撰文:Haotian

其實,在明晰的法律責任定性出來之前,對「白帽」的專業操守和中心化交易所的漏洞披露機制以及漏洞懸賞機制的質疑,會有不同角度的聲音。但,在安全圈這個問題一點都不「新鮮」:

1)一個規範的漏洞揭露機制其實是安全公司乙方和客戶甲方就發現漏洞、漏洞修復、漏洞賞金等問題進行協調的過程,之後才是大家看到的漏洞修復後再披露的皆大歡喜,Certik和Kraken 很顯然是協調過程出現了問題:

1、發現漏洞並及時向客戶報告,描述漏洞的類型以及危害程度及如何復現;若「白帽」發現漏洞不披露,則直接就成了黑客性質,而既然選擇了向客戶披露,那說明主觀意願並非攻擊;

2、確認漏洞並評估風險,安全公司和客戶確認漏洞的存在,以及漏洞嚴重程度、影響範圍以及修復方案設計等;這個過程會商定漏洞修復如何分工協作,漏洞賞金如何制定等,不然很容易出現,客戶以漏洞為「已通報」漏洞為由,而拒付相應的漏洞賞金,可能會讓白帽白忙活一場。

3、制定修復方案並複測確保漏洞成功修復;這個過程一般為客戶開發團隊和安全公司技術人員共同商定並統一實施代碼修復,一般能推進到這一步說明雙方已經就“漏洞危害等級和應付的漏洞賞金」達成一致,因此雙方的一致目標就是及時修復漏洞,之後再發個新聞稿公示並披露漏洞,公開整個發現漏洞並聯合修復的過程。

2)Certik 這家安全公司究竟是有口皆碑還是有口皆謗,僅從道德上口誅筆伐很難有結果,在此不做評價。只一點,若保全公司常招惹是非,一定是牽扯的利益關係太過複雜且處理不得當招致的。

我和幾個保全公司的朋友溝通了一下,認為這事情的過程可能是:

1、Certik 確實發現並向Kraken 報告了漏洞,說明起心動念並非“黑客”行為,但發酵至今已成為安全行業的一大醜聞,其背後的前因後果需要釐清楚;

2.標記為Certik 工作人員KYC 的帳戶只新增了4 美元,說明漏洞測試一開始在合理界限內,之後無論何由都以雙方的證據為準,但目前看,的確超出了職業操守邊界;

3.雙方在漏洞賞金和修復漏洞分工協作上估計沒談攏,有可能Kraken 交易所以漏洞被報告理由拒絕給相應的賞金,因此Certik 在修復期間處於“個人”報復也好,公司蓄意行為也罷,進行了更大規模「測試」;

這個過程有許多扯皮的可能性,但本質上就是利益糾葛問題,Kraken 中心化交易所的漏洞揭露低效率且不透明,Certik 的安全漏洞介入程度缺乏規範和標準。

總結:以上僅為合理的推測,具體以進一步的結果披露為準,但安全白帽在提交Bug 上所遭遇甲方中心化機構的“慢待”和中心化組織在漏洞披露和修復過程中的不透明流程問題才是雙方出現「糾紛和摩擦」的關鍵。這才是大家應該關注的焦點問題。

這也是我之前發文讚賞@GoPlusSecurity 建置開放、無需可、用戶驅動模組化安全層的根本原因,純中心化的安全糾紛存在各種暗箱可能性。而一套去中心化的安全服務解決方案才能在整個安全防護生命週期中發揮作用(尤其是人為原因造成的不可控因素),雖然這條路道阻且長,但勢在必行。

過去幾年,安全審計服務從一單接一單的業務合作模式,這過程中出現的背書風波,審計後Rug 醜聞,直到今天甲方和乙方之間的對掐都是源於安全服務存在的資訊不透明和審計業務本身在資訊敏感利害關係上的複雜性息息相關。希望安全產業能隨著問題的曝光,能進一步有更規範的標準、更優化的流程、更專業的服務。

無論如何,某些安全公司地位可以被替代,但安全守護者的神聖形像不容垮塌。同時,安全白帽的貢獻也應受到市場的尊重。