一 : 黑客测试漏洞被逮捕 白帽的正确姿势是什么
最近,世纪佳缘的网络服务器,每天受到的网络攻击数量上升到十万量级别。而之前,其每天受到的网络攻击只有一两千次。
搜狐科技 文/丁丁
世纪佳缘受攻击次数大幅提升的背后,与最近一起企业状告黑客疑似窃取用户数据不无关系。
事件本身孰是孰非已不重要
这一事件还要从2015年底说起。
根据世纪佳缘CEO吴琳光发布的信息显示,2015年12月3日晚上,世纪佳缘负责网络安全的同事发现多个IP地址对网站进行SQL网络注入攻击。12月4日,有合作关系的乌云网,按惯例通知世纪佳缘网站存在SQL数据库注入漏洞。世纪佳缘随后确认并修补了这个漏洞,同时在乌云网上对白帽子表示致谢。事后统计,这次事件中,攻击总次数累计达到4000余次,共有900多条有效数据被攻击者获取。出于对用户数据和信息安全的担忧,世纪佳缘选择了报警。
世纪佳缘相关人士对搜狐科技表示,由于受到多个IP地址攻击,世纪佳缘当时认为这一事件中可能涉及到多个黑客。报警之后,通过警方的调查,才发现只有袁炜一个人涉嫌此案。吴琳光发布的信息显示,4月12日,北京市朝阳区人民检察院依据“非法获取计算机信息系统数据犯罪”批准逮捕涉案人袁炜。目前案件还在走司法程序,世纪佳缘也相信司法机关会依据事实公平公正处理这个案子。
吴琳光否认了在这一事件中世纪佳缘“钓鱼”的说法。吴琳光称,世纪佳缘报警的初衷是为了对用户隐私和信息安全负责,并不针对任何个人或群体。袁炜被批捕后,袁炜的家属、世纪佳缘及乌云三方也曾共同坐在一起沟通过此事。吴琳光表示,这个事情已经进入司法公诉程序,世纪佳缘能做的有限,毕竟起诉人不是世纪佳缘,而是检方。
搜狐科技对比后发现,世纪佳缘对外宣称的事件经过与报警时的细节,与袁炜父亲袁冠阳在第四届网络安全大会上散发的资料有一些出入。
对于此次事件的具体细节及这一事件的本身,包括乌云网创始人方小顿在内的安全圈人士对搜狐科技表明了一个态度,这一事件本身当事各方孰是孰非现在已经不重要。重要的在于,业界通过这一事件,要吸引教训,明确界定安全测试的法律边界,成为规范网络安全从业人员行为的一个标志性事件。
世纪佳缘袁炜事件形成三大阵营
据搜狐科技了解,世纪佳缘袁炜事件发生后,安全圈内部引起了广泛的讨论,并形成了三大阵营。
一大阵营认为,目前绝大多数测试行动都是在没有得到厂商授权的情况下进行的,因此,以后的所有安全渗透测试,都需要提前得到厂商的授权。但这只是理想状态,如果厂商不授权,也就意味着白帽黑客的探测,都涉嫌违法犯罪。
另一阵营认为,世纪佳缘的做法属于“钓鱼”,恩将仇报。以后如果再发现相关厂商的漏洞,就不再给其提交,而是转入黑产,进行拖库。这种想法明显是在与相关厂商赌气,因为如果发现漏洞后进一步获取更多数据,甚至拖库、交易数据的行为,已经触犯刑法285、286条文规定。
再有就是中间派,这一阵营占了大多数。中间派别认为,这一事件中,各方的做法都有欠妥的地方。企业的做法不像是一个公司对付安全漏洞正确的态度,只会让事情走向反面;黑客测试过程中由于各种原因可能下载了较多的数据,需要相关部门评判;乌云等平台方一般与企业之间也有商业合作关系,也应该规范白帽子的行为。
在这类事件中,平台方出于自身的利益,可能也较难处理与厂商的关系。平台方弱势的话对自身不利,强势的话又像是在利用漏洞进行勒索。
但不管如何,各方在这个过程中,不能违法是底线。江苏省公安厅网安总队科长、公安部网络安全专家童瀛就表示,网警在执法过程中,会根据法律规定严格执法。白帽黑客也要牢记相关条文中限定的数字,千万不要跨过这些线。童瀛表示,WEB安全的入门教程比较多,入门门槛较低,安全问题也较多。从以往相关案件的处理情况来看,执行渗透入侵的当事人会是“主犯”,要负责主要责任,因此,白帽黑客在做测试时一定要自律。在突破屏障后,多数人都是有好奇心的,只要越线,就会受到法律的处罚。
行走在法律边缘需明确边界
庞大的网络用户群体,成为网络违法犯罪行为的温床。根据此前腾讯发布的《网络黑色产业链年度报告》显示,公安部2014年11月公布的网络犯罪十大典型案例中,仅辽宁网安部门瓦解掉的一个非法入侵韩国网站盗取韩国网民银行存款的特大团伙,涉案金额折合人民币就超过了1000万元。DDoS攻击已形成了一条高度成熟的黑色产业链。腾讯研究院2015年11月对外披露了另一份数据,据称,在网络黑色产业链中,相关黑产从业人员或已达到38万余人,涉及6000多个大大小小的黑产团伙。其中,专职于DDoS黑产的人员高达13万,如果以人均月收入4000元计算,年产值超过100亿元。
据搜狐科技了解,在安全测试领域,对于测试行为有各种称呼,如网络渗透测试、安全审计、网络或风险评估等等。而进行测试的工具也多种多样,绝大多数测试工具在“白帽”黑客手中是发现漏洞并提升业界安全水平的利器,但在“黑帽”或黑产人员手中,却是获取个人或企业隐私信息,为已获利的帮凶。“黑客”到底是白是黑,完全在于一念之间。
一位黑客对搜狐科技透露,世纪佳缘袁炜这一事件,折射出安全行业普遍存在的一个问题,多数从业人员法律意识淡薄。在乌云白帽大会上,搜狐科技从与“黑客”的交流中也感受到,有些黑客在测试或者验证一些网络漏洞时,对入侵过程、入侵行为夸夸其谈,但从不提及这其中涉及的法律问题。
IT与知识产权律师,中国互联网协会信用评价中心法律顾问赵占领表示,从法律角度,国家已经为网络安全行为界定了明确的“边界”。在从业过程中,需要严格按照相关法律法规条文及司法解释规范自己的行为,在这个“边界”之内就可以保护自己的权益。
据了解,目前刑法第285条、286条、287条及刑法修正案(9)对网络安全行为有明确的规定,触犯这些条文会受到法律的严惩。2011年8月,最高人民法院、最高人民检察院针对刑法285、286条专门发布了司法解释,以达到“严惩危害计算机信息系统安全犯罪,保障互联网的运行安全与信息安全”的目的。
2015年6月,《中华人民共和国网络安全法(草案)》发布并公开向社会征集意见,在网络安全法草案中,对入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动,以及为这些活动提供支持、帮助等行为都进行了禁止。同时,草案也要求网络运营者要保护用户数据的安全。
白帽黑客使用检测工具测试网络安全的过程中,也可能会涉及到软件自动缓存的问题。这种情况下,白帽黑客没有主观想获取数据,但程序自动缓存了。从目前的情况来看,相关法律机关可能更倾向于黑客已经获取了数据。因此,在使用检测工具前,白帽黑客或安全从业人员要尽可能了解检测工具的工作原理,测试时要谨慎。
赵占领同时强调,从刑法角度来说,司法解释明确规定了非法获取用户信息的量刑数量,但白帽黑客绝对不要简单地认为,只要其获取的数据低于某个数量,其行为就是安全的,可以不受惩处。比如获取普通用户身份认证信息不到五百组,虽然不用负刑事责任,但根据后果,当事人可能会受治安管理处罚法第29条的规定,受到相应处罚。
腾讯玄武实验室总监于旸(TK教主)认为,这个行业游走在法律边缘是一种情绪化的说法,只有知道了边界在哪里,才能做到“常在河边走也不湿鞋”。每个行业都有相应的法律限制,网络安全从业人员更应搞清楚这些法律条文,才能在从业过程中做到没有后顾之忧。在行侠仗义的时候,顺便调戏妇女,在安全测试的时候,顺便拖库倒卖,都不是英雄和白帽的正确姿势。
厂商对白帽黑客五味杂陈
针对这一事件,安全媒体“安在”也以研讨会的形式进行了讨论。诺亚财富安全负责人顾全民认为,之前他们也收到过类似白帽提交的漏洞。这本来也是一件好事,但是后来他们企业的安全人员进到后台发现,这位“白帽”黑客做了两件事情,但其告诉企业一件事情。这就让企业与白帽之间很难建立信任关系。
万能钥匙安全负责人、安全专家龚蔚(Goodwell)认为,在整个白帽生态中,企业才是绵羊。龚蔚对白帽生态的发展也提出了相关疑问,如白帽子到底白在哪里、白帽的衡量标准、行为准则、诉求等。
小米云平台安全与隐私部首席安全官陈洋在乌云白帽大会上也表示,从厂商角度看,厂商有很重要的职责来保护用户的数据安全。厂商自身一方面会用各种方法去发现并解决问题,白帽子这么多年在帮助企业发现很多盲点,提升了厂商的安全程度。没有白帽子的支持,企业的安全就会落后很多年。但是,厂商也比较害怕白帽子。白帽黑客一些善意的测试,企业比较欢迎。但有时这些“白帽”的测试,有时会导致数据泄露或破坏。有的黑客甚至有些打着白帽子的旗号,去拖库、交易这些数据。
陈洋认为,企业与白帽黑客之间应该是共同促进的关系。一方面白帽黑客能帮助厂商提高安全,另一方面厂商也可以与黑客做一些精神、物质方面的合作。但对用户的数据产生侵犯,就会触控法律红线。
不要低估网警的水平
有的黑客认为其在渗透过程中操作很规范,甚至有人使用多重代理,认为相关部门很难取证。但中科院软件研究所研究员、中国电子学会计算机取证专委会主任委员、公安部三局特聘专家丁丽萍则认为,电子取证的水平已经很高,黑客不能低估网警的水平,不要心存侥幸。
据丁丽萍介绍,对于电子证据,业界已经有共识,认为电子证据是下一代的证据并已经获得认可。符合“三性”(真实性、相关性、合法性)的电子证据能够获得法庭的采用。白帽黑客需要了解警察取证的知识,在测试过程中,可以保留一些能够获得认可的证据,以便能够证明自己的清白。
在2011年底各大平台被拖库事件及斯诺登事件后,网络安全正受到各方的关注。除了用户的隐私,企业安全外,还有国家层面的网络安全。新兴事物的发展要快于法律规范的定制,是一个普遍现象,世纪佳缘袁炜这一事件,无疑在规范网络安全测试行业及黑客的行为中,将成为一个里程碑式的事件。
二 : 船钓中的正确姿势
作为一名船钓爱好者,经常在船钓中发现一个钓友们及其容易忽视的现象;那就是正确的船钓姿势。讲究正确的船钓姿势,是减轻身体各部分关节组织疲劳和紧张度,不使身体某部位产生过度疲劳,才能在钓鱼的过程中精力充沛,从而和鱼类斗智斗勇的PK中得到更多地快乐!由于船钓中钓友们的多半时间是在船中度过的,所以正确的站,坐姿就显得尤为重要了。假如您忽视了它的存在,那么轻者会感到全身酸痛,重者有可能会导致腰椎间盘突出等症状。
热衷于船钓的朋友们其实会有同个共鸣,总体认知是;起的早,装备重,路途远。有甚者还要翻山越岭才能到达目的地而感叹辛苦,人还没有登船,疲劳已经产生。所以,钓友们登船以后,钓位选择,钓具组装,绑钩挂饵后会有相当长的自由时间供自己选择,之时,我们要充分利用好有限的时间,来调整体力,放松身体,尽快恢复体能,并保持良好的状态才是为娱的关键。下面是本人的一点儿拙见仅供钓友们参考!
坐姿;
如果您感觉劳累过度,需要短暂的休息,建议您在船行进途中,把钓箱竖放置于离船舷100-200mm处,人骑坐在钓箱上,背部靠紧船舷。不能扭腰,上身端正应该垂直如一条直线,腰部不应弯曲,因为越是弯曲则压力越大,腰椎会受损越严重。大腿应该接近水平放置,双脚以够着地平放为佳。也可以喝少许矿泉水,做闭目养神状。休息一段儿时间后,建议您适当地做一些头部,四肢与腰部的运动来解除肢背肌肉疲劳!
到达钓场开始钓鱼,坐姿应该保持脊柱垂直,昂首挺胸,眼睛平视前方,以减少腹部压力,而不能弯腰驼背。坐在钓箱上时,最好离船舷约500mm为宜。座位不要太高或太低。坐上时腿的弯曲保持90°左右,若高度不够时,最好找物体来垫高,并且两脚与肩同宽,平放于地面。切不可踮脚来调整持竿的角度,因为时间长后小腿肌肉很容易收缩,会导致小腿肌肉过度紧张而产生疲劳感。
站姿
站姿所受的各压力比坐姿要减轻许多。站姿钓鱼时要保持身体的重心线位于正中,这样各关节,韧带,肌肉的紧张度会降至最小,常用站姿大体分为两种,一种是:“稍息式”即一侧的脚向前跨半步,让重力放在一侧下肢上,而使另一侧下肢做适当的休息状,感觉劳累后可两侧(脚)交替进行。而另一种姿势是“站桩式”要求脚与肩同宽,两膝微弯,全身放松,重力落在两脚之间,其实,无论采用任何姿势最好都不要过于太久,时间长了身体会亮起疲劳信号,可能在鱼汛强时您会由于神经高度兴奋从而感觉不到,建议您在鱼汛弱时适当在原地做简单运动,尤其是腰部运动以解除各部疲劳。
三 : “拍拍拍”的正确姿势,你知道多少?
爽肤水是护肤的必备单品,也是护肤的基础。不少妹子使用爽肤水的时候往脸上拍拍拍几下就完事了,这样简单的动作无法达到充分吸收的效果。小芙今天就跟大家一起探讨,爽肤水的挑选与正确使用方式。
如何挑选爽肤水
【干性皮肤】
干性皮肤最需要的就是补水和保湿,可以选择滋润型的精华水。通过轻轻拍打的方式让皮肤吸收,这是基础使用方法,想让肌肤更好的吸收,还可以选择做水膜的方式保湿,效果更好。将适量爽肤水倒入小碗中,用面膜纸沾湿再敷在脸上,约15分钟揭去即可。
【油性皮肤】
油皮皮肤清洁和维持水油平衡是关键。选择清爽的爽肤水,或者带有一点酒精成分的爽肤水,通过用棉片(化妆棉)对皮肤进行二次清洁,可以有效维持水油平衡维持水油平衡。
【敏感皮皮肤】
温和的爽肤水是敏感皮最好的选择。因敏感皮的角质层比较薄,容易遭到化妆品的破坏,最好选择无添加的天然品牌,并用轻拍的方式促进面部肌肤吸收。
如何确定爽肤水用量
一瓶爽肤水到底可以用多久,这因人的肌肤而异。平时使用爽肤水时,在拍完后可用用手背碰触肌肤。如果有“干滑感”说明皮肤已迅速吸收,用量不够,需要再用一次。如果你的皮肤保持软软的湿滑感则说明用够量了。
此外,还有一些爽肤水的使用细节小芙要提醒大家,爽肤水是最基础的护肤步骤,它可以调理肌肤酸碱值,并减少硬水对肌肤的伤(www.61k.com]害,还可以对皮肤进行二次清洁,所以爽肤水的使用一定不能省略。爽肤水需要根据肌肤的实际状况使用,当换季或者皮肤状况改变时要使用不同功效的爽肤水。另外,含有控油功能的爽肤水不适合长期使用,因为这会改变肌肤天然的水油平衡状态。
四 : 产品如何用正确的姿势撕逼?
从技术转产品已有一段时间了,第一个项目也正常运营了,那么跟大家分享下我这一段时间的转型之路。今年5月公司正好有个新项目启动,作为技术部的唯一女生,我顺利成章的被拉过去做需求,文档出来之后就一直在负责整个产品需求和设计上,只有经历过后,才知道『产品汪』这个称呼不是随便起的,而是有切身体会。
那[www.61k.com]么谈谈这段时间起早贪黑的到底做了一些什么工作,其实现在回想起来,最多的就是在扯皮,不是在扯皮就是在被扯皮。蓦然回首,人与人的沟通是有多么重要,产品汪的情商要求是有多高。下面就跟大家分享下扯皮的事。
跟技术扯的时候
当测试测出来bug或者验收时发现用户体验不佳的情况下,但技术认为设计如此的时候,那就开始扯了。产品设计原型、效果图、流程图、需求说明书等等都拿出来了,原来发现这种情况,当初设计的时候就没有考虑到。这个时候,我就把针对于这个问题的所有有可能的情况都画出来,立即展开需求变更,放入迭代开发中。不要讲究设计的详细,画个高保真的交互图出来,因为没有这个时间让你去做这个事情;最快的就是画流程图理清楚业务逻辑,把原来的效果截图出来,示意标上需修改的部分。大家都是知道做技术的都是逻辑性很高的一群人,他很快就能明白你想表达什么,并提出他的对问题自己的见解,那么这个淡就扯完了,嘿嘿。
跟其他部门扯的时候
再开上线评审会议的时候,一堆人就开始总结出一大推的问题。总结出来他们说的最多的就是:“我提出来的问题你们还没有给我解决好,又或者什么什么需求你们什么时候弄好…”
被坑多几次后,我总结的教训是:在会议提纲上写明今天的会议内容是什么,而不是在快要安排上线的时候,跟我们扯这些,一句话回拒。这些问题都不是影响系统上线的问题,系统有bug或者需要优化的,已经经过跟各方面沟通,安排好时间。详细见给大家发的邮件,每个问题都有记录,后面都有反馈,那么也算是理清这些淡了,不会影响我们想要达到的目的了。
总结出有效扯淡方法跟大家共享,不要正面跟市场、技术或者其他有关系的有冲突,更不能带情绪工作。是什么问题就什么问题,寻找问题的根源,理清关系,都能找到协调解决问题的方法。不要讲究过多的形式,在做的过程中多沟通,多理解,任何问题都能迎刃而解,就能达到『草木为剑』的境界。产品迭代快,才是我们的目的。
第一次写,跟大家共勉。
本文由 @Blairding 原创发布于人人都是产品经理?,未经许可,禁止转载。
本文标题:握笔的正确姿势-黑客测试漏洞被逮捕 白帽的正确姿势是什么61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1