强行热议 ( ゚∀。)
刚才刷 feed 时看到这样一条讨论串 Ask Slashdot: What Is the Best Way To Thank Users For Reporting Security Issues? - Slashdot po 主的主要意思就是说他收到了用户发来的消息,报告了安全问题,他想知道到如何感谢这类提交 security issue 的用户。本来我以为底下会说 money, thanks email, bitcoin 之类的,结果竟然有不少人同意了以下观点:
This is a stupid answer.
Here's how you should actually handle people who report security issues:
If you're an IT director and it's a company employee who reported it, you need to inform the upper management that you have a possible hacker in the company, and get his ass fired.
If you work in a company and someone in the general public reported it, you need to notify your legal department so they can file a lawsuit against the person for defamation.
If you're in government and this was reported by someone in the general public of your country, you need to notify law enforcement so they'll be arrested for hacking and thrown in prison.
Only hackers would care about "security issues", and if that information becomes public, it will just help other hackers, so any such people need to be dealt with, extremely harshly. If you disagree, then you obviously are not in a position of power in the US.
虽然让我感到很不爽,但确实是一些公司的做法,简单的说就是甩锅,毕竟因为承认了纯在安全漏洞就等于给了用户发起诉讼的理由。但作为一个运维,有人愿意给我发邮件告诉我伺服器存在漏洞,告诉我问题的 CVE 编号、复现方式、修复方法,我会给他发一封感谢邮件。(虽然类似于有人把我家锁撬了然后告诉我我家的锁不安全)
诸位怎么看呢?
1
gamexg 2017-01-10 09:47:12 +08:00 1
(虽然类似于有人把我家锁撬了然后告诉我我家的锁不安全)
应该是类似于有人看到你的防盗窗出了个大洞然后告诉你 |
2
kulove 2017-01-10 09:47:50 +08:00
报警先抓起来再说..
好吧开个玩笑..先修复,然后发感谢信,或者送个小礼物什么的... |
3
jimwoo 2017-01-10 09:48:46 +08:00
感觉太偏激了吧,难道就不能不小心触发了一些安全问题吗?关注安全问题就一定是“ hacker ”(为啥现在都是贬义了)吗?
不能我注册的时候密码后面加了些符号没想到可以注入 SQL 了一下,然后就报告一下你,你特么就要逮捕我。我去你大爷的 |
4
rrfeng 2017-01-10 09:50:24 +08:00 via Android
这个问题在于,如果他不试图爬你的窗户 就很难发现有个洞。
|
5
Explorare OP @gamexg 这里原 po 对于 security issue 的定义很模糊,不限制账号登陆失败次数的话会造成穷举破解的漏洞,如果用户发现自己输错了几次密码仍然可以继续尝试的话,这算不算故意 hack 呢?不过如果对方有意起诉他尝试穷举破解,证据就用他的 issue post ,我想用户是没什么办法举证自己只是正常操作的吧。
|
6
Explorare OP @jimwoo 正常用户不会知道注入 SQL 这种事的,你如果发 issue ticket 的时候说我注册遇到了错误注册失败了之类的,对方自己发现了有注入点,这还好说。如果你直接说你有注入点,我随便发现的,对方会怎么想呢?
|
8
jimwoo 2017-01-10 10:05:37 +08:00
@Explorare 呃~难道程序员就不能注册、就不用吃饭?虽然机率低但也不代表不可能发生啊。
一个程序员肚子饿了,注册某外卖平台,用 keepass 生成密码刚好 SQL 注入了就不行啊……就不行啊~~~就不行啊·~~~ 一个程序员去讨论区讨论东西,想教别人怎么破 QQ 相册吸引点妹子关注,一帖 js 代码发现可以 XSS 就不行啊就不行啊~~~ |
9
Explorare OP @am241 这里主要还是为了避嫌,双方都是。服务提供方会避免承认存在漏洞,否则可能会因为此漏洞而收到造成损失的索赔诉讼, issue 提交者则得尽可能不留下被指控入侵的把柄,所以闷声发大财才是坠吼得。
|
10
Explorare OP @jimwoo 是可以。但我觉得你要真的直接说这个随机生成的密码可以注入,会留下后患的,因为你没法证明这个密码是不是你特意构建的。要是说随机生成的一个密码无法成功完成注册,就不会有这个问题了。
|
11
jimwoo 2017-01-10 10:08:13 +08:00 2
@Explorare 我回你 5 楼的:感觉有点像扶跌倒老人去医院了……不是你撞的你干嘛送医院?(不是你 hack 的你干嘛提 issue ?)
|
12
imn1 2017-01-10 10:11:12 +08:00
查日志看他有没有入侵,然后报警抓人
|
13
Explorare OP @jimwoo 再打个比方,我是你楼上住户老王,有一天我突然打开了你家门,告诉你你家门锁设计上不安全,还友好的告诉你为什么不安全,换哪个锁安全,虽然没有对你造成损失,但这段对话证明了我在该时间点之前是有能力以非法手段打开这个锁的,你就可以说你丢了两千元,起诉我非法入侵偷了钱,正面那段对话对我来说就是非常不利的条件。但如果我说我喝多了走错楼层,用自己钥匙不小心捅开了你家门锁,你大概也不会想这么多了吧。
|
15
monsoon 2017-01-10 10:18:17 +08:00
我打开了这个网页,然后发现楼主引用的这条内容是回复别人的,而且还没有人回复这条内容。
然后我又看了下这个回复的分数—— 2 分和 score 最高的人的内容还有楼主的正文内容“本来我以为底下会说 money, thanks email, bitcoin 之类的,结果竟然有不少人同意了以下观点:”,我陷入了思考。 |
16
Explorare OP @jimwoo 这个类比有些放大的嫌疑。撞人在技术上没什么难点,轮椅推快点也能撞到人,但如果你还准确的说出了撞击的时间、碰撞位置、相对速度、车种、型号,就比较类似上面的情况了。但触发安全漏洞而且还能准确的告诉你触发原因、复现过程,这种 issue 对于用户来说就是极为不利的。
|
17
manhere 2017-01-10 10:19:15 +08:00 via iPhone 1
乌云就是这么没的吧😰
|
19
Explorare OP @manhere 乌云本来是和一些公司有长期的渗透测试合同的,在这些公司进行渗透测试是受合同保护的。但是手伸远了就不好说了。
|
20
akring 2017-01-10 10:24:29 +08:00
可以先定一个小目标,比如说先索赔个 ten million
|
21
Explorare OP @jimwoo 主要前车之鉴太多了。看到这篇文又想起来了。
想发 security issue ?-> 用匿名邮箱。 收到 security issue ?->先保存 ticket 记录,检测入侵信息,修复系统,向主管汇报。 自己的服务器?-> 交个朋友好了,以后有问题还请多多指教。 主要还是避嫌,不留下把柄,你诚信不代表对方就会诚信。 |
22
ctsed 2017-01-10 10:28:20 +08:00
没有专门搞安全的部门就偷偷修了,不是有很多偷完数据然后自己报告有漏洞洗白的么
|
24
RIcter 2017-01-10 13:30:12 +08:00
回报你安全问题,不应该有一个感谢之心么?
难道非要等到被恶意利用后才修复? |
25
raincious 2017-01-10 13:51:20 +08:00 1
@Explorare
人是有私心的。如果汇报漏洞却得不到任何好处,那么别人为什么要大费周章先保护自己然后再匿名汇报? 想要让大多数人主动帮助你,你得先让别人觉得你“人不错”(可靠、知道如何报答、有交情)。否则就一般人的角度来看,要么憋着当没看见(就像这个社会大多数人的行事方式),要么就藏好了等以后再看(利用)。 这就像如果你同事背着老婆在公司大采红花,有一天他的老婆来到公司做客,你会主动告诉她这件事么?在大部分情况下是不会的,除非你跟她是非常好的朋友。 所以,这就是为什么有很多人发现了漏洞之后,选择去利用(得利)或者无视(避险)而不是主动报告的原因。 |
26
youyoumarco 2017-01-10 13:57:52 +08:00
@raincious 有道理。
有人通知有漏洞,应该有感恩的,因为人家大可不必这么做,既然告诉你了,修复后送点小东西啊什么的,大公司给个证书啥的会有积极作用。如果一味的靠打压是行不通,总有一天会因此吃大亏的,所有人都知道你有问题,就自己自我感觉良好。。。。无法长远。 |
27
Explorare OP @RIcter 隔壁老王未经你允许捅了你家锁,但是他说他没偷东西只是想告诉你你家锁不安全,你会感谢他么?检测、修复漏洞是安全团队的事情,别拿什么“白帽的入侵怎么能说是入侵呢,是检测”之类的可笑言论来打幌子,未经允许进行“渗透测试”行为不合法,这个前提必须先摆明了。如果是上面所说用 keepass 生成的密码造成注册失败,用户提交 issue ,我发现这个 bug 涉及到了 SQL 注入,我修复了,我告诉用户此问题已修复,感谢支持,就这。如果对方提交了一个正常用户操作不会触及的地方,反馈我,我就得考虑是否遭到非法入侵了。
|
28
Explorare OP @youyoumarco 检测、修复漏洞是安全团队的事情。未经允许的”入侵检测“是非法行为。
|
29
Explorare OP @raincious >>>想要让大多数人主动帮助你,你得先让别人觉得你“人不错”
我并不是说做人就要不”知恩图报“,而是特指所谓的”白帽行为“,我想大多数公司是不欢迎不请自来的“免费入侵检测”吧,需要安全防护的服务、设施自然会雇佣安全人员。 |
30
raincious 2017-01-10 14:30:33 +08:00
@Explorare
其实你给的那个链接下面有个评论已经说的比较清楚了: > The end goal is to avoid personal or company liability 如果是公司聘用的安全人员,他们的行为其实是代表了公司的,是一种职务责任。他们自然有权利去测试系统的安全性,他们的报告自然有权利去指出惩罚制造安全问题的员工。(因为这是公司层面授权的) 而如果是一个普通用户进行了报告,则是没有授权的、没有任何约束力的。这时候这个汇报安全问题的用户很容易就站在了与整个公司对立的一面。 我上面的发帖,是想说由于“黑森林效应”的存在,当一个有着足够知识的用户在提交漏洞报告之前,他的 Second Thought 大致是如何的。 |
32
murmur 2017-01-10 14:42:24 +08:00
乌云就这样倒下的
|
33
Explorare OP @murmur 乌云本身我还是挺喜欢的,能免费学到不少东西,但是一部分人手伸太长了,林子大了什么鸟都有,技术好情商低不懂法。如果乌云在最显眼的地方声明「未经授权的入侵检测是违法行为」,并且及时清理违法入侵的记录,我想也不至于背锅成为众矢之的。
|
34
sammo 2017-01-10 15:35:31 +08:00 via iPhone
发现问题解决问题
若想解决人,先清理自家门户吧 .... 聘请了弱智来 当然会造成漏洞 即使没有路人甲发现 还会有路人甲乙丙丁 默默啃噬这些漏洞 |
35
Explorare OP @sammo 不知道这里所说的“聘请了弱智来”是指开发?运维?还是安全?开发的话,到目前没遇到过要求精通安全攻防技术的,运维只要求有相关系统的操作经验,接受 007 工作制,安全的话我技术就不去现眼了,所以不了解具体的职位要求。
|
37
Explorare OP @RIcter 我有我的想法,但不确定对不对,我想看看别人的想法,觉得我说的不对可以提出异议,或者懒得争辩就当看见了制杖。不占理就乱扣帽子,搞个大新闻,把我批判一番?你呀,拿衣服!
|
38
levn 2017-01-10 16:53:53 +08:00
这里,公司 “须要提供相应某种安全级别的产品” 这样一个义务,还不够明确。使得用户的安全权益缺乏保障。
|
39
Explorare OP @levn 有法律来制裁
>>>《刑法修正案(九)》第二十八条 第二百八十六条之一 网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金: (一)致使违法信息大量传播的; (二)致使用户信息泄露,造成严重后果的; (三)致使刑事案件证据灭失,情节严重的; (四)有其他严重情节的。 单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。 有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。 |
41
Explorare OP @levn 比如说交易系统,就属于必须严格保护的吧,如果是小游戏页面这种不涉及敏感数据的,你开个挂刷个分最多取消你的成绩,损失太低起诉也没什么价值,安全团队会闲的没事琢磨怎么保护这个小游戏么?除非这是他们的职责。
|
42
levn 2017-01-10 17:42:47 +08:00
@Explorare 能够得到 “确定性” 的安全程度的时候,安全程度才能成为一个足够明确的参数。但是目前用户评价产品安全程度仍然只能以 “偶然性” 的 “安全事件” 的发生来判断。这个联系太弱。所以等到安全事件开始频繁发生,频繁到几乎脱离 “偶然” 的时候,安全性评估才被迫的进入某种常态的形式。(比如电话诈骗的发展终于开始影响银行策略?)
|
44
Explorare OP @levn 近几个月针对 IoT 设备的入侵事件才让业界不光关注 IoT 能做什么,卖一些概念,开始认真(大概)考虑 IoT 设备的安全性问题了。
|
46
Explorare OP @RIcter 怪小偷啊,难道还怪受害者?公正世界谬误?
我门锁属于我私人财产,我的房屋属于我的私人领地。你未经授权撬我门锁但是没进去,属于盗劫中止 /未遂,撬了门锁进去了属于盗窃+非法入侵(行为犯),撬坏门锁的,再加一条破坏私人财产。 |
47
sammo 2017-01-10 19:53:22 +08:00 via iPhone
你错了。你只能怪你自己
|
48
Explorare OP @sammo 我不明白我被偷了为什么就是我的错了?那如果有打扮时尚的妹子出门被强奸你是不是还要说你穿这么骚被强奸活该啊?
|
49
sammo 2017-01-10 20:01:39 +08:00 via iPhone
而且你的损失,即使你是赵家人,也只能自己认栽
https://twitter.com/fangongheike 这就是专门黑 zf 网站的 |
50
sammo 2017-01-10 20:04:56 +08:00 via iPhone
没有这点觉悟建议你不要做网站
|
51
sammo 2017-01-10 20:05:20 +08:00 via iPhone
安全意识太差
|
52
kfll 2017-01-10 20:07:48 +08:00
“这不是一个安全问题也不是一个 bug ,但是我们把它修复了”
|
53
sammo 2017-01-10 20:07:52 +08:00 via iPhone
建议你去当律师。
|
54
Explorare OP @sammo 我不明白你的逻辑。为什么会自己认栽?所以你的逻辑是,因为我没有善待那些未经授权的渗透测试行为,所以我系统有漏洞没人告诉我,然后我系统被入侵造成损失,所以我活该,不但给自己造成了损失还浪费了入侵者的时间和精力?
|
56
sammo 2017-01-10 20:28:19 +08:00 via iPhone
no no 没有人会入侵你的网站
( 没有人会让你知道他们入侵了你的网站 ) |
57
foreverdreamer 2017-01-10 20:32:46 +08:00 via Android
来个类比吧。普通用户偶然间发现某网站 bug ,不要主动上报,你不干入侵的事怎么会发现漏洞呢,嫌疑太大。偶然间看到老人摔倒,不要主动上去扶,不是你碰倒的为什么要去扶呢,嫌疑太大。
|
58
Explorare OP @sammo
>没有这点觉悟建议你不要做网站 被黑的觉悟么?就好比对一个穿着时尚的女性说你穿这么骚吃枣被强奸,做好觉悟吧,被强奸就是你活该咯。只要未经拥有着授权允许而进行的入侵渗透行为就是违法的,只不过看是否达到量刑标准了,比如 10 组金融、证券相关账号认证信息,或者 500 组一般账号认证信息。这点如何洗白? >安全意识太差 术业有专攻,搞开发的安全技术肯定比不过专门搞安全的,也许有那样的个例样样精通,我不是那个人,也许你是。我尽我所能保证网站安全,当我认为数据价值大于维护成本时,我再专门雇佣专业人员进行入侵检测,给我报告和修复方案,这种我认为才算合法的白帽行为。不请自来还是免了。来了我可以善待,但不代表我接受。 >https://twitter.com/fangongheike 这就是专门黑 zf 网站的 不知道你贴这个链接是想表达什么?他的行为很伟大?如果他真这么伟大为什么不干掉 GFW ?保护境外网络的纯净?我看不出他这个行为有什么实际价值,只不过自己爽了罢了。要是能写篇论文论述一下怎样针对 GFW 的深度包检测和特征流量检测进行算法改进我倒是很服。 >建议你去当律师。 不敢当。我的一位朋友倒是是律师,我这点东西都是从他那里学来的,现学现卖而已。要是我随随便便就当上律师岂不是对他这么多年的努力是一种侮辱? |
59
Explorare OP @foreverdreamer 这里特指安全漏洞。一般的 bug 我敢放心大胆的开 ticket ,不指望啥,就图赶紧修复了让我继续用。安全漏洞嘛,我只敢匿名发,而且以我技术也找不到几个,人菜又懒。安全漏洞一般不是用户正常使用情景中会触发的吧,比如说跨站?注入?并不是一耙子打死所有开 issue 的人,而是指那些自作主张进行渗透测试的人,之后他们是闷声发大财还是主动上报了,不影响之前行为的违法性的定性。
|
60
kulove 2017-01-10 20:58:19 +08:00
从法律来说,没有授权确实违法,去年不就有个报告到乌云却被世纪佳缘报警抓起来的?
这种事情争论不出结果的,国内关于安全方面的法律还不完善。 |
61
Hanxv 2017-01-10 21:02:26 +08:00 via Android 1
時間:未知
地點:不明 人員: A, B, C, D 事件: A, B 各自經營的一個網站,都被 C 入侵了。 C 出於友好,提醒了 A, B 。 A 看到了之後,感謝了 C 。 B 看到了之後,報警了。 於是 C 被抓了。這個事情在某個 bbs 上討論的沸沸揚揚。 D 在其之後又發現了漏洞,正好他也是 bbs 用戶之一,知曉那個事件的原委。 於是 D 提醒了 A ,然後把 B 網站上的數據拿去買,還順手把網站玩壞了。 結論: A 並沒有任何損失,因為及時修復了。 B 名聲 經濟損失嚴重,是不是活該?就是活該。 C 做好事缺被抓了,是不是活該?就是活該。 D 這個人怎麼評價?點贊 ( // 無論生活 網絡有多亂,人心有多麼複雜。你真誠對人,總會有人真誠對你。你不真誠對人,傻逼才會真誠對你。網絡中,像 D 這種人越來越多,你永遠都不會知道自己怎麼得罪人了。而這種人做事向來都是隨心所欲,可能因為心情好而不玩壞你的網站,可能會因為心情差而暴露出你更多的隱私。和他們提法律?他們都不傻。 |
62
RIcter 2017-01-10 21:12:39 +08:00
反正我是从来不会提醒别人网站有漏洞的人,我也只做公司分配下来的渗透业务。
所谓那些站长受到什么攻击之类的我也完全不在乎,事不关己。 |
63
Explorare OP @Hanxv B 和 D 的行为都是违法的,难道你是圣母如此真诚? A 愿意原谅 B 的非法入侵,那是 A 主动放弃了索赔权,不代表这种行为就是合法的、理应被原谅的。这个鸡汤不好喝。
>D 這個人怎麼評價?點贊 啧啧。 大家都不傻,但自认为自己行为就是合法的哪些“白帽子”该进行一下普法教育,至少下次入侵的时候别留下把柄,被起诉了又扯什么白帽子是合法的云云,法庭内外充满了快活的气氛? |
64
Explorare OP @kulove 不完善是真的,但目前来说还是有法可依的。'15 年的「两高关于执行《中华人民共和国刑法》确定罪名的补充规定(六)」中就增加了如下罪名
*拒不履行信息网络安全管理义务罪 *非法利用信息网络罪 *帮助信息网络犯罪活动罪 加上网络安全法、中华人民共和国计算机信息系统安全保护条例、中华人民共和国刑法中的非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪,这些法条足以给未经授权进行安全渗透测试的行为定义为违法行为了,至于是否犯罪还要看造成的损失。如果入侵者主动告知漏洞,并且经查明没有造成损失,未对计算机系统内容进行修改、获取,那么只算违法,受害者不追究的话就没事了,这里要注意是受害者有不追究的权利,而不是没造成损失就应该不追究。为什么有些人会产生这是合法的错觉? |
65
sammo 2017-01-10 21:27:21 +08:00 via iPhone
你总是拿 “一个女士穿着暴露是否就该被强奸” 作比喻,你真的看不出这种比喻的问题在哪吗?
你的网站估计已经被轮奸很多次了, 或许正在被轮奸, 而你是没感觉的 也不知道谁在这么做, 还在说 “如果被轮奸了对方要负责怎样怎样” |
66
Hanxv 2017-01-10 21:29:46 +08:00 via Android
@Explorare
我從未說他們的行為是合法的,我也從未說過什麼應該 什麼不應該。 我說的只是人與人之間的態度,請找准核心。 另外,這是實例而不是雞湯。 D 被點贊是用戶的行為,而不是我個人。 至於白帽子的行為,我的觀點很簡單,活該。 |
67
Hanxv 2017-01-10 21:35:24 +08:00 via Android
@sammo 女士穿著暴露而被強姦,關於這個,我有一個很好的反駁論點。
一個精神病患者,在大街上犯病。看到那位女士穿著暴露,頓時就紅了眼撲上去了。 不是她活該,還是什麼? 如果她穿著正常,被強姦的機率只是 1/精神病患者眼前所有女性,甚至是 1/精神病患者眼前所有人。 穿著暴露增加了被強姦的機率,怪精神病患者咯? 怪他有精神病 太愛美 性取向太正常? |
68
Explorare OP @sammo 那么这类白帽子的行为算什么呢?蹭了一下没插进去?插进去了没射在里面?
虽然说没被抓住就不算犯法。但你被抓住了,或者主动给送上去了,主动权已经不在你手上了,你已经自证其罪了,虽然还不一定是犯罪。我想表明的就是这一点。至于我网站被入侵,我自己的部落格挂在 Github Pages 上,纯静态,前置 CloudFlare CDN ,一般也不会 D 掉。公司网站有专门的安全,不归我管,和我无关,有安全 issue 直接转给安全团队负责。我自己的网站就几篇破文章,你改了我还有备份。除非我网站数据价值足够高了,我直接找搞安全的朋友给些钱授权测试啊,双方都舒服。 |
69
kulove 2017-01-10 21:41:00 +08:00
@Explorare 于理,确实是违法的;于情,在是白帽子的情况下,哪怕法律是这么规定,我认为并不能属于违法。
我平常也会测试下某些网站的漏洞,发现了也会提交到相关漏洞平台,如果这样被抓了,只能说互联网安全堪忧啊。。 两个维度,都有道理。剑可以行侠仗义,也可以打家劫舍。 |
70
Explorare OP @Hanxv 所以你认为世界是绝对公正的,遭到不幸、损失的肯定是他自己的过失,你只要保证没有这个过失就不会遭遇同样的事情,是这样么?这是世界公正谬论。
精神病患者的家属有责任看管好精神病,如果没有家属的视情况收容在精神病院。照你这个说法,大家都穿黑袍就都清真了 ( ´_ゝ`) 可还有足控呢,黑袍至少得拖地上。 你这个反驳不成立,强行合理,把过失推到受害人身上,来完成你心中所想的公正。既然不是精神病的错,那就是受害者的错,因却斯汀。 |
71
Explorare OP @kulove
>哪怕法律是这么规定,我认为并不能属于违法 你认为这是合法的,但法律已经如此了,对此行为有明确的界定,未经允许就是违法。我也并不是说你们搞这个就是罪犯,就该被抓之类的。只是告诉你你的这个行为如果告诉对方,然后还留下了可作为证据的记录,是对你极为不利的,这是有效的证据,或者说你就相信所有人都那么好心?不会再出第二个世纪佳缘?还没被坑够? 这样被抓你也只能尽量证明你没有对系统造成修改、破坏,没有造成损失,避免达到定罪标准,最终和解了就算了,但说“我这是为了互联网的安全”,也就能在社交网络上造势来施压了。 |
72
sammo 2017-01-10 21:53:00 +08:00 via iPhone
反正假如有一个网站的安全人员、如果因为他的失职导致了网站有漏洞又恰好被人利用了,
他是没有任何错的咯 ~ |
73
kulove 2017-01-10 22:01:50 +08:00
|
74
Explorare OP @sammo 保护系统和数据是安全的职责,发生入侵事件是安全背锅、开发背锅还要看这些人的智商了,智商高点直接甩锅给入侵者,正好遇到主动送上门的,直接起诉索赔,皆大欢喜。没抓住而让安全背全责赔偿损失? EXM ?就和运维一样,不出事老被当成是吃干饭的,出了问题第一时间背锅。
|
75
Explorare OP @kulove 希望你心中的正义有朝一日能实现,或者说从业人员道德水平都拔高到那个层次。(并非讽刺)
可这个社会既不温柔也不正确。世纪佳缘这种公司肯定还会有,就看是谁撞上去了。 |
76
caomu 2017-01-10 22:07:48 +08:00 via Android
等一下, lz 你主楼还在说会发感谢信,怎么下面就转进到白帽子就是在强奸了?。。。
|
77
Hanxv 2017-01-10 22:10:52 +08:00 via Android
@Explorare 相應的行為自然會有相應的後果。一定的後果不一定是一定的行為,但一定的行為同樣也不一定是一定的後果。
聽你的意思,你似乎認為任何事情都是絕對的? 而且,請你弄清楚,我們談論的是人與人之間的態度。你想和我討論哲學嗎?我這半吊子哲學自認為在情商偏低的程序員圈子裡還算是不錯的。 關於因為穿著暴露而被強姦。如果這是辯論賽,你會被你隊友罵。因為你扯偏題了。 我的論點是,因為穿著暴露增加了機率,所以被強姦有穿著暴露這個原因。 你和我扯責任作甚?你這麼扯,怎麼不說治安呢?還有很多可以強行牽連的事情。 |
78
Explorare OP @caomu 我感谢是我的个人行为,不能代表所有“被检测”的人都会这么做。我也不是嘲讽或者否定白帽子,而是说未经授权的渗透测试,不管你给这种行为起什么名字,找什么理由,没授权就是违法,被抓就别抱怨。而且世纪佳缘就这么做了,圈内再声讨能怎样?可以干涉司法么?或者说继续去犯法?反正抓不住。
我不证明起诉者的道德正确,但在法律上这个行为是合理合法的,不会因为你说你是白帽子而就无效了。所以下次发安全 issue 的时候多考虑一下,这个风险值不值得承担?你检测的对象是不是世纪佳缘? |
79
Explorare OP @Hanxv
>因為穿著暴露增加了機率,所以被強姦有穿著暴露這個原因 但这个原因不能将强奸行为合法化啊。我网站有漏洞,但不代表你就可以合法的捅。你捅了还告诉了我,你依然是违法,我不追究是我的权利,不是你的。网站有漏洞被入侵,安全免不了背锅,但该立案的还得立案,该起诉的还得起诉,难道还说因为安全情商低所以被入侵了,所以这锅安全背? 法律能解决的事就别扯道德。 辩论的话我不敢说这是辩论,我也没这个水平。你就当是个被加班的制杖在消遣时间就好。觉得有讨论的价值就说,觉得题主制杖就算了,我也不是非要死咬着一个人让他同意我的观点。 |
80
saggit 2017-01-11 09:06:21 +08:00
以前学校机房里就贴有那些计算机安全法律, **未经授权**的各种安全检测都是非法的。
|
81
flyfishcn 2017-01-11 18:23:11 +08:00
我就只说一点,不一定报安全问题的都是入侵过后的行为。就像上楼无意摔了一跟头发现你家门锁有问题,根本没锁上一样。
|
82
Explorare OP @flyfishcn 是的。也有喝多了开错门的。但如果有人告诉你我就是来测试你家门锁安全不安全的,捅了一下真的捅开了,果然不安全,快谢谢我。愿意为互联网安全贡献力量是好事,但要注意手段,你自己问心无愧,但事实对你不利。
|
83
flyfishcn 2017-01-11 19:31:40 +08:00
@Explorare 事实上,乌云 补天这种平台还是有存在的意义的,但是前提是你不能拿去做破坏,大多数人只是随手测试,而且没有公开细节,并不是去刻意入侵的。这种问题要扯到入侵还付之诉讼的,要么是厂商碍于面子,要么就是神经病。以后你有漏洞了,我挂几个跳板拖你库再给你清空数据,到底是谁的损失,大多数厂家应该能想明白的。
|
84
Explorare OP @flyfishcn 我没有否定乌云的意义,也没有否定白帽子的行为,但前提是你有经过对方授权,这个是界定测试行为是否违法的重要依据。你悄悄测了就测了,还大大方方告诉对方「我入侵你系统了,但啥也没干,我叫 XXX ,家住 XXX ,谢谢我」,如果对方愿你和你玩白帽子游戏,给你点奖励, happy end 。如果对方玩的是法律这个游戏, GG 。保护好自己,白帽子游戏不是所有人都玩的,法律这个规则凌驾一切。
>以后你有漏洞了,我挂几个跳板拖你库再给你清空数据,到底是谁的损失,大多数厂家应该能想明白的。 你这算是在变相要胁么?“你不给钱要你 X 命”?或者说你有信心你不被抓住咯?数额巨大五年以上,不谢。 |
85
flyfishcn 2017-01-11 19:49:16 +08:00
@Explorare 首先,我说了是无恶意,你却自行定义为入侵。我已经感觉你没救了。如果定性就是入侵,那么就算授权入侵也是违法的,因为授权的事情本身就是违法的。
然后呢,解释下:这个‘’我‘’,只是个代指,并不是现实中的这个特指,可以代指任何一个人,也许是个日本或者美国或者印尼人,我想知道结果呢?你能跑去人家国家抓人关 5 年? |
86
Explorare OP @flyfishcn
如果你有耐心,希望能认真看一下我贴的相关法律条款 ========================= >非法侵入计算机信息系统罪客观要件 本罪在客观方面表现为行为人实施了违反国家规定侵入国家重要计算机信息系统的行为。在这里,所谓“违反国家规定”,是指违反《 中华人民共和国计算机安全保护条例》的规定,该条例第 4 条规定:“计算机信息系统的安全保护工作,重点保护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统安全。本罪的对象是国家重要的计算机信息系统。所谓国家重要的计算机信息系统”,是指 国家事务、国防建设、尖端科学技术领域的计算机信息系统。所谓“侵入”,***是指未取得国家有关主管部门依法授权或批准***,通过计算机终端侵入国家重要计算机信息系统到者进行数据截收的行为。在实践中,行为人往往利用自己所掌握的计算机知识、技术,通过非法手段获取口令或者许可证明后冒充合法使用者进入国家重要计算机信息系统,有的甚至将自己的计算机与国家重要的计算机信息系统联网。 >非法侵入计算机信息系统罪主观要件 ***本罪在主观方面是故意***。即行为人明知自己的行为违反国家规定会产生非法侵入国家重要计算机信息系统的危害结果,而希望这种结果发生。过失侵入国家重要的计算机信息系统的,不构成本罪。***行为人实施本罪的动机和目的是多种多样的,有的是出于好奇,有的是为了泄愤报复,有的是为了炫耀自己的才能,等等。这些对构成犯罪均无影响。*** >非法获取计算机信息系统数据、非法控制计算机信息系统罪 违反国家规定,侵入***前款规定以外的计算机信息系统***或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 ========================= 然后我回答你上面的质疑: >如果定性就是入侵,那么就算授权入侵也是违法的,因为授权的事情本身就是违法的。 违法的前提是“未取得被侵害主体的允许或批准”,批准了就不违法。 >也许是个日本或者美国或者印尼人,我想知道结果呢?你能跑去人家国家抓人关 5 年? 你的这个辩解并不能合法化这个行为。难道你被起诉之后也要这样辩解一番么?心太大了。网络犯罪天天有,能抓住几个我不知道,但我知道你要是违法入侵了还报上大名,对方想追查易如反掌。不报名字也许就不会查或者查不到了。 |
87
Explorare OP @flyfishcn 感觉你一直在反驳这样一个观点“未经允许的渗透测试就是违法,遇到这种人直接起诉”,但你如果认真看完上面的讨论,我其实是想说”在进行未经允许的渗透测试后不建议泄露能关联到你本人的真实信息,因为这个行为是违法的,对方想起诉你是必败的,不论你是否主观恶意“。
|
88
flyfishcn 2017-01-11 21:44:18 +08:00
@Explorare 第一、你所列举的都是中国法律,对非中国公民没有效力。
第二、就算是有效力的中国公民:本罪在客观方面表现为行为人实施了违反国家规定侵入国家重要计算机信息系统的行为。然而并不是什么网站都属于“国家重要计算机信息系统”的。 第三、***本罪在主观方面是故意***这你都说了是主观故意了,不需要过多说什么了吧。接着“过失侵入国家重要的计算机信息系统的,不构成本罪”。 第四、侵入***前款规定以外的计算机信息系统***或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制。 一般人报告安全事件,既不会存储、处理或者传输,也不会非法控制。这是最重要的性质判定。 第五、跨国的网络攻击,除非是 ZF\机关这样的单位,大家都知道调查成本的,所以几乎不会有人愿意去追究。然而我并没有说入侵是合法的,我是说如果一个厂家对漏洞报告采取这种态度的话,没人愿意再提交漏洞,那么其他人入侵的概率会高很多。 第六、如果你认为匿名就能避免泄露你的真实信息的话,那么你太天真了,作为一个网络管理,我可以负责任的告诉你,虽然我并不能知道你 QQ 聊天的内容,但是只要你有任何不加密的信息从出口过了,就一定能从这些信息一步步还原出真实世界中的你是谁。而你无法保证你的所有信息 100%全加密。就算你用什么代理 VPN ,一样能顺着 IP 轨迹,查到你的接入信息。唯一不好查的情况就是跨国,需要多国家安全机构配合。但是你知道为何 Google 要退出中国么? |
89
Explorare OP >你所列举的都是中国法律,对非中国公民没有效力
是啊,你测试别的国家的网站就不用担心,但大陆的就得遵守。 >然而并不是什么网站都属于“国家重要计算机信息系统”的 我贴第一条的就是为了定义第三条的“前款规定以外的计算机信息系统”,因为本身“非法获取计算机信息系统数据、非法控制计算机信息系统罪 ”就是“非法侵入计算机信息系统罪”的扩充,不贴第一条你又要说我不懂之类的了。 > 一般人报告安全事件,既不会存储、处理或者传输 是不获取“存储、处理或者传输” 的数据。世纪佳缘一案中定罪条件中就包括了嫌疑人获取了 932 条数据,当然这是诉方的说辞,被告则说只是读取了,然后扫描工具自己缓存了。最后一样是判了啊。 >大家都知道调查成本的 那么你怎么知道你入侵目标的实际价值的?除非你读了数据,或者已经知道目标的实际价值然后还主观入侵。这里的主观不是说故意来搞破坏算主观,而是你知道你的行为是入侵,这就是主观了。喝多了走错楼开错门不是主观,但明知道是别人家门你还捅,捅开了你说我没恶意,不是主观的。 >如果你认为匿名就能避免泄露你的真实信息的话,那么你太天真了 有能力搞渗透测试的应该也有匿名技术的基础吧,不用你教。你上面说了成本,下面又说跨国,所以说你一个网管就能跨国咯?不明白你的逻辑。 而且我一再表示我不是鼓吹网关起诉未经授权的渗透测试发起者,而是建议这些“白帽子“多考虑一下暴露身份的风险,万一对方起诉了会处于被动局面。 所以你下面又要回复说,不善待白帽子就要被万人轮?或者匿名照样被抓? |
90
flyfishcn 2017-01-12 01:51:05 +08:00
@Explorare
难道就中国会入侵、渗透?其他国家就没有会技术的?其他国家的人犯罪,也要按中国法律判? 别的我不评价。多了走错楼开错门不是主观,但明知道是别人家门你还捅。 所以呢?喝醉闹事都是故意的?在不清醒时无意走错门都能算是明知的话,如果这么说的话,酒精似乎应该列入管制啊。另外:按住回车 70 秒,黑客就能在 linux 系统绕过认证,进而获取 root 权限。你就说这种偶然发现算不算入侵吧?你说不是?可是人家是绕过认证,拿到 root 了。 我说跨国是因为挂跳板,别告诉我你都有能力做渗透检测,却不会挂点肉鸡、 SS 、 vpn 的。多挂几层一般的厂商谁有这个精力和财力去追查?网安部门为了你一个普通企业找 N 个国家去交涉?想多了。 我说这些的目的,只是觉得有些好坏不分,颠倒黑白的厂商,以后再遇到类似的问题,损失会比虚心认错的情况惨得多。顺带一提为啥开源的产品很少有大的安全问题,因为有诸多的开发者、社区在及时维护。就算官方不能及时更新版本,也有临时 patch 可用。而闭源的东西,就只能靠厂商自己去维护,如果有漏洞,但是并无上报,然后掌握的人也不公开利用方法,厂商是很难查到的。 |
91
Explorare OP @flyfishcn
>难道就中国会入侵、渗透?其他国家就没有会技术的?其他国家的人犯罪,也要按中国法律判? 我可没这样说,你不要听风就是雨,将来报道上出了问题,你是要负责的。其他国家来渗透自然有别的处理对策,写个感谢信跪舔一下。 >多挂几层一般的厂商谁有这个精力和财力去追查? 是啊,这就是匿名手段啊。那么多人上过,就你正大光明报上大名,不搞你搞谁?是不?都不用国家追查了,直接起诉就是。既然不会被追查,直接干就是了,为啥要走代理? >多了走错楼开错门不是主观,但明知道是别人家门你还捅。 所以呢?喝醉闹事都是故意的? 来,我帮你赏析一下原文: ”这里的主观不是说故意来搞破坏算主观,而是你知道你的行为是入侵,这就是主观了。喝多了走错楼开错门不是主观,但明知道是别人家门你还捅,捅开了你说我没恶意,不是主观的。 “ 正如原文 ”喝多了走错楼开错门不是主观“所述,作者在这里表达的是”喝多了走错楼不是主观故意来入侵“,非主观不违法,这里的违法是指”非法侵入计算机信息系统罪“中的”本罪在主观方面是故意“。你是不是又要说” po 主脑子有洞,喝酒开错门就算非法侵入计算机信息系统罪了 ゚∀゚)σ“。但如果你思维清晰,知道你的行为就是入侵还继续实施,那么这就构成主观故意了。 >按住回车 70 秒,黑客就能在 linux 系统绕过认证,进而获取 root 权限。你就说这种偶然发现算不算入侵吧?你说不是?可是人家是绕过认证,拿到 root 了。 是,如果只有这个行为可以被解释为无意造成了入侵行为,不算违法。前提是你有合理的理由去按 70s 。 >"只是觉得有些好坏不分,颠倒黑白的厂商" 所以你的黑白是你心中的黑白咯?还是法律的黑白?所以你在未经授权自主入侵之后,光明磊落的留下了自己的名字? 开源软件本身有开源协定,允许复制、修改、再发布的行为,私有系统没有。 Google 公开授权了对他的白帽渗透行为,而且承诺了提供奖金,这就算是有授权的了。难道你还要说 ” Google 是美国公司管不到中国人“?美国就没人了?你家突然每天来观光团,说我们是来帮你看家的,能行?”被开源“? 所以你想表达的是,你不认为”在进行未经授权的渗透测试行为后暴露自己的真实信息会对将入侵者置于法律不利境地“咯?”虽然入侵者知道自己在未经授权入侵受害者,但入侵者认为自己主观无恶意,所以该行为不违法“?再或者”就算入侵者知道自己行为是违法的,但如果被起诉,受害人将会受到变本加厉的报复行为,所以受害人必须示好妥协“? 说了半天感觉你还是先把我定义为了”一言不合起诉未经授权进行渗透测试的人”,扣个大帽子,然后不停告诉我你抓不住入侵者的,就算他报上大名你也不能起诉,起诉了就被万人轮?是不是这意思?但现在“世纪佳缘起诉入侵者胜诉”已经是既定事实了,说明只要受害者愿意追究,入侵者会因为自己的行为事实、对话记录而处于不利境地,比如正面或侧面承认了自己入侵的主观性,承认了自己增删改查了数据库,获取了登陆口令等。我只是说有这样的风险,并不是说做了就绝对会被制裁。 所以,在进行未经授权的渗透测试时,要注意保护自己,不要给对方留下把柄。 我解释清楚了么? 问:作者到底在瞎 BB 什么?他会不会起诉入侵者?入侵者在完成入侵后报上大名会不会被追究?被追究会不会被定性为违法? |
92
flyfishcn 2017-01-12 11:11:32 +08:00
@Explorare 既然我的意思一再被你曲解,那我最后解释一波,就不再回复了。
我是针对那些你提出的,也是我认为的:“明明自己有漏洞却不肯承认,有人上报安全事件还要反咬一口把报告者推上被告的厂商”说的。你不必每句回复都带入显示中的你和我身上。 另外我每个举例都是为了佐证我所提出的观点,而不是具体指咱们讨论的这件事。请不要把我提出的类似:恶性故意杀人这样性质严重的案件要判死刑。等价为 犯案严重就判死刑或者故意犯案就判死刑。 OK ? 说了半天感觉你还是先把我定义为了”一言不合起诉未经授权进行渗透测试的人”,扣个大帽子。 这锅我不背,我说的是上文提到的厂商。 |
94
kn007 2017-01-12 21:58:54 +08:00
我觉得有人提醒挺好的。
|