1 / 30

乌云的这些年

乌云的这些年. 剑心. 关于我. 前百度安全架构师 黑客实用主义者 80sec 创始人 乌云漏洞报告平台创始人. 乌云是什么. 第三方漏洞报告平台 基于漏洞的白帽 社区 一定环境下特定产物. 乌云创立的初心. 建立良好安全漏洞生态 提升信息安全行业水平. 几个问题. 黑客是高大上的技术职业么 做得好应该的 做不好挨批的. 几个问题. 自由分享的黑客精神还存在么 这个我们公司有需要 这个太敏感不能说啊. 几个问题. 不能产生价值的技术本身价值大么 在一定条件下假设能够这样我们就能够那样 这种技术没什么意思我很早就知道这没什么. 几个问题.

quyn-gray
Download Presentation

乌云的这些年

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 乌云的这些年 剑心

  2. 关于我 • 前百度安全架构师 • 黑客实用主义者 • 80sec创始人 • 乌云漏洞报告平台创始人

  3. 乌云是什么 • 第三方漏洞报告平台 • 基于漏洞的白帽社区 • 一定环境下特定产物

  4. 乌云创立的初心 • 建立良好安全漏洞生态 • 提升信息安全行业水平

  5. 几个问题 • 黑客是高大上的技术职业么 • 做得好应该的 • 做不好挨批的

  6. 几个问题 • 自由分享的黑客精神还存在么 • 这个我们公司有需要 • 这个太敏感不能说啊

  7. 几个问题 • 不能产生价值的技术本身价值大么 • 在一定条件下假设能够这样我们就能够那样 • 这种技术没什么意思我很早就知道这没什么

  8. 几个问题 • 信息安全人才问题 • 黑产:帮我黑个站 • 企业:帮我招个人

  9. 几个问题 • 中国会出现Fireeye么 • 这个产品的使用经过资质审核了么

  10. 几个问题 • 信息安全问题是个技术问题么 • 科学的问题前提是哲学问题 • 技术的问题前提是环境问题

  11. 为什么 • 封闭 • 用户(封闭导致看不到真实的问题) • 企业(用户看不到问题可以不投入) • 行业(信息的不对称可以获得利润)

  12. 负责任漏洞披露过程(腾讯标准版) • 漏洞第一时间提交给厂商 • 厂商和修复确认及补丁推送 • 对外不主动披露任何信息 • 可能的商业合作和奖励致谢

  13. 负责任漏洞披露过程(腾讯标准版) • 符合企业自身利益诉求 • 符合早期信息安全环境

  14. 负责任漏洞披露过程(腾讯标准版) • 对自身用户不负责任 • 对其他企业不负责任 • 对社区积累不负责任 • 对行业成长不负责任

  15. 变化 • MS/Adobe/Apple • 封闭体系 • 终端安全 • Google/Amazon/Dropbox • 开放体系 • 云端安全

  16. 我们希望 • 开放 • 用户(通过安全信息的公开披露能够了解安全) • 企业(用户对安全的关注和了解将使得企业提高在安全的投入) • 行业(透明的环境使得产品和技术价值提升)

  17. 负责任漏洞披露过程(乌云版) • 漏洞第一时间提交给厂商 • 厂商修复确认及补丁推送 • 对外公开全部漏洞细节 • 重要漏洞会被预警和讨论

  18. 负责任漏洞披露过程(乌云版) • 符合现有环境下行业对安全的诉求 • 符合现在以及未来情况下安全环境

  19. 几个乌云案例 • 360任意密码修改漏洞(http://wooyun.org/bugs/wooyun-2010-08333) • 半小时即修复 • 影响千万用户 • 引发社区关注

  20. 负责任漏洞披露过程(乌云版) • 对自身用户的负责任 • 对其他企业的负责任 • 对社区积累的负责任 • 对行业成长的负责任

  21. 我们收获了的 • 从free bug到no more free bug

  22. 我们收获了的 • 新的安全漏洞评估办法 • 以数据为核心的漏洞评估

  23. 我们收获了的 • wooyun top 10安全问题(有案例) • A1-互联网泄密事件/撞库攻击 • A2-引用不安全的第三方应用 • A3-系统错误/逻辑缺陷带来的暴力猜解 • A4-敏感信息/配置信息泄露 • A5-应用错误配置/默认配置 • A6-SQL注入漏洞 • A7-XSS跨站脚本攻击/CSRF • A8-未授权访问/权限绕过 • A9-账户体系控制不严/越权操作 • A10-内部重要资料/文档外泄

  24. 我们收获了的 • 社区的成长 • 招聘请附上你的招聘ID

  25. 我们收获了的 • 信息安全职位增加/薪水double

  26. 我们收获了的 • 以产品/技术取胜代替关系和渠道 • 众测模式

  27. 我们收获了的 • 短期的不理解和反对 • 企业的恐惧和反弹(500w问题)

  28. 生存与成长 • 生存 • 站着(政府支持) • 成长 • 自然(顺随环境可能做更多的事情)

  29. 譬如 • 白帽子的理想生活 • 如乌云众测(http://ce.wooyun.org)

  30. Q/A • 

More Related