在互聯(lián)網(wǎng)繁榮的時代下,網(wǎng)絡安全一直是我們極其關注的話題之一。以烏云、漏洞盒子為代表的白帽子社區(qū)均是國家信息安全漏洞共享平臺的合作方。而漏洞盒子更是打著由國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心,聯(lián)合國內(nèi)重要信息系統(tǒng)單位、基礎電信運營商、網(wǎng)絡安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識庫的牌子。
作為白帽子社區(qū),一直都是以找出漏洞,完善互聯(lián)網(wǎng)安全為宗旨。因此烏云在自家網(wǎng)站當中多次公開互聯(lián)網(wǎng)廠商漏洞,比如如家酒店等開房信息泄露、13萬條鐵路售票網(wǎng)站網(wǎng)站12306用戶數(shù)據(jù)泄露、騰訊7000萬QQ群用戶數(shù)據(jù)泄露等一系列曾經(jīng)轟動社會的泄漏事件,均最早在烏云網(wǎng)上由白帽子報告并引起平臺方的重視。
最近又有關于30多省市艾滋患者實名信息疑泄露的事件,據(jù)悉,烏云網(wǎng)在今年5月就有一條關于“北京疾控中心管理系統(tǒng)命令執(zhí)行(大量敏感信息泄露/各大醫(yī)院)”的報告。
對于白帽子社區(qū)找到的網(wǎng)絡安全漏洞,有的廠商并不是很買單。
例如在在去年,烏云公開了世紀佳緣網(wǎng)站存在的嚴重會員信息漏洞。但世紀佳緣在修復之后報警,稱“有4000余條實名注冊信息被不法竊取”,報告者袁煒隨即被相關部門以涉嫌“非法獲取計算機系統(tǒng)數(shù)據(jù)犯罪”逮捕。
一時之間世紀佳緣成為眾多白帽子攻擊的目標,也有網(wǎng)友認為世紀佳緣頗有一種恩將仇報的感覺。
但是對此世紀佳緣解釋到,他們的安全團隊一直在分析漏洞攻擊者的行為是否惡意。他們認為,涉及到900多條有效數(shù)據(jù)被獲取,已經(jīng)完全超過了常規(guī)白帽子測試的范圍,通常情況下,白帽子只需要獲取少量數(shù)據(jù)甚至不獲取數(shù)據(jù)都能夠證明網(wǎng)站的漏洞,在無法百分百確定獲取者意圖的情況下,為了保護信息安全,公司最終還是決定報警。
而在選擇報警之前,因為存在來自國內(nèi)不同地區(qū)IP地址的攻擊,世紀佳緣并未將漏洞提交者和事發(fā)當晚的其他攻擊者聯(lián)系到一起。
通過“袁煒事件”,很多白帽子也第一次知道了一個臨界點。按照我國法律規(guī)定,構(gòu)成非法侵入計算機信息系統(tǒng)罪的認定標準中,有一條是獲取身份認證信息500組以上。從這一標準來看,袁煒獲取了超過900條有效數(shù)據(jù),或許是檢方批捕袁煒的主要原因。
在不久前的第四屆網(wǎng)絡安全大會上,袁煒的父親發(fā)出公開信為兒子鳴冤,讓袁煒的遭遇成為網(wǎng)絡安全圈的熱門事件,也引起了外界對于白帽子社區(qū)、群體的關注,引發(fā)了關于“白帽子”黑客行為邊界的大討論。
目前關于白帽子法律界限的看法業(yè)內(nèi)不盡相同,爭議時起。包括在上周五舉行的烏云白帽大會上,來自法律、安全、公安、互聯(lián)網(wǎng)公司、電子取證、漏洞收集平臺、白帽子、媒體等8位不同領域的專家也對此各持己見,同時也關于世紀佳緣事件涉及的相關法律問題進行了深入探討。
白帽子在漏洞測試時,需要涉及到其法律的邊界在哪里?對此趙占領律師在會議上進行詳細的解釋,稱這可能涉及到刑法的幾個罪名。
1.非法侵入計算機系統(tǒng)罪。這個是有要求的,被入侵對象必須是國家事務或國防系統(tǒng)。但一般情況下,如果不是政府網(wǎng)站的話,這個白帽子一般不會涉及。
2.非法獲取計算機信息數(shù)據(jù)罪。這個罪名成立需要條件,即必須要有入侵,通過其他方法獲取數(shù)據(jù),而且情節(jié)嚴重。
這個“情節(jié)嚴重”也是有具體規(guī)定,包括幾種情況,一種是金融機構(gòu)的金融身份認證信息,是在十組以上,其他的身份認證信息是在500組以上;或者是非法控制計算機系統(tǒng),這個前提是要有控制行為存在,20臺以上;還有一個是造成經(jīng)濟損失的,具體有一個數(shù)額。
3.破壞計算機信息系統(tǒng)罪。即對于計算機的程序有增加、刪除、修改、干擾,或者是對數(shù)據(jù)有相應的刪除行為。
4.使用或者傳播計算機病毒等破壞性程序,并造成影響。
因此,律師將此前的“袁煒事件”定性為非法獲取計算機信息系統(tǒng)數(shù)據(jù)。同時他告誡一些白帽子們,如果從規(guī)避自身風險的角度來講盡量不要觸碰一些身份認證信息,所謂身份認證信息,包括帳號、密碼、口令、數(shù)字證書等。
另外,就是很多檢測工具在檢測過程中,可能會涉及到自動緩存數(shù)據(jù)的問題。或許有的白帽子并不愿意獲取這個數(shù)據(jù),但是檢測過程中,工具有可能把數(shù)據(jù)存儲在電腦上。這個情況下,它屬不屬于非法獲取數(shù)據(jù),現(xiàn)在也沒有類似的案例可以參考,也不確定目前公安部門和司法機構(gòu)的態(tài)度和做法。
烏云創(chuàng)始人方小頓在關于漏洞披露的問題上,提出了一個關鍵詞:用戶意愿。他表示當外界和業(yè)內(nèi)人士在探討漏洞時,卻忽略了最重要的用戶的意愿和態(tài)度。用戶對自己數(shù)據(jù)的安全性是否要有知情權?要如何更好的保護好用戶的數(shù)據(jù)?相比于企業(yè),用戶往往是弱勢的。
他表示希望國家可以出臺明確的法律,而這些相關法律能更多考慮到企業(yè)考慮到企業(yè)的用戶,甚至考慮到白帽子這個群體本身。
中科院軟件研究所研究員,中國電子學會計算機取證專委會主任委員,公安部三局特聘專家丁麗萍直言稱,大量數(shù)據(jù)泄露,會造成國家財產(chǎn),人民利益的損失,建議烏云跟法律授權的機構(gòu)提供合作,可以提供關于漏洞披露的建議。烏云可以獲得合法授權來做披露之后,公安部也應有一個信息披露中心,雙方可以在漏洞披露上達成雙贏。
白帽子被看做是游走在黑客和正義之間的特殊職業(yè),對于這個職業(yè)的合法性也是爭議不止。
騰訊玄武實驗室負責人于旸向我們展現(xiàn)了一個事實,即不管是中國,還是外國,很多的公司都建立了自己的漏洞獎勵計劃,鼓勵大家對自己的網(wǎng)站做安全測試,而且還會給予一定的獎金。Facebook、AT&T公司,甚至是一些傳統(tǒng)的企業(yè)也都推出漏洞獎勵計劃。
到了今天全世界對于漏洞披露都有一個共識,那就是“要披露”,尤其在美國是非常清晰的,他們認為漏洞披露是言論自由一部分,受憲法的修正案保護,從法律角度,無論什么時候、怎么披露都是合法的。
這些企業(yè)與白帽子的合作,實質(zhì)上是借助整個互聯(lián)網(wǎng)上這些技術人員的力量促使企業(yè)更安全的進步。但中國眾多廠商更希望可以出臺明確的規(guī)范,白帽子在幫助廠商提高安全能力外,盡量避免觸碰用戶數(shù)據(jù)。
白帽子因為職業(yè)的特殊性,一直游走在法律的邊界。不可否認的是,這些白帽子們的出現(xiàn)確實幫助了很多企業(yè)彌補了很多系統(tǒng)漏洞。但是漏洞披露機制給整個行業(yè)帶來的價值,對全社會安全意識的影響,是利大于弊還是弊大于利,每個行業(yè)每個人都有不同的答案,希望這樣的群體可以在正確的道路上越走越遠。
快報
根據(jù)《網(wǎng)絡安全法》實名制要求,請綁定手機號后發(fā)表評論
烏云依然在路上,你是最棒的。