2011年12月30日,一段时间以来,异常活跃的乌云平台突然宣布维护了,具体原因不得而知。
乌云平台的活跃,让一些互联网企业或多或少都有些尴尬。这个平台会不定期的由注册会员提交一些软件、网站的漏洞信息。在中国有个奇怪的现象,几乎所有网站或软件都不愿意面对漏洞这个问题,有人问起来,就拍着肚皮说,没问题,直到自己膝盖中了一箭。
何必呢,做软件的找漏洞的都不是神仙,谁能保证自己写的程序一定没问题呢?都会有的,连Windows 记事本这么一个简单的应用程序都出现过严重的安全漏洞,何况一个功能复杂的软件套件或网站系统。
为何我们的企业或网民不能正确的看待漏洞问题呢?
上个月的某一天,在乌云上看到一个漏洞报告,是关于某B2C企业的。提交者声称,该漏洞提交给相关厂商完全没有回应,发现者一怒之下,将漏洞细节公开。仅仅几小时之后,在新浪微博上就看到有人说,用这个方法得到了4000万客户资料。
首先要说,乌云的这个漏洞提交者的确够缺德的。就算人家不理你,这样做也有点儿过。且不说,提交者自己有没有用这方法去扒光那家网站的客户数据。
但话又说回来了,厂商为啥对提交者转达的漏洞消息不当回事儿呢?如果对一个高危漏洞都置若罔闻,那厂商标榜的客户利益到底是个什么东西呢。有人免费给你提供系统漏洞,应该千恩万谢才是。
关注了安全圈里不少高人,有网站的设计者自身应该说还是很看重系统安全的。但网站发布后,职业安全研究人员还是在10分钟左右就发现了系统弱点。从这点看,应用开发者和安全研究人员的视角存在明显差异,二者的关注点不同。应用开发者眼里,首要目标是实现功能设计。安全研究人员在这方面也许并不看中,他们习惯用自己的方法迅速发现安全弱点。
有时候想,盗卖客户数据、或破坏性的黑客为何那么多,其中的原因,恐怕还是与利益有关。当正常反馈的漏洞信息不被重视,漏洞提交后不回应,不查证,不处理。白帽子黑客做安全检查的积极性也会受到影响,特别要说的是,帝都的房价这么高,黑客恐怕也缺钱,况且给别人找漏洞,也没见有人付过钱,面对漏洞可能换来丰厚的报酬,管它合法非法,有几个人能扛得住诱惑呢?
国家漏洞信息库也建了好久,收集的漏洞信息提交的多为安全厂商提交或国外软件公司公开披露的漏洞信息。因为拥有国字号牌匾,为平衡各方利益,在漏洞信息发布方面相对保守且正式,较难吸引民间安全爱好者参与。在这次密码事件中,媒体或公众并未增加对国家漏洞信息库的认知。
这次密码风云,乌云名声大噪,今天其网站维护也好,升级也好,猜测受到某种压力的可能性不是没有。乌云的确还有自身存在的问题,因厂商的系统对黑客来讲,也是黑盒,有时黑客的判断和厂商的看法并不吻合。还有一些人不怀好意的伪造漏洞信息,利用乌云平台发布。或者漏洞信息过于详细,导致更严重的后果出现。这些都是乌云网站运营商需要解决的问题。
对乌云发布的漏洞信息,首先是不能轻易断言否认,漏洞信息应积极查证,有就是有,没有就是没有,判断有差异可以沟通解决。任何恶意利用乌云平台兴风作浪,其实都在试图毁掉乌云这个可以帮助改善中国互联网安全的平台。
网友评论