秤。(编者注:《中华人民共和国刑法》:“第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。” 此法条已经明确的指出针对政府性质的网站进行非授权测试就是违法的行为。《网络安全法(草案)》(PS:此法为草案的意思是我国最高立法机构人大代表委员会正面向全社会征集意见,并未规定试用范围与条件,也未规定实施日期。具体使用条件需看最高院的司法解释。全文详见http://www.npc.gov.cn/npc/xinwen/lfgz/flca/2015-07/06/content_1940614.htm):“第二十二条 任何个人和组织不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供从事入侵网络、干扰网络正常功能、窃取网络数据等危害网络安全活动的工具和制作方法;不得为他人实施危害网络安全的活动提供技术支持、广告推广、支付结算等帮助。六十条 有本法第二十二条规定的危害网络安全的行为,尚不构成犯罪的,或者有其他违反本法规定的行为,构成违反治安管理行为的,依法给予治安管理处罚。”)
乙方平台的第二个争议是漏洞审核不力,标题党众多,张冠李戴者众多,二次泄漏者众多,连漏洞归属都没弄明白,看到网页上有某单位名称就直接说是该单位的漏洞,这样的乌龙不在少数。测试截图里边打码打得有水平,经常前边打了后边不打,这样情况更是不在少数。
国外的月亮更圆么
同样是漏洞披露这件事,我们来看看国外是怎么干的?
一是平台合法性
国外主流的乙方平台有HackerOne、BugCrowd、CrowdCurity、Synack等等,而这些平台的共同点是先取得客户授权,在这个大前提下,按照提交规则进行客户相关漏洞的收集和披露工作。
在拿到客户授权后,漏洞收集工作又分为两大类:一类是针对平台所有测试人员的公开漏洞收集,只要是客户业务相关漏洞均可提交;还有一类是私有项目模式,只针对平台TOP N排名的专家,随机抽取一定数量专家参与测试。
授权是大前提,所以当HackerOne和BugCrowd负责人听到我兔的漏洞披露模式之后,惊讶到下巴能掉到地上,嘴里能塞进一枚橄榄球,他们没有想到漏洞披露居然能这么玩,要是在美国估计是分分钟捡肥皂的节奏。
二是尽量避免漏洞细节扩散
在漏洞提交到乙方平台后,像HackerOne本身是没有权限看到漏洞细节的,漏洞确认和审核由客户通过平台自主完成。
如果客户无法确认该漏洞,需要平台帮助时,客户可以授权平台对该漏洞进行确认和审核,而漏洞审核服务是标准化的按时收费服务。
通过这种机制和平台本身的审计机制,HackerOne可以将漏洞细节被扩散的风险降低到最小。
三是漏洞披露看客户意愿
国外各大平台的漏洞披露机制也是基于客户意愿的,而不是多少天之后自动公开,客户授权同意之后,平台才能公布已经脱敏的漏洞信息。
据了解,客户以前是担心漏洞披露后会带来负面影响的,但是现在越来越多的客户PR却利用公开漏洞表明自己重视安全的态度,漏洞披露意味着已经被修复,而越多的漏洞被修复,代表他们现在越安全。
国内和国外客户对待漏洞披露态度的截然不同,其实也是漏洞披露本质不一样导致的,一个没有授权混乱失控,一个拿到授权有序可控。
试着换位思考一下,如果将国内的乙方平台放到国外,它们会面临什么?是继续颠覆规则挑战传统,还是倒在法律的枪口之下?
而国外的乙方平台如果进入国内市场,他们一家家拿到客户的授权,有周密完善的机制来管理整个漏洞披露生命周期,那国外的乙方平台是不是可以迅速赢得广大厂商和测试人员的芳心。
不过我们不用等到国外的乙方平台进来,就可以看到这种模式在国内的落地情况了,国内的SOBUG平台已经开始这方面的尝试。先拿授权再做漏洞收集和披露,结果如何,让我们拭目以待。
乌鸦 VS 知更鸟
大家都知道知更鸟为人类歌唱,从来不做对人类有害的事情。
为什么海外的漏洞披露平台能够赢得市场的赞誉,而我们的漏洞披露平台却引人反感,问题出在哪里,大家都明白。
既然是有着维护互联网安全的初心,为什么不能学习海外模式,努力将自己的身份从人人讨厌的乌鸦变成一只知更鸟?
笔者希望以客户授权为大前提的漏洞披露平台,能以星星之火之势燎原互联网暗夜,同时也希望越来越多的漏洞披露平台努力变成知更鸟,将动听的歌声传遍0和1交织的数字世界。
扩展阅读: