Transcript 乌云的这些年 剑心 关于我 前百度安全架构师 黑客实用主义者 80sec

乌云的这些年
剑心
关于我
•
•
•
•
前百度安全架构师
黑客实用主义者
80sec创始人
乌云漏洞报告平台创始人
乌云是什么
• 第三方漏洞报告平台
• 基于漏洞的白帽社区
• 一定环境下特定产物
乌云创立的初心
• 建立良好安全漏洞生态
• 提升信息安全行业水平
几个问题
• 黑客是高大上的技术职业么
– 做得好应该的
– 做不好挨批的
几个问题
• 自由分享的黑客精神还存在么
– 这个我们公司有需要
– 这个太敏感不能说啊
几个问题
• 不能产生价值的技术本身价值大么
– 在一定条件下假设能够这样我们就能够那样
– 这种技术没什么意思我很早就知道这没什么
几个问题
• 信息安全人才问题
– 黑产：帮我黑个站
– 企业：帮我招个人
几个问题
• 中国会出现Fireeye么
– 这个产品的使用经过资质审核了么
几个问题
• 信息安全问题是个技术问题么
– 科学的问题前提是哲学问题
– 技术的问题前提是环境问题
为什么
• 封闭
– 用户（封闭导致看不到真实的问题）
– 企业（用户看不到问题可以不投入）
– 行业（信息的不对称可以获得利润）
负责任漏洞披露过程（腾讯标准版）
•
•
•
•
漏洞第一时间提交给厂商
厂商和修复确认及补丁推送
对外不主动披露任何信息
可能的商业合作和奖励致谢
负责任漏洞披露过程（腾讯标准版）
• 符合企业自身利益诉求
• 符合早期信息安全环境
负责任漏洞披露过程（腾讯标准版）
•
•
•
•
对自身用户不负责任
对其他企业不负责任
对社区积累不负责任
对行业成长不负责任
变化
• MS/Adobe/Apple
– 封闭体系
– 终端安全
• Google/Amazon/Dropbox
– 开放体系
– 云端安全
我们希望
• 开放
– 用户（通过安全信息的公开披露能够了解安全）
– 企业（用户对安全的关注和了解将使得企业提
高在安全的投入）
– 行业（透明的环境使得产品和技术价值提升）
负责任漏洞披露过程（乌云版）
•
•
•
•
漏洞第一时间提交给厂商
厂商修复确认及补丁推送
对外公开全部漏洞细节
重要漏洞会被预警和讨论
负责任漏洞披露过程（乌云版）
• 符合现有环境下行业对安全的诉求
• 符合现在以及未来情况下安全环境
几个乌云案例
• 360任意密码修改漏洞
（http://wooyun.org/bugs/wooyun-201008333）
– 半小时即修复
– 影响千万用户
– 引发社区关注
负责任漏洞披露过程（乌云版）
•
•
•
•
对自身用户的负责任
对其他企业的负责任
对社区积累的负责任
对行业成长的负责任
我们收获了的
• 从free bug到no more free bug
我们收获了的
• 新的安全漏洞评估办法
– 以数据为核心的漏洞评估
我们收获了的
• wooyun top 10安全问题（有案例）
–
–
–
–
–
–
–
–
–
–
A1-互联网泄密事件/撞库攻击
A2-引用不安全的第三方应用
A3-系统错误/逻辑缺陷带来的暴力猜解
A4-敏感信息/配置信息泄露
A5-应用错误配置/默认配置
A6-SQL注入漏洞
A7-XSS跨站脚本攻击/CSRF
A8-未授权访问/权限绕过
A9-账户体系控制不严/越权操作
A10-内部重要资料/文档外泄
我们收获了的
• 社区的成长
– 招聘请附上你的招聘ID
我们收获了的
• 信息安全职位增加/薪水double
我们收获了的
• 以产品/技术取胜代替关系和渠道
– 众测模式
我们收获了的
• 短期的不理解和反对
– 企业的恐惧和反弹（500w问题）
生存与成长
• 生存
– 站着（政府支持）
• 成长
– 自然（顺随环境可能做更多的事情）
譬如
• 白帽子的理想生活
– 如乌云众测(http://ce.wooyun.org)
Q/A
• 