Yerel SRC ile ilgili "beyaz şapka anlaşması" nasıl değerlendirilir?
Kurşun: Lao Tie, seninle ilgili hiçbir sorunun olmadığını ve kötü düşüncelerin olmadığını biliyorum, ama iyi niyetle kötü şeyler yapma durumu gerçekleşmedi. Dikkat etmeden içeri girmek çok yanlış olur. Daha çok dikkat ver!
Yazar: Xie unitary
1 Haziran 2017, 21:21
Bir hapishanede diyalog şu şekildedir:
Mahkum A: Buraya nasıl geldiniz?
Mahkum B: XX mazgal platformunda kazara boşluklar kazarak içeri girdim.
Mahkum C: XX platformunda yoldan geçiyorum, yanlış rm -rf / komutunu girdim (toplu olarak sil)
Mahkum D: Belirli bir değerlendirme merkezinden geliyorum ve yetkilendirmeyi unuttum ...
Mahkum E: Ben. . . Grupta tüm gün övünmek ve savaşmak için size eşlik eden Cehennemdir!
Mahkum F: Hepsi burada Web sitemi kim hacklediyse seni öldürmeyeceğim Sitenin yöneticisiyim.
____
Evet, yukarıdakiler sadece bir şaka. Bununla birlikte, 1 Haziran'da, bu paragraf güvenlik çemberinin WeChat grubunda geniş çapta dağıtıldı çünkü "Siber Güvenlik Yasası" o gün resmi olarak uygulandı.
Güvenlik çemberindeki pek çok kişi kendini küçümseyecek olsa da, bu kendi kendini engelleyen şakalar da diyalog gibi birkaç endişeyi açıkça ortaya koyuyor:
"Hey, Lao Tie, seninle ilgili bir sorunun olmadığını biliyorum ve kötü düşüncelerin yok ama iyi niyetle kötü şeyler yapma durumu olmadı. Dikkatsizce kanunu çiğnersen çok yanlış. Daha çok dikkat et! "
Bu endişe temelsiz değildir. İki gerçek şeyden bahsedin.
Biri, geçen yıl çok fazla gürültüye neden olan "Yuan Wei Olayı".
2015 yılının sonunda, Wuyun Güvenlik Açığı Platformu'ndan beyaz şapka Yuan Wei, Jiayuan için bir güvenlik açığı sundu.Jiayuan, bu güvenlik açığını doğruladı ve düzeltdi, aynı zamanda Wuyun.com'daki beyaz şapkaya teşekkür etti. Ancak daha sonra saldırganlar tarafından 900 parçadan fazla geçerli veri elde edildiğini buldular.
Jiayuan, bilgi güvenliği konusundaki endişelerinden dolayı polisi aramayı seçti. Polis araştırdıktan sonra, davaya sadece Yuan Wei'nin karıştığı ortaya çıktı. Son olarak, Yuan Wei savcılık tarafından yargılandı ve tutuklanması Nisan 2016'da onaylandı.
Olay ortaya çıkar çıkmaz tüm güvenlik çemberi patladı. Bunu, beyaz şapka davranışının sınırlarının derinlemesine tartışılması izledi.
İkinci şey son zamanlarda oldu, ancak sonuncusu kadar "heyecan verici" değildi.
1 Haziran'da, tanınmış bir İnternet şirketinin Güvenlik Acil Durum Müdahale Merkezi (bundan böyle "SRC" olarak anılacaktır), platformunda platform güvenlik açığı testi ilkelerine uymayan beyaz şapkalar bulunduğunu ve bunları yetkilendirmediğini belirten bir duyuru yayınladı. Bir güvenlik açığının ayrıntılarını kamuya açıkladı. Nihai sonuç, güvenlik açığını sunma karşılığında beyaz şapka ödülünün iptal edilmesidir.
Duyuru gelir gelmez farklı görüşler ortaya çıktı. Bazıları "Siber Güvenlik Kanunu" ilanının uygulama gününde çıkarıldığını ve sözlerin oldukça yoğun olduğunu düşünüyor, bu bir gösteri! Bazı insanlar bunda yanlış bir şey olmadığını düşünür, bu yüzden yasalara ve kurallara uymaları ve her şeyde makul olmaları gerekir;
Partinin beyaz şapkası ayrıca blogunda, SRC'nin duyuruyu yayınlamadan önce hesabındaki tüm güvenlik açığı bonus puanlarını (daha önce güvenlik açığını kazma ödülü dahil) dondurduğunu ve bunun da ödülleri kullanamamasıyla sonuçlandığını belirtti.
Para küçük olsa da insanları çok rahatsız ediyor! (Ayrıca bir duyuru yayınlandı)
Bu iki şey aslında aşırı senaryolarda işletmeler ile beyaz şapkalar arasındaki çelişkili ilişkinin aktivasyonu ve patlamasıdır. Hangi çelişki? "Aşk ve korku" çelişkisi.
Kurumsal diyalogdaki beyaz şapkalar hem sevgi hem de korkudur.
Beyaz şapkaları severler, çünkü ikincisi pek çok güvenlik açıklarını bulmalarına yardımcı olabilir ve bazen iş istikrarlarını sürdürmek için düzeltmeler sağlayabilir; ancak beyaz şapkalardan "gönülsüz özgürlük sevgisinden" korkarlar ve yasal hükümleri ve platformları okumakla uğraşmazlar. Kendi mantığınıza göre hareket edin. Ayrıca beyaz şapkanın hukuku anlamadığı için tartışmalı bir şey yapacağından da korkuyorum. Beyaz şapka kisvesi altındaki suçluların her iki tarafın da duygularını incitmesinden ve beyaz şapkanın itibarını zedelemesinden de korkuyorum.
Beyaz şapkalar da şirketleri sever ve korkar.
Sadece maddi hediyeler ve ikramiyeler değil, aynı zamanda manevi cesaretlendirme de dahil olmak üzere boşluklar kazarak getirilen geri bildirimleri seviyorlar - kimliklerinin teşekkür listesinde görünmesi, iyi arkadaşlar ve ekip madenciliği boşluklarının getirdiği teknik tartışma ortamı gibi. Aynı zamanda kazara potu taşıyacaklarından da korkuyorlardı ve karşı taraf teşekkür ederek kendilerini tutukladılar ve boşluklarının tanınmamasından da korkuyorlardı.
Peki, bu hassas ilişkiyi dengelemenin ve zımni bir anlayış oluşturmanın bir yolu var mı? Herkesin endişelerini ve korkularını azaltmak için "korku" kısmını en aza indirmek mi?
Aslında, SRC ve çeşitli şirketlerin güvenlik açığı platformları bu cevabı bulmak için çok çalışıyor. Sonunda oldukça iyi bir çözüm seçtiler: kurallar.
Böylece bir "beyaz şapka anlaşması" başlattılar.
1 Haziran'da 19'dan fazla şirketin SRC'si "SRC Alliance" ı oluşturdu ve "Beyaz Şapka Anlaşması" nı birlikte başlattı. Şu platformlar var:
Jingdong Güvenlik Acil Müdahale Merkezi, 360 Güvenlik Acil Müdahale Merkezi, iQiyi Güvenlik Acil Müdahale Merkezi, Didi Seyahat Güvenliği Acil Müdahale Merkezi, Ele.me Güvenlik Acil Müdahale Merkezi, JJ Dünya Güvenliği Acil Müdahale Merkezi, Lenovo Güvenlik Acil Müdahale Merkezi, Meili United Group Güvenlik Acil Müdahale Merkezi, Momo Güvenlik Acil Müdahale Merkezi, Tongcheng Güvenlik Acil Müdahale Merkezi, Tuniu Güvenlik Acil Müdahale Merkezi, NetEase Güvenlik Acil Müdahale Merkezi, Xiaomi Güvenlik Merkezi, Ctrip Güvenlik Acil Müdahale Merkezi, Weibo Güvenlik Acil Müdahale Merkezi , Yirendai Güvenlik Acil Durum Müdahale Merkezi, Zhubajie.com Güvenlik Acil Durum Müdahale Merkezi, Yama Güvenlik Açığı Müdahale Platformu ...
Beyaz şapka anlaşması nedir?
Anladığım kadarıyla beyaz şapka anlaşması, bir işletme ile beyaz şapka arasındaki bir anlaşmadır.
Ne yapılabilir, ne yapılamaz ve merhaba deyince önceden söylenmesi gerekenler, önceden açıklayalım, bir anlaşma imzalayalım ve "kabul et" i tıklayalım, iki taraf da sorun olmadığını kabul eder ve sonra mutlu bir şekilde boşluklar kazmaya ve listeyi fırçalamaya devam edebilirsiniz. Ve ödülü al.
Daha sonra ilgili durum sınırlı kaldı ve önceki anlaşma kabul edilerek herkes ikna oldu. Anlaşmazlık yok ve yanlış gitmek kolay değil.
JD JSRC'nin beyaz şapka sözleşme sayfasının ekran görüntüsü
Seslendirme: Silme, çok fazla kural ve yönetmelik, boşluklar kazmamıza ve ellerimizi ayaklarımızı bağlamamıza izin vermiyor muyuz?
Gerçekten değil. Bir benzetme yapmama izin verin:
"Siber Güvenlik Yasası" yürürlüğe girdikten sonra, birçok kişi başlangıçta bunun güvenlik uygulayıcılarının faaliyetler için gittikçe daha az alana sahip olacağına ve bağlanacaklarına inanarak endişeliydi. Ama daha sonra insanlar öğrendi, değil mi? Uzun vadede, kuralların ve sınırların açıklığa kavuşturulması, insanların işleri yapmakta daha rahat hissetmelerini sağlayacaktır.Kasanın ve sınırların nerede olduğunu bilerek, korku korkusu olmadan ellerini ve ayaklarını sınırlar içinde bırakabilirler.
Benzer şekilde, güvenlik açığı platformları ve kurumsal SRC'ler de, ilgili platformların kurallarını ve sınırlarını belirleyerek beyaz şapkalar için "beyaz şapka anlaşmaları" formüle etmişlerdir. Bu, beyaz şapkanın da alt kısmına sahip olmasını, haklarını ve yükümlülüklerini bilmesi ve kurallara göre ellerini ve ayaklarını bırakmasını sağlar ve hiçbir şeyi şaşkınlıkla yapmaz Anlaşmazlıklar ve yanlış anlamalar açıklanamaz şekilde ortaya çıkar.
Elbette, beyaz şapka belirli bir platformda anlaşmaya varmazsa ve iki taraf bir anlaşmaya varmadıysa, o zaman basitçe başlamayın.Bu şirket çalışmazsa, başka bir eve geçin, en azından yırtılma ve yanlış anlama olmayacak.
Hakları, yükümlülükleri ve menfaatleri önceden açıklamak her iki taraf için de bir korumadır.
Seslendirme: SRC, boşluklar kazmak için anlaşmayı kabul etmek zorundadır. Onlar için boşluklar kazmaya "cesaret edeceklerinden" veya "isteksiz" olduklarından korkuyorlar mı?
Bu soruyu "Beyaz Şapka Anlaşması" nın liderlerinden Jingdong JSRC'nin patronu Li Xueqing'e sordum. Asıl cevabı şuydu:
Bu konuyu daha önce değerlendirmiştim ve endişelenmiştim, ancak beyaz şapkaya cümlenin içeriğini bildirmenin, boşlukları kazmak için platformumuza gelmeyeceği endişesinden daha önemli olduğunu düşünüyorum.
Beyaz şapkaların yanlışlıkla kendilerine sorun yaratmasını istemiyorum çünkü terimlerin içeriğini ve siber güvenlik yasasının ciddiyetini bilmiyorlar.
Li Xueqing, Zerke Channel'a, Momo ve diğer SRC operasyon ekiplerine "beyaz şapka anlaşması" ve siber güvenliğin yaygınlaştırılması fikrinden bahsettiklerinde, herkesin birlikte gitmeyi düşündüğünü keşfettiklerini söyledi. Çoğu SRC'de benzer şeyler var. fikir.
Başarılı oldu ve sonunda 19 SRC bunu birlikte yapmaya istekliydi. Ek olarak, benzer aktivite planlarına sahip başka SRC'ler de var, ancak maalesef tutarsız hız nedeniyle bunu birlikte yapamadılar.
Konuk, 1 Haziran'da beyaz şapkayı "sikmek" için bir uyarı yayınlayan yukarıda bahsedilen SRC'nin aralarında olduğunu buldu. (Aslında bu NetEase SRC, artık gizli değil)
Bu konuya bir ev konuğu perspektifinden baktığımızda, ister partinin beyaz şapkası olayın nedenlerini ve sonuçlarını kendi blogunda kamuoyuna açıklaması veya NetEase SRC kamuoyu açıklaması.
Bunu özel olarak çözüp karşılıklı şüphe ve şüpheyle sonuçlanmaktansa, meseleyi onlar gibi yüzeye çıkarmak daha iyidir. Bu güçlü bir izlenim bıraksa da, en azından diğer beyaz şapkaların ilkelerini ve alt satırını bilmesini sağlayabilir.
Tıpkı arkadaş edinmek gibi, çabuk öfkelenen ancak açık sözlü bir kişi başlangıçta insanlara "güçlü", "numara yapan" ve "şiddetli öfke" izlenimi verebilir, ancak bu tür insanlar daha kolay ve doğrudan iletişim kurma eğilimindedir ve saklanmayacaktır. Sıkışmış.
Netease SRC'nin kamu geliştirme duyurusu da baskı altında. Genel olarak konuşursak, büyük şirketler için standart halkla ilişkiler süreci genellikle büyük meseleleri küçültmektir. Ama bu sefer siyah bir yüz oynamayı seçtiler. İşleri açıklığa kavuşturmaya cesaret eden açık sözlü kişi olmak için dışarı çıkan kişi olmayı seçin.
Belki bu duyurunun bazı beyaz şapkaları rahatsız edeceğini, hatta platformlarının beyaz şapkalarını kaybettireceğini biliyorlardır. Ancak JSRC Li Xueqing'in dediği gibi:
Boşlukları kazmak için platformumuza gelmemesi konusunda endişelenmektense beyaz şapkaya terimlerin içeriğini bildirmenin daha önemli olduğunu düşünüyorum.
Maddeyi yüzeye koyarak, isteksizce ayak tabanında bir yara kazıyorum, bir süre keskin bir acı olsa da, ancak bu şekilde sonunda iyileşebiliyor. Yavaşça çürümesine izin vermek yerine.
JSRC Li Xueqing, Zerke Channel'a, beyaz şapka anlaşmasının başlatılmasından bir gün sonra, JDnin JSRC'sinin verilerine bakarak 69 beyaz şapkanın anlaşmayı okuyup kabul ettiğini ve üçüncü gün 100'den fazla beyaz şapkanın anlaşmayı okuyup kabul ettiğini söyledi. Anlaşma.
Açıktır ki, giderek daha fazla sayıda beyaz şapka standart hale getirildiğinde herkes için her şeyi netleştirmenin kötü bir şey olmadığını fark ediyor. Söylememektense söylemek daha iyidir.
JSRC'den Li Xueqing ile görüşmenin sonunda bana şunları söyledi:
Her zaman, Güvenlik Yanıt Merkezi'nin asıl amacının, işletmeler ve güvenlik uygulayıcıları için iyi huylu bir güvenlik ekosistemi oluşturmak olduğuna inanıyorum.
Bu nedenle, tüm güvenlik müdahale merkezlerinin daha samimi bir tutum sergileyebileceğini ve beyaz şapka için pratik bir şeyler yapmak için tüm kaynakları birleştirebileceğini umuyorum. Tabii ki, beyaz şapkalı kardeşlerin de asıl niyetlerini unutmamalarını ve şirketlerin güvenlik eksikliğini telafi etmek için haklı yeteneklerini kullanmalarını umuyorum. Gelecekte Çin'in güvenliğinin dünya tarafından öncü, sağlıklı ve saygı duyulacağına inanıyorum.
Ayrıca SRC ile White Hat arasındaki ilişkinin gelecekte gerçekten böyle olacağını umuyorum.
____
Yukarıdakiler, bu makalenin yazarından sadece bir açıklama, tartışmaya hoş geldiniz
Not: Birçok SRC, bu konudaki beyaz şapkaların fikirlerini ve önerilerini daha fazla dinlemek istediklerini söyledi, ben de Zhihu hakkında bir soru oluşturdum: Yerel SRC'lerin "beyaz şapka anlaşmaları" başlattığını düşünüyorsunuz? Sektördeki arkadaşlar gelip tartışmaya davetlidir.Bazı insanlar tükürebilir ve bazıları eleştirebilir, ancak çoğu şeyi yüzeye çıkarmak her zaman iyidir.
Leifeng.com'daki orijinal makaleler için, yetkilendirme başvurusunda bulunmak üzere lütfen Leifeng.com'un resmi web sitesine gidin. Tartışmaya, iletmeye ve paylaşmaya hoş geldiniz ~
