看到南方周末的 乌云网停摆, 有一点浅陋的思考.
诚然, 目前对乌云进行处理的方式只会恶化网络安全的环境.
但是, 之前的各个步骤在合法性上也的确存在缺陷:
- 白帽子随时对任意网站进行任意类型的安全检测;
- 白帽子在检查出漏洞后进行一些敏感的操作;
- 乌云公开厂商已修复/未修复的漏洞;
白帽子可能会抱怨对他们的要求太过苛刻, 但不要忘记, 你们是以安全的名义进行的活动, 如果不能保证自己的活动对厂商是安全的, 岂不有点矛盾. 从这点上来讲, 白帽子是需要自证清白的, 或者有相关机构能够证明其行动的合法性.
这些根本的合法性的缺陷不解决掉, 对于安全行业和白帽子始终是一个隐患. 据我所知, 对此种模式存在质疑的开发者和小厂商其实不少, 但并不会公开表达, 毕竟在互联网混饭吃, 谁也不愿意得罪一个有攻击力的群体. 这从某种角度上来说, 也是一种胁迫.
乌云公开厂商的漏洞, 有时候会对厂商造成巨大的利益损失. 对追求利益的商业公司来说, 这是难以接受的.
或许可以:
- 漏洞平台需要经过厂商的同意(邀请厂商加入或厂商主申请加入), 才接收该厂商相关漏洞;
- 漏洞平台公开处理漏洞的方式应该是记载在厂商同意的合约当中;
- 明确界定渗透测试和恶意攻击的界限(实在忍不住吐槽下某些通过弱口令进入邮箱后翻遍邮件再报告的人)
- 白帽子详细记录自己的每一步操作, 每一个网络请求, 提交漏洞后, 交给厂商审核;
既想要有黑帽的自由, 又想要有白帽的合法性, 没那么容易吧.