一场由织梦cms植入后门引发的思考

今天起来看微博,都在讨论对于信息安全事故的一些探讨。

事件引发:dedecms内容管理系统被植入一句话后门,织梦官方否定了乌云对其cms的漏洞报告,并且偷偷的修复了漏洞;

本人不才,不是什么大牛,在这里和大家分享一下自己的思路和想法。

安全研究人员:@QzqZQZqz说:

看见最近圈里大家在说漏洞有偿无偿且和道德挂钩讨论,想起某朋友几年前在一安全大会说过咱和国外的安全研究人员没法比,老外衣食住无忧,安全研究挖个漏洞纯粹是兴趣爱好外加成就感,现在看老外的调调好像也没到衣食无忧的境界。安全漏洞是有绝对经济价值的,与道德无关,很多人就是无知。

对于这点,其实国内没办法和国外相提并论,国外提倡自由,很多东西,不是国内能匹敌。而且拿国外的安全人员和国内的比,也没有可比的意义。

对于技术来说,国内与国外完全是两个阶层:在这里打住(本人没有任何看不起国内安全研究人员的意思,还是那句话,清晰的目标很重要)。

在国外,更多的安全研究人员是注重漏洞发掘,而不是对漏洞拥有的一种炫耀。在国内,更多的hacker是对技术一种崇拜,真正做到淡泊名利,一心研究技术的人,可以说是很少。

对于乌云:

看看他对于自身的自述:

乌云的使命与灵魂

尊重:作为一个互联网漏洞报告平台,乌云最重要的使命就是尊重。我们观察到目前众多的安全研究者与厂商之间存在着天生的不平等,不尊重。对于漏洞发现者来说,由于缺乏厂商的联系方式,即使发现了漏洞也很难将信息传递给厂商,而厂商也根本无法顾及散落在互联网各地的漏洞信息,最终导致一些漏洞被人遗忘,未得到修复而造成损失。另外一方面,一些厂商对漏洞研究者的报告也很不尊重,甚至是一种轻视的态度,在出现问题之后对问题不是迅速修复以确保互联网用户的安全而是通过其他手段尝试掩盖漏洞甚至是否认漏洞的存在,在这种不尊重的前提下,漏洞研究者就可能直接将漏洞公开,直接损害了厂商的利益。破坏和建设一样,同样作为一种技术的存在,我们尝试唤回大家对技术的尊重,乌云将跟踪漏洞的报告情况,所有跟技术有关的细节都会对外公开,在这个平台里,漏洞研究者和厂商是平等的,乌云为平等而努力。

进步:我们关注技术本身,相信Know it then hack it,只有对原理了然于心,才能做到真正的自由,只有突破更多的限制,才可能获得真正意义上的技术进步,我们尝试与加入WooYun的厂商及研究人员一起研究问题的最终根源,做出正确的评价并给出修复措施,最终一起进步。

乌云在一定程度来说,推动了国内互联网已经信息安全的进步。但与此同时也引发了不少人对此的争议。

就我自身的看法:乌云不应该把厂商忽略掉的漏洞公开(先不管我的想法对与否,请继续看完我下面的话)

原因其实大家也知道,公开的漏洞,对于用户也好,厂商自身也好,都是一场灾难。

做好信息安全,需要乌云平台的努力,更重要的是,需要厂商自身对漏洞的关注。只有厂商切身关注了用户,才能对漏洞采取更好的修复方案。

 

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注