王峰:今天(2018年5月30日)凌晨,柚子创始人BM在电报群中回应了360披露柚子存在安全漏洞的问题,称360报告中提到的漏洞早已被修复,且早于360发布报告的时间。对于漏洞本身,BM称大部分漏洞来源于第三方代码库而非柚子核心代码,此外,该漏洞并不能改写可执行内存,且攻击者不能获得root(根)权限,除非在部署节点时就已经以root用户身份来运行。BM似乎暗指360制造恐慌,并声明对于任何挑起市场恐慌的行为,将取消其相应的奖励资格。BM的迅速回应减轻了公众对柚子安全隐患的恐慌,反而让更多人猜测这是360精心策划的一次安全炒作事件。对此,你怎么看?
周鸿祎:针对漏洞修复这件事,我需要和大家普及一个知识,安全厂商如果对外公开披露漏洞,一定会先和项目方沟通,提交漏洞给他们去修复,在得到修复确认之后,我们再公开漏洞信息。因为如果柚子的漏洞没有被修复,我们就公布了消息,肯定会引来一大批黑客,所以我们发布报告的时间当然会晚于漏洞实际修复的时间。
我们这样做不是针对柚子,对微软、谷歌、苹果公司都是一样的。我们处理安全漏洞的步骤通常是:首先,挖掘漏洞;其次,研究这些漏洞如何被黑客利用;再次,向相关的厂商汇报,比如这次处理柚子的漏洞,就是先把黑客如何利用漏洞的视频和涉及的详细代码报给柚子,等待对方修复;最后,等对方确认修复后,我们才会对外公布。
BM提到的root权限,是指计算机系统中的最高权限,是否获得root权限,不影响攻击者控制柚子节点,没有root权限他们一样可以发动攻击。如果用户使用root权限运行柚子,那么攻击者就可以获取root权限。BM的回应在360对外公布漏洞之前,柚子就已经修复了漏洞,其实正好说明我们遵循了行业标准流程,即“报告→修复→公开”。
事实上,我们先私下联系了BM,通知他柚子存在安全漏洞,希望他们先予以修复,等柚子修复漏洞后,我们再对外发布公告,这些都是有聊天记录的。对方向我们表示了感谢,也表示会给我们发放漏洞奖金,并对外发布致谢。
我们一直在和BM单独沟通此事,昨天晚上他在电报群的留言截图不够完整,有些断章取义。实际上,在那条留言之后,BM很快回复说,漏洞是真实存在且有效的。我们和柚子官方及BM本人一直在沟通关于漏洞提交和定性的事情,今天早上在和BM及团队沟通时,他们依然非常认同我们的成果和技术实力。
如果说我们要制造恐慌,那么我们应该直接在柚子主网上线时公布这个漏洞,恐慌效果一定比现在要强得多。
在整个过程中,360一直非常负责任地严格遵循安全行业的安全漏洞披露原则。我们作为国内最大、全球排名前三的安全厂商,希望和全球同行和科技公司一起,解决网络安全问题,降低因为网络安全问题给用户带来的损害。
帮助大家发现漏洞、修补漏洞,提供安全放心的产品给用户,是我们共同的责任。区块链是一种新兴的技术,我们参与其中的目的,无论是这次披露柚子存在安全漏洞,还是之前和其他区块链机构的沟通,都是希望和大家一起共同构建安全放心的区块链产品。