章节出错了,点此刷新,刷新后小编会在两分钟内校正章节内容,请稍后再试。
尊敬的先生(女士):
我在贵公司的产品XXXXX中发现了一些漏洞,在邮件附加的PDF档案中您可以看到它们的详细描述,包括威胁程度,影响版本,复现方式,利用方式,以及修复方式。
这并不是一封敲诈信。在此之前和之后,我都承诺不会以任何方式公开或利用这些漏洞。然而我将非常乐于看到贵公司对我进行一定程度上的鼓励,以比特币的形式。
我的收款地址为XXXXXXX。
再次声明,在任何情况下,我都承诺不会以任何方式公开或利用这些漏洞。
此邮件无须回复。
FF.Paprika,
致以最诚挚的问候。
------
丹尼斯·柯曼大声念完了电子邮件的内容,喝了一口有些滚烫的咖啡。作为公司的应用程序安全经理,浏览和朗读邮件并非他的工作,然而这是他的乐趣所在。丹尼斯·柯曼一直认为读邮件有利于促进他和他团队的关系,缓解压力——尤其是那些可笑的、愚蠢的邮件。
我们不要从柯曼先生对这封邮件的态度上就认为他是一个自傲的、刚愎自用的人。实际上,作为一线安全岗位的主要负责人之一,柯曼先生在技术与经验方面非常过人,然而让他得到团队中每一个人喜爱的,则是他性格魅力:开朗,幽默,乐于助人,以及对于技术工作者而言尤为重要的谦逊。
但是再谦逊的人,如果看过足够多的所谓的“安全反馈邮件”,那么他就很难在这些邮件面前保持谦逊的态度了。
“我使用软件的时候,软件忽然崩溃了,是不是我的电脑也会坏掉?”——这样的问题应该反馈到研发部门,但愿他们能从你简短的描述中了解你究竟如何“使用”了软件。
“我认为你们的软件存在着巨大的漏洞,如果你们给我的银行帐号打一笔钱,我会考虑告诉你们漏洞是什么。”——我们也会考虑要不要让警察逮捕一个自作聪明的白痴!
“安装程序的时候,我的杀毒软件报毒了,一直再弹出警告,不要紧吧?”——非常要紧,先生,或者小姐,你的电脑会因此而爆炸,作为安全岗位的负责人,我得提醒你尽快把有关的东西全部删掉。
“您好,我发现了一个程序漏洞,危害严重,我现在将它提交给你,希望可以尽快处理。另外如果你们部门需要新员工,我很乐意加入。”——恭喜您终于“发现”了CVE编号为XXXX的漏洞,至于新员工,不用了,谢谢,您的延迟太高了。
公司的几个产品线发展不错,拥有大量的用户,网站和产品UI设计师不知道是基于什么心理,把安全部门的邮件放在了很显眼的地方,于是柯曼先生和他的团队几乎每天都要在不少的来信中过滤掉上面那些不靠谱的邮件,找到其中有价值的信息。这不是什么有趣的工作,不过柯曼先生总能找到其中有趣的地方。
“你们听,这个Paprika先生或小姐发现了‘一些’漏洞,一些,而且几乎无偿地通知了我们。”丹尼斯·柯曼转过椅子大声说道,“几乎无偿”二字还特意加了重音:“多么伟大的聪明人呀,哈,哈夫曼,我们小组上个月处理了几个漏洞?我想应该比“一些”多一些吧?”
“4个,柯曼先生。其中有两个都是您独立发现的。”一个棕色短发的小伙子说道,微卷的头发泛着油光。
“不不不,不必说这些,哈夫曼。”柯曼先生说道,对哈夫曼挤了下眼睛:“这不是我一个人的功劳,更多的是那些研发组的配合。”
丹尼斯·柯曼的话让办公司里面的所有的人都笑了起来,他们和研发组是竞争关系。
“柯曼先生,我觉得这封邮件或许可以认真对待一下。”一个戴眼镜的年轻人有些迟疑地说道:“毕竟这封信的措辞看起来非常的正式,而且很自信……”
“正式,没错,而且自信。”柯曼先生说道,同时下载了附件,然后用一个十六进制编辑器打开,尽管对正文的内容不以为然,但他还是要看一下是不是一份恶意文档。在安全方面,丹尼斯·柯曼一向非常谨慎。
“我倾向于这位Paprika是个有点小聪明的人。”柯曼说着,检查着文件头之类的信息:“一个可能的白帽子,发来了一封有PDF附件的邮件——你们想到了什么?没错,恶意代码,当然也有可能只是个玩笑,不过我怀疑最大的可能性还是他发现了某些早就记录在案的‘新东西’……而且他居然会收比特币!一个虚无缥缈的玩具,不不不,戴茜,别和我争执,我可不想和一个漂亮姑娘吵嘴,当然,你也很有能力,毕竟如果这位Paprika真的有什么新发现,我没办法给他奖赏,但是你能……哦戴茜,别用汉堡扔我,作为道歉我请你吃午餐怎么样?”
看完文件信息,没发现什么问题,柯曼就把它扔进了虚拟机里,然后用阅读器打开:“戴茜,我不是说比特币不好,但它毕竟只是硬币(coin),而不是货币(currency),作为商品或许可以,但作为钞票则不合格。中午吃Wendy's如何?和快乐相比,卡路里并不重要……哦,我的天哪。”
看着pdf文档中关于漏洞的描述与论证,程序安全岗位负责人丹尼斯·柯曼先生惊叫了出来。
没有回答团队成员的询问,柯曼先生先默默地把邮件抄送给了他们所有人,然后又在工作管理系统中为每个人安排了一部分工作,在备注中用黑体大字写道:“一切操作在虚拟机环境下进行。”
安静地办公室变得忙碌了起来,只剩下键盘和鼠标点按的声音。70分钟后,柯曼先生完成了手里的工作,看着工作日志的提交记录,他转过头去,发现大家正都沉默地看着自己。
“我觉得,我,或者公司,有必要准备一份比特币账户了。”丹尼斯·柯曼说道,看着众人复杂的神情,他笑了出来:“不必紧张,至少这个人没有恶意。”
***
***
类似的邮件同样出现在了另外几家公司的邮箱里,无一例外地在极小的范围内引起了骚动。发现的漏洞危害程度不一定很高,有些漏洞复现或利用难度巨大,从目前的情况看,这些漏洞也尚未对外披露,所以他们不担心会对公司产品造成什么影响,然而让他们震惊的是,这些漏洞的数量很多,而且寄件人还给出了完善的修复方式,这简直像是对方比他们自己更加熟悉他们的产品。他们不敢想象这写工作只是一个人完成的,而是猜测对方究竟有一个如何强大的团队。如果他们知道其他的公司或者“友商”也收到了同样性质的邮件,或许会更加震惊。当然,基于对软件安全的考量,这些漏洞的相关资讯他们短期内并不打算对外公布,这种震撼或许会再彻底爆发前压抑很长一段时间。
高大上当然不会想不到这些。他假假也是个软件开发工程师,技术算是中游,当然知道自己,或者说自己表现东西会有怎样的震撼性,沈怿心的技术与经验,配合他的“人形解释器”,呈现出了近乎神迹的效果。不过,虽然自己的超能力是非常重要的催化剂,但高大上并不认为这是自己的功劳,他很清楚沈怿心在这中间起到了很大的作用。
高大上现在基本已经可以做到看到代码就知道运行结果,但是沈怿心却可以直接通过程序的功能推测出开发者是用怎样的代码和结构实现这一点的,同时猜测其中可能包含的错误与漏洞,这是极具天赋的人在经过长期大量的技术积累才能做到的事情,对此高大上无比仰慕。
知道收到邮件的人会无比震撼这件事,对于追求成就感的高大上而言是非常值得高兴的。不过无论是他的性格,还是所做的事情的性质,都使他在享受由此而来的荣誉和收益时,尽可能地规避同样由此而来的麻烦与风险。说实话,高大上与素未谋面的丹尼斯·柯曼一样,充满了对比特币的不信任,不过沈怿心说服了他,在沈怿心的世界里,她就是这么做的,甚至那些英文邮件的措辞都是沈怿心之前的“经典范式”。
“心姐,这东西靠谱吗?就是一个加密的字符序列啊。”
“担心挣不到钱?”沈怿心问道。
“也没有,我只是觉得用虚拟货币没有什么安全感。”高大上说,“你说的这种方式我其实很喜欢,淡淡的装个X之类的。”
“呵,放心吧。”沈怿心笑道:“这种交易很安全,钱丢不了,而且我可以告诉你,一般这些公司都很看重对安全方面的人才的拉拢,尤其是对方是善意的。所以他们一般都很大方,黑客也总要吃饭的,我以前用这种方式吃的还算饱。”
“希望不要被撑死。”高大上感叹道。见识了沈怿心的技术,他自然知道沈怿心的“还算饱”对他而言有什么样的意义。
听到高大上知足常乐的话,沈怿心有些好笑,她在想要不要把一两年后比特币疯狂升值的事情告诉他。虽然现在1比特币才兑换1美元多一点,但很快就会有大幅度的增长。比特币作为货币或许是失败的,但作为商品,作为一个被越来越多的人接受的等价物,它非常适合自己和高大上。