作者:Haotian,独立研究员 来源:X,@tmel0211
其实,在明晰的法律责任定性出来之前,对“白帽”的职业操守和中心化交易所的漏洞披露机制以及漏洞悬赏机制的质疑,会有不同角度的声音。但,在安全圈这个问题一点都不“新鲜”:
1)一个规范的漏洞披露机制其实是安全公司乙方和客户甲方就发现漏洞、漏洞修复、漏洞赏金等问题进行协调的过程,之后才是大家看到的漏洞修复后再披露的皆大欢喜,Certik和Kraken很显然是协调过程出现了问题:
1、发现漏洞并及时向客户报告,描述漏洞的类型以及危害程度及如何复现;若“白帽”发现漏洞不披露,则直接就成了黑客性质,而既然选择了向客户披露,那说明主观意愿并非攻击;
2、确认漏洞并评估风险,安全公司和客户确认漏洞的存在,以及漏洞严重程度、影响范围以及修复方案设计等;这个过程会商定漏洞修复如何分工协作,漏洞赏金如何制定等,不然很容易出现,客户以漏洞为“已报告”漏洞为由,而拒付相应的漏洞赏金,可能会让白帽白忙活一场。
3、制定修复方案并复测确保漏洞成功修复;这个过程一般为客户开发团队和安全公司技术人员共同商定并统一实施代码修复,一般能推进到这一步说明双方已经就“漏洞危害等级和应付的漏洞赏金”达成一致,因此双方的一致目标就是及时修复漏洞,之后再发个新闻稿公示并披露漏洞,公开整个发现漏洞并联合修复的过程。
2)Certik这家安全公司究竟是有口皆碑还是有口皆谤,仅仅从道德上口诛笔伐很难有结果,在此不做评价。只一点,若安全公司常招惹是非,一定是牵扯的利益关系太过复杂且处理不得当招致的。
我和几个安全公司的朋友沟通了下,认为这事情的过程可能是:
1、Certik确实发现并向Kraken报告了漏洞,说明起心动念并非“黑客”行为,但发酵至今已经成为安全行业的一大丑闻,其背后的前因后果需要厘清楚;
2、标记为Certik工作人员KYC的账户只新增了4美元,说明漏洞测试一开始在合理界限内,之后无论何由都以双方的证据为准,但目前看,的确超出了职业操守边界;
3、双方在漏洞赏金和修复漏洞分工协作上估计没谈拢,有可能Kraken交易所以漏洞被报告理由拒绝给相应的赏金,因此Certik在修复期间处于“个人”报复也好,公司蓄意行为也罢,进行了更大规模“测试”;
这个过程存在多种扯皮的可能性,但本质上就是利益纠葛问题,Kraken中心化交易所的漏洞披露低效且不透明,Certik的安全漏洞介入程度缺乏规范和标准。
总结:以上仅为合理的推测,具体以进一步的结果披露为准,但安全白帽在提交Bug上所遭遇甲方中心化机构的“慢待”和中心化组织在漏洞披露和修复过程中的不透明流程问题才是双方出现“纠纷和摩擦”的关键。这才是大家应该关注的焦点问题。
这也是我之前发文赞赏@GoPlusSecurity构建开放、无需可、用户驱动模块化安全层的根本原因,纯中心化的安全纠纷存在各种暗箱可能性。而一套去中心化的安全服务解决方案才能在整个安全防护生命周期发挥作用(尤其是人为原因造成的不可控因素),虽然这条路道阻且长,但势在必行。
过去几年,安全审计服务从一单接一单的业务合作模式,这过程中出现的背书风波,审计后Rug丑闻,直到今天甲方和乙方之间的对掐都是源于安全服务存在的信息不透明和审计业务本身在信息敏感利害关系上的复杂性息息相关。希望安全行业能随着问题的曝光,能进一步有更规范的标准、更优化的流程、更专业的服务。
无论如何,某些安全公司地位可以被替代,但安全守护者的神圣形象不容垮塌。与此同时,安全白帽的贡献也应受到市场的尊重。
4CHAN币(4CHAN Coin)是一种基于区块链技术的加密货币,旨在为4CHAN社区的用户提供更加安全、匿名和自由的交易方式。作为一种去中心化的数字货币,4CHAN币的供应量有限且无法被操控,并采用了匿名转账和加密技术以确保用户的隐私和安全。随着加密货币的普及,越来越多的人开始对4CHAN币的交易感兴趣。下面将介绍三个著名的交易所,它们分别是:欧易交易所、币安交易所和火必交易所。欧易交易所(E
ADS币是一种数字货币,它是通过区块链技术创建和交易的加密货币。ADS币的特点是具有去中心化、匿名性和高安全性等优势,因此在数字货币市场上备受关注和认可。对于想要出售ADS币的用户来说,选择一个可靠且知名的交易所是非常重要的。下面将为大家介绍三个著名的ADS币交易所:欧易交易所、币安交易所和火必交易所。首先,欧易交易所是全球知名的数字资产交易平台之一。该交易所成立于2013年,总部位于新加坡,拥有
近年来,随着区块链技术的发展,数字货币逐渐成为了投资者关注的焦点。其中,$DOJO币作为一种新兴的数字货币,备受投资者的关注。那么,究竟在哪个平台可以购买$DOJO币呢?让我们一起来了解一下。首先,$DOJO币是一种基于区块链技术的数字货币,它被设计用作一种去中心化的支付工具和价值储存方式。$DOJO币的发行总量有限,这也使其成为了投资者追逐的对象之一。由于其发行机制和技术特点,$DOJO币被认为
Dwagon币是一种数字货币,用于在线交易和转移价值。它基于区块链技术,具备去中心化、匿名性和安全性等特点。Dwagon币的诞生旨在为用户提供更加便捷、高效和安全的交易体验。Dwagon币的核心技术是使用密码学和分布式账本技术来确保交易的安全和可靠性。通过区块链技术,所有的交易记录都被分布在全球各个节点上,确保了数据的完整性和一致性。同时,Dwagon币的交易也是匿名的,用户可以保护个人隐私和交易
CHILL币是一种数字货币,它是基于区块链技术发行的电子货币之一。CHILL币的目标是通过创造一个去中心化的平台,提供一种安全、透明和高效的交易方式。它的流通量有限,因此具有一定的稀缺性,这使得它在一些投资者和数字货币用户中具有一定的吸引力。要购买CHILL币,你需要使用一些专门的交易平台或应用程序。下面介绍三个著名的交易所,它们是欧易交易所、币安交易所和火必交易所。1. 欧易交易所:欧易交易所是
FLDX币历史价格走势如何?FLDX币是一种由Flux开发的去中心化数字货币,该币种自2018年上线以来,一直备受关注。从历史价格走势来看,FLDX币的表现相当不错,今天我们来看看它的价格变化。2018年初——2019年初:价格小幅波动2018年初,FLDX币的价格在0.01美金左右波动,之后逐渐上涨至0.03美金左右,但是价格波动较小。整个2018年,FLDX币的价格波动在0.01美金到0.05
7 A1A币怎么出售
A1A币是一种基于区块链技术的数字货币,它的诞生旨在为用户提供更安全、快捷、便利的交易方式,并促进全球范围内的金融创新和数字经济的发展。作为一种加密货币,A1A币的匿名性和去中心化特点使其具备了在传统金融系统中难以达到的优势。欧易交易所欧易交易所是全球知名的数字资产交易平台之一,拥有庞大的用户群体和丰富的交易市场。作为专业的数字货币交易平台,欧易交易所提供了多种数字货币的交易服务,其中包括A1A币
CHILL币是一种新兴的加密货币,它的目标是通过提供一个安全、高效和便捷的交易平台,让用户能够轻松地进行数字资产的买卖和交易。CHILL币的技术基于区块链技术,这意味着它的交易记录被存储在一个不可篡改的分布式账本中,保证了交易的透明和安全性。在CHILL币交易平台上,用户可以随时随地进行买卖和交易,无论是通过手机应用程序还是网页端,都能够方便地进行操作。同时,该平台还提供了丰富的交易功能和工具,例
谁是FNC币的创始人?FNC币是加密货币市场上的一种数字货币,它的创始人是一位神秘的人物,目前没有公开披露他的真实身份。无论如何,FNC币在加密货币市场上的表现引起了广泛的关注。FNC币的简介FNC币是一种去中心化的数字货币,其采用了区块链技术。FNC币完全由用户掌控,没有任何机构或政府的干预。这种数字货币的流通数量相对较少,因此较为稳定,在全球范围内得到了大量用户的认可和使用。FNC币的优势FN
龙币(Dwagon币)是一种加密数字货币,由区块链技术支持和驱动。它是基于去中心化的运作原理,打破了传统金融体系中的中心化结构,提供了更加安全、高效和透明的交易方式。作为一种新兴的数字货币,龙币在全球范围内引起了人们的关注。随着加密货币市场的不断扩大,越来越多的交易所开始支持龙币的交易。以下是其中三个著名的交易所: 欧易交易所(OEX)是全球领先的数字交易平台之一。它提供了多种加密货币的交易对,
