黑客来了怎么办

翰清吴@安全宝（ anquanbao.com）

2013-4-19

我是谁• 2005 - Alibaba

• 2012 - 安全宝

• 《白帽子讲Web安全》

• 微信：道哥的黑板报

第一 ：危机公课 关

支付宝信息泄露事件

支付宝信息泄露事件

• 2013-3-27，接到外部通知，快速定位问题

• 凌晨 4点 急升紧 级

• 第二天，官方微博 布公告发

• 第二天，支付宝公关@ 亮再次解陈 释

支付宝曾 犯 的经 过 错

Linode被入侵

• 所有用 被要求修户改密码

• 黑客 宣布组织 负责

• Linode的 理 度处 态

58 同城 事件娱乐• 《非你莫属》应

聘事件 2013-4-8

• 黑客攻击 58 同城

• 58 同城的应对

些人会 漏洞哪 报• 余 好者 业 爱 - 学生

• 安全公司专业

• 黑客技 好术爱 组织

• 黑客

• 程序员

• ......

漏洞 告与入侵的区报 别• 安全 估里 漏洞往往只需要做概念性评 发现

明（证 POC ）

• 入侵却是 意的，伴随着 失（ ）恶 损 拖库

授权与未授权

• 格来 ，未授权的攻 行 都是严 说 击测试 为入侵。

• 但 上有很多困 。现实 难

刑法的定义• 刑法修正案（七）在刑法第 285 条中增加 款作 第二款、第三两 为

款：“ 反国家 定，侵入前款 定以外的 算机信息系 或者采违 规 规 计 统用其他技 手段， 取 算机信息系 中存 、 理或者术 获 该计 统 储 处 传输的数据，或者 算机信息系 施非法控制，情 重的，对该计 统实 节严

三年以下有期徒刑或者拘役，并 或者 金；情 特处 处 单处罚 节 别严重的， 三年以上七年以下有期徒刑，并 金处 处罚 。”

• “ 提供 用于侵入、非法控制 算机信息系 的程序、工具，或专门 计 统者明知他人 施侵入、非法控制 算机信息系 的 法犯罪行实 计 统 违 为而 其提供程序、工具，情 重的，依照前款的 定 。”为 节严 规 处罚

真正的白帽子 把握好尺度应该

白帽子的心态

• 渴望被尊重

• 被厂商尊重，被社会尊重

• 希望漏洞价 得到 可值 认

漏洞有没有价 ？值呢

不等价

• 白帽子眼中的漏洞价值• 厂商眼中的漏洞价值

No More Free Bugs

• Cansecwest 2009

微 每个安全 丁的成本在数百万美软 补金

什么要披露漏洞为

• 最大化的 用 的利益维护 户

• 尊重白帽子的表现• 拒 可能 致漏洞流向地下黑客绝对话 导

厂商 采取的 度应 态

• 公告感 白帽子发 谢

• 适当的 励奖

• 的渠道收集安全专门 问题

• 快速响应• 勇于承 ， 客认错误 对 户负责

微 的漏洞政策软

• http://www.microsoft.com/security/msrc/report.aspx

Google 的漏洞政策

• http://www.google.com/about/appsecurity/reward-program/

Facebook 的漏洞政策• Our minimum reward is $500 USD

• There is no maximum reward: each bug is awarded a bounty based on its severity and creativity

• Only 1 bounty per security bug will be awarded

• http://www.facebook.com/whitehat/

国内互 网公司政策联

• 腾讯 - TSRC

• 阿里

• ......

于关 Wooyun.org

• 第三方 督监

• 厂商 配合 云的漏洞 告应该积极 乌 报

• http://www.wooyun.org/help

保持 放的心开 态黑客没什么可怕的黑客没什么可怕的

Thanks