黑客来了怎么办翰清吴@ 安全宝( anquanbao.com )2013-4-19
我是谁• 2005 - Alibaba• 2012 - 安全宝• 《白帽子讲 Web 安全》• 微信:道哥的黑板报
第一 :危机公课 关
支付宝信息泄露事件
支付宝信息泄露事件• 2013-3-27 ,接到外部通知,快速定位问题• 凌晨 4 点 急升紧 级• 第二天,官方微博 布公告发• 第二天,支付宝公关 @ 亮再次解陈 释
支付宝曾 犯 的经 过 错
Linode 被入侵• 所有用 被要求修户改密码• 黑客 宣布组织 负责• Linode 的 理 度处 态
58 同城 事件娱乐• 《非你莫属》应聘事件 2013-4-8• 黑客攻击 58 同城• 58 同城的应对
些人会 漏洞哪 报• 余 好者业 爱 - 学生• 安全公司专业• 黑客技 好术爱 组织• 黑客• 程序员• ......
漏洞 告与入侵的区报 别• 安全 估里 漏洞往往只需要做概念性评 发现明(证 POC )• 入侵却是 意的,伴随着 失( )恶 损 拖库
授权与未授权• 格来 ,未授权的攻 行 都是严 说 击测试 为入侵。• 但 上有很多困 。现实 难
刑法的定义• 刑法修正案(七)在刑法第 285 条中增加 款作 第二款、第三两 为款:“ 反国家 定,侵入前款 定以外的 算机信息系 或者采违 规 规 计 统用其他技 手段, 取 算机信息系 中存 、 理或者术 获 该计 统 储 处 传输的数据...
真正的白帽子 把握好尺度应该
白帽子的心态• 渴望被尊重• 被厂商尊重,被社会尊重• 希望漏洞价 得到 可值 认
漏洞有没有价 ?值呢
不等价• 白帽子眼中的漏洞价值• 厂商眼中的漏洞价值
No More Free Bugs• Cansecwest 2009
微 每个安全 丁的成本在数百万美软 补金
什么要披露漏洞为• 最大化的 用 的利益维护 户• 尊重白帽子的表现• 拒 可能 致漏洞流向地下黑客绝对话 导
厂商 采取的 度应 态• 公告感 白帽子发 谢• 适当的 励奖• 的渠道收集安全专门 问题• 快速响应• 勇于承 , 客认错误 对 户负责
微 的漏洞政策软• http://www.microsoft.com/security/msrc/report.a
Google 的漏洞政策• http://www.google.com/about/appsecurity/reward-pr
Facebook 的漏洞政策• Our minimum reward is $500 USD• There is no maximum reward: each bug isawarded a bounty based on its sever...
国内互 网公司政策联• 腾讯 - TSRC• 阿里• ......
于关 Wooyun.org• 第三方 督监• 厂商 配合 云的漏洞 告应该积极 乌 报• http://www.wooyun.org/help
保持 放的心开 态黑客没什么可怕的黑客没什么可怕的
Thanks
Upcoming SlideShare
Loading in …5
×

Axis 黑客来了怎么办

1,122 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,122
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Axis 黑客来了怎么办

  1. 1. 黑客来了怎么办翰清吴@ 安全宝( anquanbao.com )2013-4-19
  2. 2. 我是谁• 2005 - Alibaba• 2012 - 安全宝• 《白帽子讲 Web 安全》• 微信:道哥的黑板报
  3. 3. 第一 :危机公课 关
  4. 4. 支付宝信息泄露事件
  5. 5. 支付宝信息泄露事件• 2013-3-27 ,接到外部通知,快速定位问题• 凌晨 4 点 急升紧 级• 第二天,官方微博 布公告发• 第二天,支付宝公关 @ 亮再次解陈 释
  6. 6. 支付宝曾 犯 的经 过 错
  7. 7. Linode 被入侵• 所有用 被要求修户改密码• 黑客 宣布组织 负责• Linode 的 理 度处 态
  8. 8. 58 同城 事件娱乐• 《非你莫属》应聘事件 2013-4-8• 黑客攻击 58 同城• 58 同城的应对
  9. 9. 些人会 漏洞哪 报• 余 好者业 爱 - 学生• 安全公司专业• 黑客技 好术爱 组织• 黑客• 程序员• ......
  10. 10. 漏洞 告与入侵的区报 别• 安全 估里 漏洞往往只需要做概念性评 发现明(证 POC )• 入侵却是 意的,伴随着 失( )恶 损 拖库
  11. 11. 授权与未授权• 格来 ,未授权的攻 行 都是严 说 击测试 为入侵。• 但 上有很多困 。现实 难
  12. 12. 刑法的定义• 刑法修正案(七)在刑法第 285 条中增加 款作 第二款、第三两 为款:“ 反国家 定,侵入前款 定以外的 算机信息系 或者采违 规 规 计 统用其他技 手段, 取 算机信息系 中存 、 理或者术 获 该计 统 储 处 传输的数据,或者 算机信息系 施非法控制,情 重的,对该计 统实 节严三年以下有期徒刑或者拘役,并 或者 金;情 特处 处 单处罚 节 别严重的, 三年以上七年以下有期徒刑,并 金处 处罚 。”• “ 提供 用于侵入、非法控制 算机信息系 的程序、工具,或专门 计 统者明知他人 施侵入、非法控制 算机信息系 的 法犯罪行实 计 统 违 为而 其提供程序、工具,情 重的,依照前款的 定 。”为 节严 规 处罚
  13. 13. 真正的白帽子 把握好尺度应该
  14. 14. 白帽子的心态• 渴望被尊重• 被厂商尊重,被社会尊重• 希望漏洞价 得到 可值 认
  15. 15. 漏洞有没有价 ?值呢
  16. 16. 不等价• 白帽子眼中的漏洞价值• 厂商眼中的漏洞价值
  17. 17. No More Free Bugs• Cansecwest 2009
  18. 18. 微 每个安全 丁的成本在数百万美软 补金
  19. 19. 什么要披露漏洞为• 最大化的 用 的利益维护 户• 尊重白帽子的表现• 拒 可能 致漏洞流向地下黑客绝对话 导
  20. 20. 厂商 采取的 度应 态• 公告感 白帽子发 谢• 适当的 励奖• 的渠道收集安全专门 问题• 快速响应• 勇于承 , 客认错误 对 户负责
  21. 21. 微 的漏洞政策软• http://www.microsoft.com/security/msrc/report.a
  22. 22. Google 的漏洞政策• http://www.google.com/about/appsecurity/reward-pr
  23. 23. Facebook 的漏洞政策• Our minimum reward is $500 USD• There is no maximum reward: each bug isawarded a bounty based on its severity andcreativity• Only 1 bounty per security bug will beawarded• http://www.facebook.com/whitehat/
  24. 24. 国内互 网公司政策联• 腾讯 - TSRC• 阿里• ......
  25. 25. 于关 Wooyun.org• 第三方 督监• 厂商 配合 云的漏洞 告应该积极 乌 报• http://www.wooyun.org/help
  26. 26. 保持 放的心开 态黑客没什么可怕的黑客没什么可怕的
  27. 27. Thanks

×