戴上“白帽子”,我们就是你的安全卫士

pasckr

    发现可能有客户之外的受害者？必须联系！ 发现公共资源受到潜在威胁？必须告知！
主办单位：南京市文明办 南京市信用办
承办单位：南京日报社
找
寻
诚信事
企业：江苏国瑞信安科技有限公司
简介：成立于2005年，主营业务为高新技术研制与开发、计算机应用软件及系统集成、信息安全系统集成与服务、涉密系统集成与咨询服务等。
江苏国瑞信安科技有限公司是一家信息安全行业企业。在这个行业里，“诚信”不仅是道德底线，也是入行的最基本要求。“‘骇客’，即人们通常所说的‘黑客’，他们寻找计算机系统和互联网系统漏洞，进行攻击、破坏，从而获得利益，对社会造成的危害不容小觑。而我们，就是‘黑客’中的‘白帽子’，为客户找出这些安全漏洞，然后进行修补，让‘骇客’们无处下手。”该公司技术总监“奔流”说。
发现一个可能让市场乱套的漏洞？必须修！
2012年，国瑞信安公司为南京市某行业的“网上订货平台”系统进行“安全检测”。检测中，公司技术人员发现，这个系统存在几个漏洞，其中最严重的就是“数据库注入”。
何谓“数据库注入”？“奔流”解释，这是目前最普遍的一种网站泄密手段，源于网站程序员编写代码时未对用户输入数据的合法性进行判断，简单来说，就是程序员虽然设定了用户输入某些代码会得到相应结果，但却没有限定用户输入代码后不能出现什么结果。利用这个漏洞，用户只要提交一段特殊代码，就可以轻易获取某些他想得知的数据，如网站管理员的账号、密码。
对于“网上订货平台”系统来说，这个漏洞的存在，意味着一旦有人入侵后台，就可以看到全市所有商户的订货量，以及随意修改这些数据。“假设有商户利用了这个漏洞，他可以将自己的订货量从100改成10或者更少，只付10件商品的钱，然后再把订货量改回100，该单位根本无从察觉。而且，如果有人想搞破坏，一条简单代码就可以把所有数据毁掉，到时整个市场都会乱套。”一位项目参与者告诉记者。
国瑞信安公司立刻将这个漏洞郑重告知了该行业市主管部门，并提醒对方，这个漏洞的后果非常严重。而且，既然全省各市基本都使用了这个平台，那么这个漏洞很可能在其他市都存在。
该行业市主管部门也意识到了问题的严重性，于是立刻汇报给省主管部门。省主管部门立即联系了系统开发方和建设方，和国瑞信安公司的技术人员坐在一起，第一时间确定了修复方案。
发现可能有客户之外的受害者？必须联系！
2013年，国瑞信安公司为某市的部分政府网站进行安全检测。工作中技术人员发现，其中有2家单位网站都存在“问题点相同”的漏洞，而且特征很一致。
这应该是个通用型漏洞，即这2家单位都采用了某款产品，而这款产品上就存在这个漏洞——技术人员判断。
公司立即帮这2家单位修复了漏洞。但这款产品，却不一定只有这2家单位使用。“问题虽然不大，总归是不安全。”“奔流”说。于是，技术人员上网查了一下，发现还有五六家其他地区的单位在使用这款产品。
按照公司流程，技术人员将问题提交给了主管部门。之后，公司工作人员联系了所有相关单位，告知这一漏洞的存在。
“奔流”说，公司的“白帽子”们在工作中会发现各种系统的安全隐患。其中，如果是属于公司客户的，就通知客户与主管部门，快速解决问题；如果是不属于公司客户的，一些小问题就会提交到“乌云漏洞报告平台”网站上，这个平台会有人联系相关企业，这样既避免了推销产品之嫌，又能使相关企业知晓漏洞的存在；而对于一些影响范围较大的安全隐患，则会上报给公司，直接通知相关企业。
发现公共资源受到潜在威胁？必须告知！
“戒小贤”是国瑞信安公司的一名技术顾问。作为“白帽子”，他不仅在工作中为客户提供防御“黑客”的解决方案，在平时生活中也常常忍不住“路见不平拔刀相助”。
去年，为了帮某银行客户检验其安全系统是否符合行业标准，他需要寻找一份相关的标准文件。花了一周时间，找了无数网站，最后他惊喜地在某标准信息服务共享平台网站上找到了这份文件。按照网站流程，他匆忙付费下载了这份文件。
后来，他又陆续需要两份别的文件，也很冷门，想起这个网站，他便回来一查，果然都有。不慌不忙的他就犯了“职业病”，顺手试探了一下网站的安全防御能力——结果，这个网站果然存在可被利用的高风险漏洞。
利用这个漏洞，他轻松获得了网站管理员的用户名、密码。只要使用这个身份，他就可以在这个网站里免费下载任何文件，甚至修改、删除它们。
“戒小贤”当时忙于工作，没有多想，只是继续付费下载了自己需要的文件。过了一会儿，想到这几份文件都只能在这个网站上找到，他又回来把网站的内容大致浏览了一遍。他发现，网站里有大量的国内外标准文献，新、旧标准都有，其中不乏一些非常冷门的行业文件。（据该网站的“平台简介”介绍，目前已收录标准题录数据库230个品种80万条，其中国内标准90个品种22万条，国外标准140个品种58万条。）
这样庞大的一个数据库，如果被人侵袭，被盗取资源的话还只是经济损失，但万一被篡改、删除文献内容了呢？这不仅是网站的损失，甚至可能导致一些文献彻底“消失”。
“戒小贤”仔细检查了一遍，发现网站目前还没有被攻击的痕迹。于是，他按照网站上的联系方式，发了一封匿名邮件过去，详细告知这个漏洞的情况。几天后，他再次登录网站，发现漏洞已经被修复。 胡海弘
戴上“白帽子”，我们就是你的安全卫士