注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 154|回复: 0

[网络安全] 灰冒黑客的漏洞披露

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
45282
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   583 小时
   最后登录
   2020-3-30
    在新的情形下,服务供应商将客户信息提供给执法人员,在某些特定情形下,客户可能会对服务供应商提起诉讼,控告其未经许可泄露个人隐私。现在,运营商可以报告可疑情况并在客户不知情的情况下协助执法部门办案。爱国者法案的这项和其他相关条款肯定会遭到许多民权人士的反对和抗议
站在哪一边取决于你自己一但要记住的是对计算机犯罪的处罚不像过去那么轻了。使用新的工具或按下过去使用过的工具的“ START”按钮可能把你送至你从不想去的地方也就是监狱。所以还是老话说得好,“从善如流吧,愿力量与你同在”关于“黑客”工具的争论大多数情况下,恶意攻击者使用的工具集与安全从业者使用的工具集是相同的。许多人好像不明白这一点。事实上,关于黑客的图书、课程、文章、网站和研讨会也完全可以被称为“安全从业者工具集培训”。问题在于,营销人员更喜欢使用“黑客”这个词,因为这样更能引人注意,从而吸引更多的顾客如前所述,正义黑客使用工具的过程和方法与不道德黑客是相同的,所以合理的解释只能是他们使用了相同的基本工具集。如果攻击者不使用工具A,那么证明“攻击者无法使用工具A来绕过安全限制并危害系统”是没有任何价值的。正义黑客必须知道坏人们使用哪些工具,理解尚未发现的新漏洞,并不断提升自己的技能和补充自己的知识。这是因为,公司和安全从业者处于不利的位置。安全从业者必须找出并应对环境中的全部漏洞。而攻击者只需要擅长一两种攻击方法,甚至只要运气好就行。就拿美国国土安全部的职责来比喻:CIA和FB负责保护整个国家免受恐怖分子可以想出和实施的无数种恐怖袭击的威胁,而恐怖分子只需从上千万的方式中成功实施一种攻击就可以。
   漏洞披露
直以来,客户们总是要求操作系统和应用程序提供越来越多的功能。供应商在匆忙满
足这些需求的同时,还要增加自己的利润和市场占有率。争取抢占市场,同时还要保持竞争优势,这两种因素相互作用导致软件中包含了许多缺陷,其中既包括烦人的小问题,也包括直接影响客户的保护级别的严重的、危险的漏洞黑客群体的技能在不断地增长。过去他们需要几个月的时间才能利用确定的漏洞发起成功的攻击,而现在只需要几天,甚至几个小时。黑帽群体对黑客活动的兴趣也在增加,吸引的人才数量也越来越多,这就导致安全从业者需要对付执行起来更快速、破坏力更大的攻击和恶意软件。供应商不能等待别人发现真正的漏洞,而是应该尽快将漏洞的补丁发送到有需求的客户那里。
    为此,正义黑客必须理解并遵循正确的方法,将识别出的漏洞报告给软件供应商。如果某个人发现了一个漏洞并对其进行了非法利用,或者告诉其他人如何利用该漏洞,那么就可以认为此人是一名黑帽黑客。如果某个人在发现漏洞后,是在相关方面的授权下利用该漏洞那么则认为此人是一名白帽黑客。如果某个人发现了一个漏洞,但是没有非法利用该漏洞也没有告诉其他人如何利用该漏洞,而是与供应商一起合作来修复漏洞,在这种情况下则认为此人是一名灰帽黑客

我们提倡使用这种技术,并以负责任的方式分享知识,这将不仅有助于这个行业,而不是有害于该行业。因此,你应该了解那些允许灰帽黑客和供应商共同协作的政策、过程和指导原则。
   令人遗憾的是,当今几乎所有的软件产品都充满了缺陷。这些缺陷可能给客户带来不容乐观的安全问题。对于严重依赖某些应用程序来完成核心业务功能的客户,bug可能会让业务运营受到影响,所以必须正确处理它们。如何处理bug是一个非常复杂的问题,因为涉入其中的双方对于如何解决问题通常会有不同的看法。
     其中一方是客户。作为客户的个人或公司会购买软件,使用软件,并希望软件能正常工作。客户通常会拥有一个由互联系统(网络)构成的社区,并且依赖于软件的成功运行来完成业务。当客户发现缺陷后,就将其报告给软件供应商,并希望在合理的时间范围内得到解决,另一方是软件供应商。供应商开发产品,并负责保证产品有效运行,供应商需要为数以千计的客户提供技术支持,并指导他们如何使产品正常运行。某个客户报告给供应商的缺陷通常只是供应商必须处理的众多缺陷中的一个,而且某些缺陷还可能会因为这样或那样的原因而没有被供应商注意到。
     向公众揭秘漏洞的问题在计算机行业产生了不小的骚动,各个群体对这个问题都持截然不同的看法。许多人认为,知情权是公众的权利,所以原则上所有的安全漏洞信息都应该公开。而且,许多客户认为,从大型软件供应商那里快速获得解决方案的唯一方法就是给他们施加压力,威胁他们要将信息公开,从而迫使其迅速解决问题。一直以来,供应商都以行动缓慢著称,他们通常会拖到发布新版本或者补丁的时候才会修复客户报告的缺陷。这种方法并没有考虑客户的最大利益,因为客户们必须等待供应商修复他们所报告的漏洞,但在这段时间内,这些漏洞将可能对其业务造成威胁。
    供应商则会从一个不同的角度来看待这个问题。公开关于软件缺陷的敏感信息存在两个主要的问题。首先,缺陷的详细信息会帮助黑客利用漏洞。供应商的观点是,如果在他们开发解决方案的过程中,客户不将漏洞信息泄露出去,攻击者就无从得知如何利用缺陷。其次这些信息的发布会损害公司的声誉,即使后来证明所报告的缺陷其实并不是缺陷时,造成的影响也已无法挽回。这就像是政治竞选中的抹黑运动,在报纸的头条刊登不利于对手的消息对手的名誉会受到影响,即使后来证明报道不实,报纸上也只会在一周后在一个不起眼的位置刊登撤回报道的声明。供应商担心大量发布漏洞报告会对其造成类似的影响
    由于存在以上两种截然不同的观点,因此,已经有几家组织联合起来,就如何处理软件漏洞信息的公开问题创建了一些策略、指导原则和一般性的建议。本章将尝试从各方的观点讨论问题,从而帮助你理解符合道德标准的软件漏洞揭秘行为的基础知识。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表