在互聯(lián)網(wǎng)繁榮的時代下，網(wǎng)絡安全一直是我們極其關注的話題之一。以烏云、漏洞盒子為代表的白帽子社區(qū)均是國家信息安全漏洞共享平臺的合作方。而漏洞盒子更是打著由國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心，聯(lián)合國內(nèi)重要信息系統(tǒng)單位、基礎電信運營商、網(wǎng)絡安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識庫的牌子。

作為白帽子社區(qū)，一直都是以找出漏洞，完善互聯(lián)網(wǎng)安全為宗旨。因此烏云在自家網(wǎng)站當中多次公開互聯(lián)網(wǎng)廠商漏洞，比如如家酒店等開房信息泄露、13萬條鐵路售票網(wǎng)站網(wǎng)站12306用戶數(shù)據(jù)泄露、騰訊7000萬QQ群用戶數(shù)據(jù)泄露等一系列曾經(jīng)轟動社會的泄漏事件，均最早在烏云網(wǎng)上由白帽子報告并引起平臺方的重視。

最近又有關于30多省市艾滋患者實名信息疑泄露的事件，據(jù)悉，烏云網(wǎng)在今年5月就有一條關于“北京疾控中心管理系統(tǒng)命令執(zhí)行（大量敏感信息泄露/各大醫(yī)院）”的報告。

對于白帽子社區(qū)找到的網(wǎng)絡安全漏洞，有的廠商并不是很買單。

例如在在去年，烏云公開了世紀佳緣網(wǎng)站存在的嚴重會員信息漏洞。但世紀佳緣在修復之后報警，稱“有4000余條實名注冊信息被不法竊取”，報告者袁煒隨即被相關部門以涉嫌“非法獲取計算機系統(tǒng)數(shù)據(jù)犯罪”逮捕。

一時之間世紀佳緣成為眾多白帽子攻擊的目標，也有網(wǎng)友認為世紀佳緣頗有一種恩將仇報的感覺。

但是對此世紀佳緣解釋到，他們的安全團隊一直在分析漏洞攻擊者的行為是否惡意。他們認為，涉及到900多條有效數(shù)據(jù)被獲取，已經(jīng)完全超過了常規(guī)白帽子測試的范圍，通常情況下，白帽子只需要獲取少量數(shù)據(jù)甚至不獲取數(shù)據(jù)都能夠證明網(wǎng)站的漏洞，在無法百分百確定獲取者意圖的情況下，為了保護信息安全，公司最終還是決定報警。

而在選擇報警之前，因為存在來自國內(nèi)不同地區(qū)IP地址的攻擊，世紀佳緣并未將漏洞提交者和事發(fā)當晚的其他攻擊者聯(lián)系到一起。

通過“袁煒事件”，很多白帽子也第一次知道了一個臨界點。按照我國法律規(guī)定，構(gòu)成非法侵入計算機信息系統(tǒng)罪的認定標準中，有一條是獲取身份認證信息500組以上。從這一標準來看，袁煒獲取了超過900條有效數(shù)據(jù)，或許是檢方批捕袁煒的主要原因。

在不久前的第四屆網(wǎng)絡安全大會上，袁煒的父親發(fā)出公開信為兒子鳴冤，讓袁煒的遭遇成為網(wǎng)絡安全圈的熱門事件，也引起了外界對于白帽子社區(qū)、群體的關注，引發(fā)了關于“白帽子”黑客行為邊界的大討論。

白帽子的法律邊界在哪里

目前關于白帽子法律界限的看法業(yè)內(nèi)不盡相同，爭議時起。包括在上周五舉行的烏云白帽大會上，來自法律、安全、公安、互聯(lián)網(wǎng)公司、電子取證、漏洞收集平臺、白帽子、媒體等8位不同領域的專家也對此各持己見，同時也關于世紀佳緣事件涉及的相關法律問題進行了深入探討。

白帽子在漏洞測試時，需要涉及到其法律的邊界在哪里？對此趙占領律師在會議上進行詳細的解釋，稱這可能涉及到刑法的幾個罪名。

1.非法侵入計算機系統(tǒng)罪。這個是有要求的，被入侵對象必須是國家事務或國防系統(tǒng)。但一般情況下，如果不是政府網(wǎng)站的話，這個白帽子一般不會涉及。

2.非法獲取計算機信息數(shù)據(jù)罪。這個罪名成立需要條件，即必須要有入侵，通過其他方法獲取數(shù)據(jù)，而且情節(jié)嚴重。

這個“情節(jié)嚴重”也是有具體規(guī)定，包括幾種情況，一種是金融機構(gòu)的金融身份認證信息，是在十組以上，其他的身份認證信息是在500組以上；或者是非法控制計算機系統(tǒng)，這個前提是要有控制行為存在，20臺以上；還有一個是造成經(jīng)濟損失的，具體有一個數(shù)額。

3.破壞計算機信息系統(tǒng)罪。即對于計算機的程序有增加、刪除、修改、干擾，或者是對數(shù)據(jù)有相應的刪除行為。

4.使用或者傳播計算機病毒等破壞性程序，并造成影響。

因此，律師將此前的“袁煒事件”定性為非法獲取計算機信息系統(tǒng)數(shù)據(jù)。同時他告誡一些白帽子們，如果從規(guī)避自身風險的角度來講盡量不要觸碰一些身份認證信息，所謂身份認證信息，包括帳號、密碼、口令、數(shù)字證書等。

另外，就是很多檢測工具在檢測過程中，可能會涉及到自動緩存數(shù)據(jù)的問題。或許有的白帽子并不愿意獲取這個數(shù)據(jù)，但是檢測過程中，工具有可能把數(shù)據(jù)存儲在電腦上。這個情況下，它屬不屬于非法獲取數(shù)據(jù)，現(xiàn)在也沒有類似的案例可以參考，也不確定目前公安部門和司法機構(gòu)的態(tài)度和做法。

烏云創(chuàng)始人方小頓在關于漏洞披露的問題上，提出了一個關鍵詞：用戶意愿。他表示當外界和業(yè)內(nèi)人士在探討漏洞時，卻忽略了最重要的用戶的意愿和態(tài)度。用戶對自己數(shù)據(jù)的安全性是否要有知情權？要如何更好的保護好用戶的數(shù)據(jù)？相比于企業(yè)，用戶往往是弱勢的。

他表示希望國家可以出臺明確的法律，而這些相關法律能更多考慮到企業(yè)考慮到企業(yè)的用戶，甚至考慮到白帽子這個群體本身。

中科院軟件研究所研究員，中國電子學會計算機取證專委會主任委員，公安部三局特聘專家丁麗萍直言稱，大量數(shù)據(jù)泄露，會造成國家財產(chǎn)，人民利益的損失，建議烏云跟法律授權的機構(gòu)提供合作，可以提供關于漏洞披露的建議。烏云可以獲得合法授權來做披露之后，公安部也應有一個信息披露中心，雙方可以在漏洞披露上達成雙贏。

白帽子被看做是游走在黑客和正義之間的特殊職業(yè)，對于這個職業(yè)的合法性也是爭議不止。

騰訊玄武實驗室負責人于旸向我們展現(xiàn)了一個事實，即不管是中國，還是外國，很多的公司都建立了自己的漏洞獎勵計劃，鼓勵大家對自己的網(wǎng)站做安全測試，而且還會給予一定的獎金。Facebook、AT&T公司，甚至是一些傳統(tǒng)的企業(yè)也都推出漏洞獎勵計劃。

到了今天全世界對于漏洞披露都有一個共識，那就是“要披露”，尤其在美國是非常清晰的，他們認為漏洞披露是言論自由一部分，受憲法的修正案保護，從法律角度，無論什么時候、怎么披露都是合法的。

這些企業(yè)與白帽子的合作，實質(zhì)上是借助整個互聯(lián)網(wǎng)上這些技術人員的力量促使企業(yè)更安全的進步。但中國眾多廠商更希望可以出臺明確的規(guī)范，白帽子在幫助廠商提高安全能力外，盡量避免觸碰用戶數(shù)據(jù)。

白帽子因為職業(yè)的特殊性，一直游走在法律的邊界。不可否認的是，這些白帽子們的出現(xiàn)確實幫助了很多企業(yè)彌補了很多系統(tǒng)漏洞。但是漏洞披露機制給整個行業(yè)帶來的價值，對全社會安全意識的影響，是利大于弊還是弊大于利，每個行業(yè)每個人都有不同的答案，希望這樣的群體可以在正確的道路上越走越遠。

763人已贊賞 >

敬原創(chuàng)，有鈦度，得贊賞

贊賞支持

0

1

0

掃描下載App