互联网太不安全了:我们需要更多的黑客

2020-06-28 21:21:00

不久前,我在一个拥有数百万用户的网站上偶然发现了一个漏洞。

问题是,我不是黑客。远非如此--我从来没有试图黑过任何东西。

我像往常一样浏览网站,意识到它有一个潜在的漏洞。然后我就害怕了,真的很害怕。

所以我做了你应该做的-我报告了。四次。

问题是:他们没有负责任的披露政策。这意味着我没有正式的方式向团队通报这一问题,也没有关于他们如何处理此类披露的指导方针。

这才是最可怕的部分。如果没有这样的政策,发现服务漏洞的人,即使是偶然的,也必须在他们的道德责任感和自己的安全之间做出决定。

现在,我不知道我发现的漏洞是否会暴露敏感数据,但理论上是可以的。我没有试图找出答案,这不是我的事,想要深入了解可能是一个严重的问题。

我找到了它,报告了它,离开了那里,然后开始了一个不眠之夜-尽管我没有做错任何事情。

然而,事情并不总是这样发展的。如果你花一些时间在网上网络安全论坛上,你会发现,通常情况下,适当的研究人员发现的漏洞会被忽略或不报告,因为担心遭到公司的报复。

没有一个负责任的披露政策,或者报复善意的白帽黑客(永远黑客),就像在你的公司门前挂了一块牌子,上面写着“禁止好人进入”。

好人不被允许的地方是坏人喜欢出没的地方。

自从互联网发明以来,我们已经走过了很长一段路,现在,几乎任何人都可以拥有一个网站。

一个人可以在大约一周的时间内获得免费建立和启动网站所需的技能。如果他们不想自己建造它,有无数的服务可以为你做到这一点。

我们现在可以分享我们的想法,为我们的产品做广告,并如此容易地与他人联系,这真是太棒了,但这是有代价的。

就像建立网站和软件变得越来越容易一样,黑客攻击也变得越来越容易。

我的意思是,我们都看到了青少年侵入政府组织和大公司的报道。

这是因为互联网上的东西对任何人和每个人都是可用的,而一些人肯定会试图破坏它。

任何运行过Web服务器的人都知道这一点。你的服务器每天都会收到成百上千个非常奇怪的请求,包括关于17世纪俄罗斯历史的PDF文件的请求。这些都是为了找出只会危及您网站整体安全的一个错误。

学习利用简单但具有破坏性的漏洞的技能并不是非常困难,而且市面上也有很多工具可以完全自动扫描这些漏洞。

对于不太复杂的攻击,黑客也可以设置工具,在线搜索他们可以利用的问题,然后离开家去喝杯咖啡。他们确实做到了。

因此,我们每年都会收到各种重大黑客攻击的新闻,其中一些大公司揭露的问题非常琐碎,即使是一个实习生也应该能够处理这些问题。

就在去年,一个名为GnoticPlayer的黑客(或组织)在短短几个月内暴露了近10亿(是的,这是b)用户记录。

例如,与我之前的电子邮件相关的数据至少泄露了六次:

有一些我们可以单独采取的步骤来帮助保护我们的数据,我建议我们都采取这些步骤。例如,在过去的几年里,我正处于隐私狂热之中。

然而,还有另一个(不太可能的)解决方案来帮助减少安全漏洞的数量和影响。

信不信由你,上面提到的很多问题都可以通过拥抱黑客来解决。

对于我们大多数人来说,“黑客”这个词仍然带有负面的含义,但这是一个有缺陷的观点。

如果我们假设大多数人都是善意的,同样的原则也适用于黑客。

的确,有白帽黑客和黑帽黑客--一个是你最大的敌人,另一个应该是你最好的朋友。

黑帽黑客是我们在新闻中听到的那些人,在一个关于选举干预或你最喜欢的平面设计网站的用户详细信息泄露的片段上。

然而,在光谱的另一边是白帽黑客。好人。这些是“道德黑客”,他们试图在网站上发现漏洞,而不是利用它们,而是帮助服务部门修复它们,防止黑帽黑客找到它们。

这些黑客可能是互联网并不是完全不安全和仍然可用的主要原因之一。

在这方面,大技术公司明白这一点。这是我和大技术公司为数不多的达成一致的事情之一。Facebook、谷歌、亚马逊、微软和大多数其他顶级科技公司都有一个广泛的负责任的披露/错误赏金计划,该计划报酬丰厚,并保护白帽黑客。

“想办法黑进当地咖啡馆的网站,你可能会坐牢。想办法黑进Facebook,你就有可能成为百万富翁。

尽管有大量的网络安全和信息安全部门,这些公司仍然意识到为自己的利益支持白帽黑客社区的价值。

一些政府也明白这一点。五角大楼开展了针对白帽黑客的项目,还有英国司法部,仅举几例。

他们意识到,安全总是在修补下一个漏洞的边际成本和由此产生的假定边际收益之间进行权衡。这就是为什么我们的房子周围有2米高的墙,而不是20米高的墙。对于仅在安全方面进行微小的边际改善来说,成本太高了。

换句话说,不可能使您的服务百分之百安全,因此您需要相应地分配有限的资源,并确定要修复的漏洞的优先顺序(假设您甚至可以了解所有漏洞)。

然后你能做的就是让公众监督你的服务,并奖励他们帮助你保护你找不到或没有足够资源来修复自己的服务领域。

像HackerOne或Buggroup这样的网站允许公司轻松地推出强大的负责任的披露计划,并帮助公司识别其产品和服务中的关键问题。

更重要的是:许多公司甚至不提供金钱奖励。黑客通常会花几个小时或几天的时间免费测试服务,只是为了智力挑战,赢得T恤的可能性,或者可能在公司网站上被点名。

并不是每个人都能负担得起运营一个合理的网络安全部门所需的每年数十万美元。但每个网站所有者都可以负担得起security.txt文件,并鼓励在他们的网站上进行白帽黑客攻击。

我们对构建数字产品的日益关注,加上对网络安全缺乏投资,以及白帽黑客的边缘化,伤害了每个人。

这意味着,那些熟练的黑客更有可能因为缺乏支持而陷入“黑暗面”,而那些考虑从事道德黑客职业的人可能会被迫三思而后行。

网络安全就业市场的缺口已经达到数百万,而且还在迅速扩大,我完全可以理解其中的原因。