当前位置:主页 > 教程 > 编程教程 >

跟黑客“搞”好关系——一次真实的网络攻击后记
栏目分类:编程教程   发布日期:2019-12-02   浏览次数:

嘶吼根据捐款项目,最终决定以赏金猎人的名义捐出10800元的同时,再以嘶吼名义捐出10800元,希望更多的孩子能够得到帮助。 我们必须承认,嘶吼网站存在漏洞的事实,而弱口令这类漏洞的产生也是由于技术人员的网络安全意识淡薄,所以我们在修改服务器密码,加

  嘶吼根据捐款项目,最终决定以“赏金猎人”的名义捐出10800元的同时,再以嘶吼名义捐出10800元,希望更多的孩子能够得到帮助。 我们必须承认,嘶吼网站存在漏洞的事实,而弱口令这类漏洞的产生也是由于技术人员的网络安全意识淡薄,所以我们在修改服务器密码,加强网络防护的同时,也趁着这次事件,在公司内部进行了网络安全意识的培训。 当然,在承认漏洞存在并及时修复的同时,我们也同步在与对方联络协商奖励方式,对方拒绝了再以购物卡的形式支付奖励,并且在一轮沟通后将赏金金额提升到10000元。 多年以后,当年的“脚本小子”技术有成,这批江湖老手中,执白的一方与厚积薄发的学术派拼接起了现今中国网络安全的版图,而执黑一方则转入幕后,或伺机而动、或锒铛入狱。二十几年过去,一如棋盘上的黑白二子,千羁万绊,却又不是单纯一个黑白说得清的。 网络安全意识的问题,是我们近来反思最多的一个问题,我们意识到尽管在网络安全技术能力上投入了大量的人力、精力与财力,网络安全意识培训也没落下,但仍然存在着网络安全意识薄弱的问题。 比如弱口令的问题 ,“123456”、“admin”这类简单的密码设置,黑客入侵系统时一般都会先做尝试,很大程度上说,这类密码形同虚设。 但问题的出现,本质上是因为网络安全意识的薄弱,大部分运营者都不认为黑客攻击会落到自己头上。尽管是老生常谈,但对于大部分中小企业的网络安全运营者来说,这种现象很普遍。 而一旦这类网络受到黑客乃至黑产的关注,就会发生大面积,甚至是毁灭性的破坏。 实话说,这类话题历来不受欢迎,因为谈的太多,又没有直达病灶的解决方案,落到最后只能让大家加强防范意识,但是从这次事件的角度来说,安全意识薄弱是病,“早治早好”! 当年一群热衷于计算机技术的年轻人成立了绿色兵团、红盟、安焦等黑客组织,为了和凭借技术作恶的一批人作区分,又纷纷发明了“骇客”、“红客”这样的代称,希望能与执“黑”的一方做出区分。 金九银十,都是多事之秋。 不久前,嘶吼碰见点麻烦,这点麻烦里的关键词是:黑客、白帽黑客、漏洞、赏金。 我们费了很大的精力处理这点麻烦,但是依然无法确定最终的处理方式是否恰当,所以决定把事情拿出来,跟大家聊一聊。事情经过是这样的: 两周前,嘶吼接到一自称“赏金猎人”的黑客来信,对方表示在嘶吼网站发现了一个漏洞,并且提出现金奖励的要求。 尤其是各个SRC奖励机制健全后,掌握技术的年轻人比同龄人更早地掌握了财富和名声。 在网络安全力量壮大的同时,以破坏为目的的黑客行为门槛越来越高,“白帽黑客”的数量越来越多。 嘶吼的技术人员在获知后进行了验证,核实后第一时间完成了修补。当然,按照惯例,我们给出了1000元购物卡的奖励,并且对于对方第一时间将漏洞通知我们的行为表达了感谢。 值得一提的是,其中一个漏洞存在于嘶吼网站的一台测试服务器中:“赏金猎人” 通过弱口令获取到了嘶吼网站的部分权限。 这种见怪不怪的事,不至于大张旗鼓的宣扬、引发讨论。 但是在长达两周的事件处理过程中,我们发现,有些问题是这个行业的从业者都可能碰到,并且无法回避的问题。 所以我们决定把这些细节披露出来,希望能借助这次嘶吼的经历现身说法,让这些问题得到更多的关注和讨论。 这是好事,对于年轻人来说,假如你热爱的东西恰好是这个世界需要的,绝对是一种幸运。 还是聊聊现在,过去十年里,人类发觉到数据的价值,今天给大家带来前端网页龙卷,财富的天平从未像今天一样如此偏爱过这些数学符号。 但是事情并没有结束,在收到这笔奖金后,“赏金猎人” 再次提交了两个漏洞。 事情到这里基本已经解决,按理说,嘶吼是一家网络安全媒体,我们每天都在报道黑客与网络安全运营者的纠葛,同时也有专门的技术团队在从事网络安全技术方面的研究。 2、介绍完这次事件背景,我们想聊一聊嘶吼的处理态度。 作为一家网络安全媒体,我们常年在报道黑客人物、网络安全事件,所以我们也清楚, 黑客为公司提交漏洞的事情不少见。 在黑客群体中有一批人,当他们发现企业网站漏洞时,会第一时间联系企业进行修复,我们称之为白帽黑客。 而嘶吼作为网络安全媒体,与很多白帽黑客之间都一直在保持着良好的协作、交流关系。 但这次的事件让我们有了些犹豫,我们甚至不认为“赏金猎人”的行为还属于白帽黑客的范畴。 实际上,按照网络安全法第二十七条规定,任何个人和组织不得从事非法入侵他人网络危害网络安全的活动。如果仅出于这样的考虑,“赏金猎人”无上限索要赏金的行为,是在挑战我们的底线,更是在触碰法律底线。 但是在双方交涉过程中,嘶吼发现“赏金猎人”还在完成学业,甚至可能是个未成年的孩子。 所以,我们不得不把这个情况纳入考虑,试想: 假如,我们一味响应他的要求,一个未成年人失去了内心的标尺,会不会投身黑产,越走越偏;再假如,借助法律制止他的行为,会不会量刑,会不会毁了孩子的一生。 所以,我们不得不重新思考之前的处理方式是否对“赏金猎人”做出了错误的引导。 实际上,我们认为这个孩子可能并没有意识到这些行为的严重性,但是,假如真的把决定权抛给一个孩子,在往后漫长的岁月中,我们不确定他能否再秉持本心。 最终,嘶吼选择了一个折衷的方式,决定将这笔钱以“赏金猎人”的名义,作为漏洞奖励捐赠给湖北恩施山区的贫困儿童,并将处理意见通知了对方。 希望能通过这种方式尽可能做出好的引导: ——技术能力还是应当应用在更有意义的人类事业上,而非牟利。 大约在上世纪90年代,“hacker”这个词跟随热销读物“骇客帝国”传入中国,被译为“黑客”。 掌握了庞大数据财富的企业很舍得花钱,网络安全就像是存放这笔财富的金库,从业人员不断的浇筑水泥,加厚钢板。 而如今,技术一旦变成牟利工具后,牟利者恐怕再也摘不下脸上的面具,对于那些未定性的技术人来说,警钟该长鸣。 与十几年前的网络安全环境相比起来,对于年轻黑客来说,这不只意味着多了一个兑换奖励的渠道,也多了合理、合法的锻炼机会。 这些可喜的变化代表着国内的黑客文化在朝着更健康的方向成长。 但网络安全归根结底是在与“人性”作斗争, 掌握技术的人也掌握了开启金库的钥匙,执白者警惕黑的恶意,执黑者捕捉白的漏洞,但是,还有一群没有开局、未定 执方的人 ,这些人怎么选? 这些我们无法定义为白帽黑客的人和行为,又应该怎么引导和应对? 十几年前,那批混迹在各个黑网吧的年轻技术爱好者,喜欢搭传奇私服、盘小霸王游戏机,厉害点的搞一个QQ靓号,多年以后还能成为酒桌上的谈资笑料,当成是青春的懵懂无知。

相关热词: 靠谱黑客联系方式

相关内容
Copyright © 2002-2020 www.qinjiaren.com 2019六开彩公开资料 版权所有    粤ICP备88888888号   关于我们 | 广告合作 | 版权声明 | 意见反馈 | 联系方式 | 原创投稿 | 网站地图 |
特效 教程 资源 资讯