世界上的許多沖突，歸根結(jié)底就四個(gè)字：認(rèn)知差異。打個(gè)比方：

小張他女朋友說該換裙子了，小張以為她嫌天氣太熱，而女友想的卻是“又該買新裙子了”。

面對同一個(gè)事情，認(rèn)知的不同導(dǎo)致了角度、觀點(diǎn)的不對稱，由此引發(fā)沖突。這種認(rèn)知差異的怪圈，存在于每個(gè)人的身上，哪怕是看起來無所不能的黑客也無法逃脫。而且，當(dāng)認(rèn)知差異發(fā)生在黑客身上，事情變得更加有趣。

安全眾測平臺漏洞盒子的負(fù)責(zé)人曾裕智向雷鋒網(wǎng)講述了他看到的，黑客遭遇的認(rèn)知差異。

認(rèn)知差異一：漏洞還是 BUG？

程序員通常喜歡把程序出現(xiàn)的所有問題統(tǒng)稱為“Bug”，無論是編程問題、邏輯問題，還是設(shè)計(jì)問題。然而，每個(gè)人對 Bug 的認(rèn)知不同，便產(chǎn)生了認(rèn)知差異。

曾裕智為雷鋒網(wǎng)編輯講了一個(gè)真實(shí)案例：

一個(gè)公司開發(fā)的 APP 具備發(fā)送短信驗(yàn)證碼的功能，它的流程是“輸入手機(jī)號并確認(rèn) → 收到短信驗(yàn)證碼 → 填入驗(yàn)證碼 → 驗(yàn)證完成?！?整個(gè)短信驗(yàn)證流程很完整，在開發(fā)者眼里，沒有任何 “BUG” 。

然而這世上卻有種叫“短信轟炸機(jī)”的東西，攻擊者可以通過大量重復(fù)調(diào)用APP的短信接口來對某一個(gè)號碼實(shí)施“短信轟炸”。于是，在黑客的眼里，這個(gè)流程有“BUG”，因?yàn)樗麤]有對短信轟炸問題做處理。

▲短信轟炸器截圖，圖片來自網(wǎng)絡(luò)

這就是開發(fā)者和黑客的典型認(rèn)知差異，前者看重邏輯和預(yù)期，后者看重可能性和危害。

漏洞盒子作為一個(gè)漏洞眾測平臺，站在企業(yè)和白帽子的中間，他們需要借助民間白帽子黑客（安全測試人員）的力量來幫助企業(yè)發(fā)現(xiàn)安全漏洞，便注定每天面對無數(shù)類似的認(rèn)知差異。

不過他們找到了一個(gè)解決思路：明確定義和規(guī)則。他們知道，當(dāng)雙方產(chǎn)生認(rèn)知差異時(shí)，只有從雙方都認(rèn)同的定義和規(guī)則出發(fā)，才可能達(dá)成最后的一致。

他們把“安全漏洞”定義為“可能對業(yè)務(wù)造成不良影響或損失的缺陷，一旦處理不當(dāng)就可能引發(fā)安全事件和安全事故。”。這和安全行業(yè)通用的定義，也是雙方都認(rèn)同的。

按照這樣的定義，上文案例中的問題就不難處理。企業(yè)的 APP 一旦被攻擊者短信轟炸，輕則造成短信資源浪費(fèi)，重則引起大量用戶投訴，導(dǎo)致短信接口屏蔽被電信運(yùn)營商屏蔽，造成業(yè)務(wù)中斷。因此，短信接口沒有做防攻擊處理，應(yīng)該視為“安全漏洞”。

“最后雙方達(dá)成一致，APP開發(fā)者對短信驗(yàn)證碼接口加入了驗(yàn)證碼，并且對短信次數(shù)進(jìn)行了限制，從而降低了被利用于短信轟炸的風(fēng)險(xiǎn)?！痹Ｖ钦f，這其中最重要的一點(diǎn)，就在于對安全漏洞及安全事件的定義。

認(rèn)知差異二：白帽子，黑客，還是安全專家？

漏洞盒子首頁上有句這樣的話：

漏洞盒子是一個(gè)互聯(lián)網(wǎng)安全測試平臺，它的模式是眾包全球各地的網(wǎng)絡(luò)安全專家，讓他們在平臺上去為企業(yè)解決各種各樣的網(wǎng)絡(luò)安全問題。

這句話里的“安全專家”，指的是白帽子（善意的黑客）。但漏洞盒子更愿意稱他們?yōu)椤熬W(wǎng)絡(luò)安全專家”而非“白帽子”或“黑客”，因?yàn)?strong>人們黑客這個(gè)詞本身就存在認(rèn)知偏差。

黑客是什么？有人覺得它具有褒義，只有技術(shù)高超的人才有資格叫黑客；有人覺得黑客帶有貶義，他們喜歡利用技術(shù)來搞破壞和惡作??；而更常規(guī)的解釋則是一個(gè)中性詞，意為“精通電子計(jì)算機(jī)技術(shù)的人”。

對“黑客”的認(rèn)知差異體現(xiàn)在漏洞平臺上，最直接的體現(xiàn)就是廠商無法徹底擺脫對白帽子的忌憚，他們擔(dān)心所謂“安全專家”會在測試漏洞時(shí)做一些壞事，拖走他們的數(shù)據(jù)庫、泄露商業(yè)隱私等等。

這一點(diǎn)和網(wǎng)約車非常相似，3年前，網(wǎng)約車乘客遭遇司機(jī)不法侵害的事件偶有發(fā)生，許多漂亮姑娘不敢用打車軟件，因?yàn)樵谠S多人的認(rèn)知當(dāng)中，網(wǎng)約車的前身就是不安全的“黑車”?！鞍踩珜＜摇钡那吧斫K究還是黑客。

網(wǎng)約車解決這個(gè)問題的方法是“明確規(guī)則”，比方說對司機(jī)進(jìn)行實(shí)名認(rèn)證。而漏洞盒子解決認(rèn)知差異問題的方法也是明確規(guī)則。曾裕智告訴雷鋒網(wǎng)，漏洞盒子主要從三個(gè)方面對交易過程進(jìn)行嚴(yán)格的風(fēng)險(xiǎn)控制：

• 對象風(fēng)控：是指平臺會實(shí)名制測試人員的身份，同時(shí)也校驗(yàn)企業(yè)的資質(zhì) ——即打車之前先實(shí)名登記司機(jī)和乘客身份。

  
  

• 過程風(fēng)控：是指平臺會提供網(wǎng)絡(luò)鏡像流量、VPN等，確保審計(jì)測試人員的行為 —— 即乘車時(shí)在車?yán)锇惭b一個(gè)行車記錄儀。

  
  

• 結(jié)果風(fēng)控：是指通過法律協(xié)議，嚴(yán)禁“白帽子”對外透露測試過程和結(jié)果的任何細(xì)節(jié)?！?即簽約不允許透露乘客信息。

如今網(wǎng)約車已經(jīng)成為許多人生活的一部分，這在某種程度上得益于規(guī)則的完善。同樣基于共享模式的“安全眾測”，未來或許也會在不斷完善的規(guī)則之下，逐漸被更多的人所接受。

認(rèn)知差異三：高危漏洞，還是低危漏洞？

曾裕智告訴雷鋒網(wǎng)，在漏洞盒子的平臺上進(jìn)行安全檢測，一開始不用支付任何費(fèi)用。檢測結(jié)束之后，平臺會按照漏洞數(shù)量和危害級別計(jì)費(fèi)，沒有發(fā)現(xiàn)問題一分錢也不用付，即所謂的“按效果付費(fèi)?！?/p>

這將導(dǎo)致了另一個(gè)認(rèn)知差異：既然按效果付費(fèi)，效果好不好，誰說了算？

曾經(jīng)有這么個(gè)段子，一家餐廳做關(guān)于菜品價(jià)格的問卷調(diào)查，結(jié)果價(jià)格一降再降，顧客依然在問卷里表示“太貴”，老板很郁悶，明明自家菜價(jià)比別家低很多，為什么顧客還覺得貴？一名服務(wù)員點(diǎn)醒他：這世上哪有嫌便宜的？就算你免費(fèi)贈送，也會有人想讓你倒貼錢。

同樣的道理，讓企業(yè)來評定安全效果，永遠(yuǎn)都是“不夠好”，讓測試人員來評定，永遠(yuǎn)都“很好”。

曾裕智告訴雷鋒網(wǎng)，解決辦法依然在于“雙方都認(rèn)同的定義和規(guī)則”。正因如此，漏洞盒子在漏洞價(jià)值評定上采用國際公認(rèn)的漏洞評級標(biāo)準(zhǔn) CVSS 。

據(jù)雷鋒網(wǎng)了解，CVSS標(biāo)準(zhǔn)由安全組織 FIRST 管理。這個(gè)組織來頭相當(dāng)大，主要成員是各國的國家應(yīng)急響應(yīng)中心以及谷歌、蘋果這樣的行業(yè)巨頭，國內(nèi)僅有華為、中興兩家是企業(yè)成員。CVSS 漏洞標(biāo)準(zhǔn)在行業(yè)內(nèi)具有相當(dāng)高的權(quán)威性。

▲CVSS標(biāo)準(zhǔn)示意圖 ，圖片來源漏洞盒子官網(wǎng)

無獨(dú)有偶，此前美國知名的漏洞平臺 Hacker one 的首席運(yùn)營官（COO） 王寧向雷鋒網(wǎng)編輯透露，他們也曾遭遇過因漏洞鼓勵(lì)計(jì)劃沒寫明確，造成白帽子和企業(yè)雙方的誤解。

就在 2017年3月中旬，雷鋒網(wǎng)得知， Hacker one 也開始放棄他們原本自己制定的漏洞分級評定標(biāo)準(zhǔn)，不斷向 CWE、CVSS 等行業(yè)通用標(biāo)準(zhǔn)靠攏。今年五月份， Hacker one 將發(fā)布美國國防部推出“黑掉美國空軍”漏洞獎(jiǎng)勵(lì)項(xiàng)目，鼓勵(lì)黑客們來漏洞平臺黑掉美國國防部。

Hacker one 能夠得到國防部的信賴，相信其中的一大原因就在于其規(guī)則的公認(rèn)性。

▲“黑掉空軍”宣傳海報(bào)

黑客與規(guī)則，說起來其實(shí)挺有趣的。在雷鋒網(wǎng)編輯眼里，黑客通常是打破規(guī)則，不受約束的角色，而像漏洞盒子這樣漏洞平臺的出現(xiàn)，又恰恰要為黑客提供一套規(guī)則，讓他們遵循平臺的規(guī)則行事?；蛟S未來“黑客”這個(gè)詞會越來越少用，而更多出現(xiàn)在我們眼中的將是“網(wǎng)絡(luò)安全專家”。又或者，關(guān)于黑客是否“喜歡打破規(guī)則，不受約束”的話題，同樣存在認(rèn)知差異。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。