白帽与黑客相对,简单来说白帽就是未受聘用的网络安全管理员,有点类似于侠盗罗宾汉。而所谓的白帽机制,即利用白帽黑客来挖掘程序系统中漏洞的一种形式。
Facebook、微软,Google目前都有自己与VR相关的白帽机制,主要手法就是将程序的查错权力放开,借助在野的VR专家来协助修补漏洞。包括MR相关的操作系统Windows Holographic和移动VR平台Daydream,它们都被划定在漏洞奖励范围之内,而Facebook Bug Bounty计划也将影响到Rift程序的安全等级。
但在去年12月,白帽黑客袁炜通过乌云网将网站漏洞提交给世纪佳缘之后,却因为这项行为而遭到逮捕,其主要原因可能是涉及到了SQLmap的使用。SQLmap除了检测漏洞的功能之外还能对漏洞进行利用,这也表现出某些企业对于白帽黑客触及隐私的深深忧虑。
白帽机制虽然在一方面整合了资源,提高了自身程序漏洞的填补能力,加强了安全等级,但另一方面又缺乏系统的白帽群体约束规则,他们在修补漏洞的同时也可能因由各种原因对系统造成威胁破坏,是一把双刃剑。
不过,从科技巨头的作为看来,白帽机制虽然有一定的隐私隐患,但只需稍加引导就能作为虚拟现实程序安保中的重要一环。
·白帽黑客对VR系统的安全有很大的积极意义
微软和谷歌的白帽机制早在2005年就得以建立,他们先后设立了SRC应急响应机制,鼓励全球的白帽黑客能够协助自己一同建立安全防线。国内企业起步较晚,直到2012年腾讯才开启了漏洞收集平台TSRC(腾讯安全反馈中心),但我们仍然可以看到白帽机制已经初见成效。
Facebook的Bug Bounty计划截止到2015年已经发现了2400个漏洞,仅2015一年内就有210位白帽反馈的526单漏洞获得审核。除此之外,微软在今年上半年总共收到了124个程序漏洞信息,Adobe、苹果和谷歌则认证了485个漏洞反馈。
这些漏洞的发现者包括世界各地的网络安全提供商,也存在一些在野的白帽黑客。Facebook的一份报告表示,XSS和CSRF形式的跨站攻击已经开始减少,他们的漏洞主要集中在系统的逻辑上而非技术上,这也是自身的安全团队很难发现的问题。此外,得益于白帽机制的推行,大部分漏洞在测试阶段就能获得填补。
而白帽提交的漏洞报告也越来越趋向于成熟,非关键性漏洞的举报频次逐年降低,在报告中通常还会附带一些可能发生的攻击手段,这也是大环境技术上升的一种表现。
无论如何,白帽机制是一种集思广益的作法,独立的安全团队很难发现程序中的盲点,这个盲点在VR系统中更为致命。主流VR设备往往需要针对性的开发一套新系统,这些技术的发展在目前来看远未成熟,漏洞存在的可能性更高。从Oculus Rift系统的拆包信息来看,Oculus正在努力研发一个内置的保护程序,而这个程序还在跟随版本不断迭代。
再者,一旦VR系统涉及到用户个人信息的记录,将不仅限于简单的账户密码。还会牵扯到人们使用VR头显的动作习惯,联网中具体的地理位置,无屏VR则与智能手机中的信息强相关。
白帽机制在一定程度上加大了漏洞发现的可能,尽早的填补则是保障网络安全的重中之重。而厂商也可以通过这个手段来均摊成本,一方面悬赏漏洞的成本比挽回事故的成本要低得多,另一方面也能降低安全团队的组成成本。
·白帽机制又存在一定的安全隐患
从白帽黑客袁炜被捕的事件可以看出,白帽机制也存在一定的安全隐患。SQLmap的使用对系统来说具有两面性,而白帽在获得漏洞资料之后也有可能进行二次泄露,从而对程序和网络安全造成损害。
国内的法律规定,对于不涉及商业、科研和国家安全的计算机信息系统,如果只是侵入,没有进行破坏和篡改或者牟利等行为的,不构成犯罪。但这个法规的判定不太严谨,白帽黑客随时可以采取取巧的手法绕过监管,而对于程序安全的保障几乎全靠个人在道德上的自律。
这又引申出另一个问题,从严格意义上来说白帽的划分标准是相当模糊的。最近这几年出现的激进骇客(Hacktivist)则介乎白帽与黑客之间,以“匿名者(Anonymous)”这个组织为例,他们有着自己的一套正义法则。
在2002年前后,Anti-Sec社区中就有一类人,他们在白天上班的时间内专注于网络和系统安全的相关事宜,回到家后又开始从事黑客的工作。2011年10月,匿名者(Anonymous)攻击了40个与儿童色情相关的网站,并将1500位访客的个人信息公之于众,这种行为也许在某种程度上是合乎道义的,但他们也确实触犯了法律。
相比之下,VR领域中也存在类似的“灰色地带”,VR情色一直被人们所津津乐道,这其中也包含了一些不能搬上台面的合法内容。白帽在某种条件的促使下将会拿不准行事的标准,从而对合法内容展开相应的攻击,进而侵犯他人的隐私。
·白帽机制可以引入安全体系,但需要相关规则的约束
仅仅依靠白帽自身的道德约束是不够的,要完善整个体系需要有相关规则的制定。常规的方法就是增加奖励机制,让“做好事”的受益程度大于“做坏事”的受益程度。
谷歌在不久之前的一份声明中阐述,他们在6年间总共对漏洞的发现者回馈了约600万美元的赏金,仅2015年内就给300多位白帽颁发了200万美元的奖金。在将漏洞的审查范围扩展到Android和iOS平台之后,VR平台则是Google的下一个目标,去年最高的奖金数额为37500美元,而这个数字还在不断的上升。
微软和Facebook在白帽的酬劳设置上也显得十分慷慨,微软在去年将奖金的数额翻了一倍,表示一个漏洞的反馈最多能获得10万美元的奖励,而Facebook从2011年至今也已发放了430万美元的查错奖励了。
除了加大奖励金额外,企业在不同领域也应该设置相应的白名单。如若是针对虚拟现实领域,就面向VR方面相关的白帽开放部分程序的入口,这样一方面能加大查错的范围,另一方面又能确保点对点的正确性。
白名单的设置也应该引入一些信用标准,只对通过验证的白帽发放。例如规定白帽曾经提交过数个相关的规范漏洞报告,或是在业界积累了一定的口碑。Facebook的政策也许能够作为一个参考,他们直接向白帽发放Visa借记卡,只要他们汇报的漏洞得以确认,奖励就会直接发放到借记卡中。
Facebook安全响应团队经理Ryan McGeehan表示,有了这种独立的黑客卡,白帽黑客的变现速度更快且更隐蔽。而这种借记卡的存在,也相当于一种变相的白名单体系,目前已经有81个安全人员得到了Facebook的Visa借记卡。
白帽黑客作为骇客范畴内最具约束力和自制力的团体,在技术和道德上都起到了先驱模范作用,并非是应该泯灭的对象。白帽的初衷都是为了分享知识和交流解决问题,而整个互联网科技领域不应该由于个人的变味从而否定整个社群。在一定规则的引导下,白帽机制能为VR领域甚至整个科技领域带来可观的收益。
====================================分割线================================
本文转自d1net(转载)
