在明确法律责任之前,对于“白帽”职业操守和中心化交易所的漏洞披露机制以及漏洞悬赏机制的质疑,可能会有不同的声音。但是,在安全领域,这个问题并不新鲜:
1)一个规范的漏洞披露机制实际上是指安全公司与客户之间就漏洞发现、修复和赏金等问题进行协调的过程,然后才是大家看到的漏洞修复后再披露的情况。显然,Certik和Kraken在协调过程中出现了问题:
1. 发现漏洞并及时向客户报告,描述漏洞类型、危害程度以及如何复现;如果“白帽”发现漏洞后不披露,那就成了黑客,而如果选择向客户披露,说明主观意愿并非攻击。
2. 确认漏洞并评估风险,安全公司和客户确认漏洞的存在,以及漏洞的严重程度、影响范围和修复方案等。这个过程将商定如何分工修复漏洞和制定漏洞赏金,否则可能导致客户以“已报告”为由拒绝支付相应的漏洞赏金,使白帽白忙一场。
3. 制定修复方案并进行再测试以确保漏洞被成功修复。这个过程通常由客户开发团队和安全公司的技术人员共同商定并实施代码修复。如果能推进到这一步,说明双方已经就“漏洞危害等级和应付的漏洞赏金”达成一致,因此双方的一致目标就是及时修复漏洞,然后发布新闻稿进行披露,并公开整个发现漏洞并联合修复的过程。
2)关于Certik这家安全公司,到底是好评如潮还是遭人诟病,仅凭道德上的口诛笔伐很难得出结论,我在此不做评价。只有一点,如果安全公司经常引起纷争,那肯定是因为利益关系过于复杂并且处理不当所致。
我和几个安全公司的朋友进行了沟通,他们认为这个事件的过程可能是:
1. Certik确实发现并向Kraken报告了漏洞,说明他们的动机并非黑客行为,但这件事情已经成为安全行业的一大丑闻,其背后的前因后果需要搞清楚。
2. 被标记为Certik工作人员KYC的账户只新增了4美元,说明漏洞测试一开始是在合理的范围内,但无论是什么原因,只有根据双方的证据才能确定。但目前看来,确实超出了职业操守的边界。
3. 双方在漏洞赏金和修复漏洞的分工协作上可能没有达成一致,可能是因为Kraken交易所以某种理由拒绝支付相应的赏金,因此在修复期间,Certik进行了更大规模的“测试”,可能是个人报复,也可能是公司故意行为。
这个过程有多种可能的争议,但本质上是利益纠纷的问题。Kraken中心化交易所的漏洞披露效率低且不透明,Certik在安全漏洞介入程度方面缺乏规范和标准。
总结:以上仅为合理的推测,具体以进一步的结果披露为准。但是,安全白帽在提交Bug时所遇到的甲方中心化机构的“慢待”和中心化组织在漏洞披露和修复过程中的不透明流程问题才是双方发生“纠纷和摩擦”的关键。这才是大家应该关注的焦点问题。
这也是我之前对@GoPlusSecurity构建开放、无需信任、用户驱动的模块化安全层给予赞赏的根本原因。纯中心化的安全纠纷存在各种不透明的可能性。只有一套去中心化的安全服务解决方案才能在整个安全防护生命周期中发挥作用(尤其是由人为原因造成的不可控因素)。虽然这条路很难走,但是势在必行。
在过去几年里,安全审计服务从一单接一单的业务合作模式,出现了背书风波、审计后的Rug丑闻,直到现在甲方和乙方之间的对掐都是因为安全服务存在信息不透明和审计业务本身在信息敏感利益关系上的复杂性。希望安全行业能随着问题的曝光,进一步建立规范的标准、优化的流程和专业的服务。
无论如何,某些安全公司的地位可以被替代,但安全守护者的崇高形象不容摧毁。与此同时,安全白帽的贡献也应该得到市场的尊重。