为什么我们应该支持而非惩罚那些充满好奇心的安保人员

青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校使用的软件存在严重安全漏洞，这无疑唤起了人们的某些回忆。 我记得自己曾是个充满好奇心的孩子，总爱掀开软件的"罩子"，窥探幕后运作机制——更重要的是，看看能否搞砸它。 数十年来，软件工程师们始终致力于持续改进和强化产品，而安全研究社区（尽管其方法有时略显冒犯）在发现漏洞和潜在灾难方面发挥着关键作用——但愿能在恶意攻击者之前完成这项工作。

然而问题在于，他因这些发现仅受到轻微的停学处分。而这一切发生在他已竭尽所能私下联系该公司（Follett Corporation）未果后，最终选择以相当公开的方式发难，以此证明自身及其破解该公司系统的能力。 他多次试图以合乎道德的方式警告富乐特公司，却始终未获回应。与此同时，该软件系统持续存在漏洞，海量学生数据因未加密而相对容易被获取。

他还着手寻找另一家公司的软件漏洞：Blackboard。尽管Blackboard的数据至少经过加密处理，但潜在攻击者仍可能入侵系统并窃取数百万条额外数据记录。该软件与Follett的产品均被其所在学校采用。

“邪恶黑客”的叙事存在问题。

德米尔卡皮在今年的"无论如何"大会上展示了他的研究成果，其中那些滑稽戏中的俏皮细节赢得了全场热烈的掌声。 这确实实至名归。尽管他最初备受质疑，在获得发现认可的道路上遭遇重重阻碍，但据报道，福莱特公司对其付出心怀感激，采纳了他的建议，最终使软件更安全，避免了这场本可能成为数据泄露统计数据的危机。 高中毕业后，他还将进入罗切斯特理工学院深造。由此可见，他正朝着成为炙手可热的安全专家的道路稳步前行。

作为一名安保人员，我很难不对事件处理方式产生疑虑。尽管最终结果尚可，但起初他被当作一个惹人厌的剧本小子对待——那种爱管闲事、不识时务的家伙。 谷歌搜索该事件时，仍能看到将他称为"黑客"的报道（在安全门外汉眼中，这无异于将其塑造成反派），尽管他的做法（以及许多同行的做法）实际上正在守护我们的数据安全。

我们需要充满求知欲、聪明且注重安全的人士去探究系统底层，更需要这类行为频繁发生。截至7月，仅今年就有逾40亿条数据因恶意泄露而曝光。若加上8月时尚生活品牌Poshmark遭入侵事件，这一数字可能再增加5000万条。

我们总在犯同样的错误，更令人担忧的是，这些往往是简单的安全漏洞，却总让我们屡屡跌倒。

跨站脚本攻击和SQL注入并未消失。

据VERKABELT报道，Demirkapi发现Blackboard社区参与软件和Follett学生信息系统存在常见安全漏洞，如跨站脚本攻击（XSS）和SQL注入，这些漏洞自1990年代以来就令安全专家深恶痛绝。 我们忍受这些漏洞的存在已久——实在太久了。它们本该像变色T恤和软盘一样，早已成为遥远的记忆。

但事实并非如此，显然没有足够多的开发者具备充分的安全意识来阻止这些漏洞出现在他们的代码中。扫描工具和手动代码审查的作用有限，而比跨站脚本攻击和SQL注入更复杂的安全问题比比皆是——这些昂贵且耗时的措施本可以用于解决更关键的安全隐患。

像比尔·德米尔卡皮这样的人应该激励开发者制定更高的代码标准。年仅17岁的他通过威胁向量攻破了两个高流量系统——这些漏洞本应在代码发布前就被发现并修复。

游戏化：参与度的关键？

我曾多次撰文阐述为何开发者至今仍普遍回避安全议题，简而言之，无论是组织层面还是教育层面，都鲜少采取有效措施培养具备安全意识的开发者。 当企业愿意投入时间构建安全文化——这种文化既能奖励又能认可参与者的贡献，包括实施符合开发者思维模式的培训，激励他们持续探索——那些困扰我们软件的安全漏洞顽疾，终将逐渐消失。

德米尔卡皮显然对安全领域怀有课外兴趣，他花时间学习了恶意软件逆向工程、漏洞挖掘，以及——嗯——破坏那些看似坚不可摧的东西。但在与LAST的访谈中（以及通过他在DEF CON的演讲幻灯片），他透露了关于自我学习的有趣见解……他将其游戏化了：

“为了在学校的软件中寻找漏洞，这成为一种有趣且富有游戏性的方式，让我自学了大量渗透测试知识。虽然我最初是抱着学习目的开始研究，但发现实际情况远比我预期的要糟糕得多，”他说道。

虽然并非每位开发者都希望专攻安全领域，但每位开发者都应获得提升安全意识的机会——安全基础知识在组织内部几乎相当于"编程执照"，尤其对于那些掌控海量敏感数据的人员而言。 若最基础的安全漏洞能在被编写前就被每位开发者修复，我们便能更从容地应对那些企图制造混乱的威胁。

对游戏化培训感兴趣？欢迎了解我们的《程序员攻克安全》系列课程 跨站脚本攻击 和 SQL注入。