Www.KL126.Com - 坤龙教育资源网

跟黑客“搞”好关系——一次真实的网络后记

作者:小白 来源:未知 日期:2019-10-10 6:09:57 人气: 标签:网络黑客培训
导读:梦见偷东西被发现金九银十,都是多事之秋。不久前,嘶吼碰见点麻烦,这点麻烦里的关键词是:黑客、白帽黑客、漏洞、赏金。我们费了很大的精力处理这点麻烦,但是…

  梦见偷东西被发现金九银十,都是多事之秋。 不久前,嘶吼碰见点麻烦,这点麻烦里的关键词是:黑客、白帽黑客、漏洞、赏金。 我们费了很大的精力处理这点麻烦,但是依然无法确定最终的处理方式是否恰当,所以决定把事情拿出来,跟大家聊一聊。事情经过是这样的: 两周前,嘶吼接到一自称“赏金猎人”的黑客来信,对方表示在嘶吼网站发现了一个漏洞,并且提出现金励的要求。

  嘶吼的技术人员在获知后进行了验证,核实后第一时间完成了修补。当然,按照惯例,我们给出了1000元购物卡的励,并且对于对方第一时间将漏洞通知我们的行为表达了感谢。

  值得一提的是,其中一个漏洞存在于嘶吼网站的一台测试服务器中:“赏金猎人” 通过弱口令获取到了嘶吼网站的部分权限。

  我们必须承认,嘶吼网站存在漏洞的事实,而弱口令这类漏洞的产生也是由于技术人员的网络安全意识淡薄,所以我们在修改服务器密码,加强网络防护的同时,也趁着这次事件,在公司内部进行了网络安全意识的培训。 当然,在承认漏洞存在并及时修复的同时,我们也同步在与对方联络协商励方式,对方了再以购物卡的形式支付励,并且在一轮沟通后将赏金金额提升到10000元。

  2、介绍完这次事件背景,我们想聊一聊嘶吼的处理态度。 作为一家网络安全,我们常年在报道黑客人物、网络安全事件,所以我们也清楚, 黑客为公司提交漏洞的事情不少见。 在黑客群体中有一批人,当他们发现企业网站漏洞时,会第一时间联系企业进行修复,我们称之为白帽黑客。 而嘶吼作为网络安全,与很多白帽黑客之间都一直在保持着良好的协作、交流关系。 但这次的事件让我们有了些犹豫,我们甚至不认为“赏金猎人”的行为还属于白帽黑客的范畴。 实际上,按照网络安全法第二十七条,任何个人和组织不得从事非法入侵他人网络危害网络安全的活动。如果仅出于这样的考虑,“赏金猎人”无上限索要赏金的行为,是在挑战我们的底线,更是在触碰法律底线。 但是在双方交涉过程中,嘶吼发现“赏金猎人”还在完成学业,甚至可能是个未成年的孩子。 所以,我们不得不把这个情况纳入考虑,试想: 假如,我们一味响应他的要求,一个未成年人失去了内心的标尺,会不会投身黑产,越走越偏;再假如,借律他的行为,会不会量刑,会不会毁了孩子的一生。 所以,我们不得不重新思考之前的处理方式是否对“赏金猎人”做出了错误的引导。 实际上,我们认为这个孩子可能并没有意识到这些行为的严重性,但是,假如真的把决定权抛给一个孩子,在往后漫长的岁月中,我们不确定他能否再本心。 最终,嘶吼选择了一个折衷的方式,决定将这笔钱以“赏金猎人”的名义,作为漏洞励捐赠给湖北恩施山区的贫困儿童,并将处理意见通知了对方。 希望能通过这种方式尽可能做出好的引导: ——技术能力还是应当应用在更有意义的人类事业上,而非牟利。

  嘶吼根据捐款项目,最终决定以“赏金猎人”的名义捐出10800元的同时,再以嘶吼名义捐出10800元,希望更多的孩子能够得到帮助。3、

  事情到这里基本已经解决,按理说,嘶吼是一家网络安全,我们每天都在报道黑客与网络安全运营者的纠葛,同时也有专门的技术团队在从事网络安全技术方面的研究。

  这种见怪不怪的事,不至于大张旗鼓的、引发讨论。 但是在长达两周的事件处理过程中,我们发现,有些问题是这个行业的从业者都可能碰到,并且无法回避的问题。 所以我们决定把这些细节披露出来,希望能借助这次嘶吼的经历,让这些问题得到更多的关注和讨论。

  网络安全意识的问题,是我们近来反思最多的一个问题,我们意识到尽管在网络安全技术能力上投入了大量的人力、精力与财力,网络安全意识培训也没落下,但仍然存在着网络安全意识薄弱的问题。 比如弱口令的问题 ,“123456”、“admin”这类简单的密码设置,黑客入侵系统时一般都会先做尝试,很大程度上说,这类密码形同虚设。 但问题的出现,本质上是因为网络安全意识的薄弱,大部分运营者都不认为黑客会落到自己头上。尽管是老生常谈,但对于大部分中小企业的网络安全运营者来说,这种现象很普遍。 而一旦这类网络受到黑客乃至黑产的关注,就会发生大面积,甚至是性的。 实话说,这类话题历来不受欢迎,因为谈的太多,又没有直达病灶的解决方案,落到最后只能让大家加强防范意识,但是从这次事件的角度来说,安全意识薄弱是病,“早治早好”!

  大约在上世纪90年代,“hacker”这个词跟随热销读物“骇客帝国”传入中国,被译为“黑客”。

  当年一群热衷于计算机技术的年轻人成立了绿色兵团、红盟、安焦等黑客组织,为了和凭借技术的一批人作区分,又纷纷发明了“骇客”、“红客”这样的代称,希望能与执“黑”的一方做出区分。

  多年以后,当年的“脚本小子”技术有成,这批江湖老手中,执白的一方与厚积薄发的学术派拼接起了现今中国网络安全的版图,而执黑一方则转入幕后,或伺机而动、或锒铛。二十几年过去,一如棋盘上的黑白二子,千羁万绊,却又不是单纯一个黑白说得清的。

  还是聊聊现在,过去十年里,人类发觉到数据的价值,财富的天平从未像今天一样如此偏爱过这些数学符号。

  掌握了庞大数据财富的企业很舍得花钱,网络安全就像是存放这笔财富的金库,从业人员不断的浇筑水泥,加厚钢板。

  与十几年前的网络安全相比起来,对于年轻黑客来说,这不只意味着多了一个兑换励的渠道,也多了合理、的锻炼机会。 这些可喜的变化代表着国内的黑客文化在朝着更健康的方向成长。 但网络安全归根结底是在与“人性”作斗争, 掌握技术的人也掌握了金库的钥匙,执白者黑的恶意,执黑者捕捉白的漏洞,但是,还有一群没有开局、未定 执方的人 ,这些人怎么选? 这些我们无义为白帽黑客的人和行为,又应该怎么引导和应对? 十几年前,那批混迹在各个黑网吧的年轻技术爱好者,喜欢搭传奇私服、盘小霸王游戏机,厉害点的搞一个QQ靓号,多年以后还能成为酒桌上的谈资笑料,当成是青春的懵懂。

  而如今,技术一旦变成牟利工具后,牟利者恐怕再也摘不下脸上的面具,对于那些未定性的技术人来说,警钟该长鸣。

  

百家樂就好