久久草成人视频在线,天天AV电影在线

在互聯(lián)網(wǎng)繁榮的時(shí)代下，網(wǎng)絡(luò)安全一直是我們極其關(guān)注的話題之一。以烏云、漏洞盒子為代表的白帽子社區(qū)均是國(guó)家信息安全漏洞共享平臺(tái)的合作方。而漏洞盒子更是打著由國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，聯(lián)合國(guó)內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營(yíng)商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識(shí)庫(kù)的牌子。

作為白帽子社區(qū)，一直都是以找出漏洞，完善互聯(lián)網(wǎng)安全為宗旨。因此烏云在自家網(wǎng)站當(dāng)中多次公開互聯(lián)網(wǎng)廠商漏洞，比如如家酒店等開房信息泄露、13萬條鐵路售票網(wǎng)站網(wǎng)站12306用戶數(shù)據(jù)泄露、騰訊7000萬QQ群用戶數(shù)據(jù)泄露等一系列曾經(jīng)轟動(dòng)社會(huì)的泄漏事件，均最早在烏云網(wǎng)上由白帽子報(bào)告并引起平臺(tái)方的重視。

最近又有關(guān)于30多省市艾滋患者實(shí)名信息疑泄露的事件，據(jù)悉，烏云網(wǎng)在今年5月就有一條關(guān)于“北京疾控中心管理系統(tǒng)命令執(zhí)行（大量敏感信息泄露/各大醫(yī)院）”的報(bào)告。

對(duì)于白帽子社區(qū)找到的網(wǎng)絡(luò)安全漏洞，有的廠商并不是很買單。

例如在在去年，烏云公開了世紀(jì)佳緣網(wǎng)站存在的嚴(yán)重會(huì)員信息漏洞。但世紀(jì)佳緣在修復(fù)之后報(bào)警，稱“有4000余條實(shí)名注冊(cè)信息被不法竊取”，報(bào)告者袁煒隨即被相關(guān)部門以涉嫌“非法獲取計(jì)算機(jī)系統(tǒng)數(shù)據(jù)犯罪”逮捕。

一時(shí)之間世紀(jì)佳緣成為眾多白帽子攻擊的目標(biāo)，也有網(wǎng)友認(rèn)為世紀(jì)佳緣頗有一種恩將仇報(bào)的感覺。

但是對(duì)此世紀(jì)佳緣解釋到，他們的安全團(tuán)隊(duì)一直在分析漏洞攻擊者的行為是否惡意。他們認(rèn)為，涉及到900多條有效數(shù)據(jù)被獲取，已經(jīng)完全超過了常規(guī)白帽子測(cè)試的范圍，通常情況下，白帽子只需要獲取少量數(shù)據(jù)甚至不獲取數(shù)據(jù)都能夠證明網(wǎng)站的漏洞，在無法百分百確定獲取者意圖的情況下，為了保護(hù)信息安全，公司最終還是決定報(bào)警。

而在選擇報(bào)警之前，因?yàn)榇嬖趤碜試?guó)內(nèi)不同地區(qū)IP地址的攻擊，世紀(jì)佳緣并未將漏洞提交者和事發(fā)當(dāng)晚的其他攻擊者聯(lián)系到一起。

通過“袁煒事件”，很多白帽子也第一次知道了一個(gè)臨界點(diǎn)。按照我國(guó)法律規(guī)定，構(gòu)成非法侵入計(jì)算機(jī)信息系統(tǒng)罪的認(rèn)定標(biāo)準(zhǔn)中，有一條是獲取身份認(rèn)證信息500組以上。從這一標(biāo)準(zhǔn)來看，袁煒獲取了超過900條有效數(shù)據(jù)，或許是檢方批捕袁煒的主要原因。

在不久前的第四屆網(wǎng)絡(luò)安全大會(huì)上，袁煒的父親發(fā)出公開信為兒子鳴冤，讓袁煒的遭遇成為網(wǎng)絡(luò)安全圈的熱門事件，也引起了外界對(duì)于白帽子社區(qū)、群體的關(guān)注，引發(fā)了關(guān)于“白帽子”黑客行為邊界的大討論。

白帽子的法律邊界在哪里

目前關(guān)于白帽子法律界限的看法業(yè)內(nèi)不盡相同，爭(zhēng)議時(shí)起。包括在上周五舉行的烏云白帽大會(huì)上，來自法律、安全、公安、互聯(lián)網(wǎng)公司、電子取證、漏洞收集平臺(tái)、白帽子、媒體等8位不同領(lǐng)域的專家也對(duì)此各持己見，同時(shí)也關(guān)于世紀(jì)佳緣事件涉及的相關(guān)法律問題進(jìn)行了深入探討。

白帽子在漏洞測(cè)試時(shí)，需要涉及到其法律的邊界在哪里？對(duì)此趙占領(lǐng)律師在會(huì)議上進(jìn)行詳細(xì)的解釋，稱這可能涉及到刑法的幾個(gè)罪名。

因此，律師將此前的“袁煒事件”定性為非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)。同時(shí)他告誡一些白帽子們，如果從規(guī)避自身風(fēng)險(xiǎn)的角度來講盡量不要觸碰一些身份認(rèn)證信息，所謂身份認(rèn)證信息，包括帳號(hào)、密碼、口令、數(shù)字證書等。

另外，就是很多檢測(cè)工具在檢測(cè)過程中，可能會(huì)涉及到自動(dòng)緩存數(shù)據(jù)的問題。或許有的白帽子并不愿意獲取這個(gè)數(shù)據(jù)，但是檢測(cè)過程中，工具有可能把數(shù)據(jù)存儲(chǔ)在電腦上。這個(gè)情況下，它屬不屬于非法獲取數(shù)據(jù)，現(xiàn)在也沒有類似的案例可以參考，也不確定目前公安部門和司法機(jī)構(gòu)的態(tài)度和做法。

烏云創(chuàng)始人方小頓在關(guān)于漏洞披露的問題上，提出了一個(gè)關(guān)鍵詞：用戶意愿。他表示當(dāng)外界和業(yè)內(nèi)人士在探討漏洞時(shí)，卻忽略了最重要的用戶的意愿和態(tài)度。用戶對(duì)自己數(shù)據(jù)的安全性是否要有知情權(quán)？要如何更好的保護(hù)好用戶的數(shù)據(jù)？相比于企業(yè)，用戶往往是弱勢(shì)的。

他表示希望國(guó)家可以出臺(tái)明確的法律，而這些相關(guān)法律能更多考慮到企業(yè)考慮到企業(yè)的用戶，甚至考慮到白帽子這個(gè)群體本身。

中科院軟件研究所研究員，中國(guó)電子學(xué)會(huì)計(jì)算機(jī)取證專委會(huì)主任委員，公安部三局特聘專家丁麗萍直言稱，大量數(shù)據(jù)泄露，會(huì)造成國(guó)家財(cái)產(chǎn)，人民利益的損失，建議烏云跟法律授權(quán)的機(jī)構(gòu)提供合作，可以提供關(guān)于漏洞披露的建議。烏云可以獲得合法授權(quán)來做披露之后，公安部也應(yīng)有一個(gè)信息披露中心，雙方可以在漏洞披露上達(dá)成雙贏。

白帽子被看做是游走在黑客和正義之間的特殊職業(yè)，對(duì)于這個(gè)職業(yè)的合法性也是爭(zhēng)議不止。

騰訊玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸向我們展現(xiàn)了一個(gè)事實(shí)，即不管是中國(guó)，還是外國(guó)，很多的公司都建立了自己的漏洞獎(jiǎng)勵(lì)計(jì)劃，鼓勵(lì)大家對(duì)自己的網(wǎng)站做安全測(cè)試，而且還會(huì)給予一定的獎(jiǎng)金。Facebook、AT&T公司，甚至是一些傳統(tǒng)的企業(yè)也都推出漏洞獎(jiǎng)勵(lì)計(jì)劃。

到了今天全世界對(duì)于漏洞披露都有一個(gè)共識(shí)，那就是“要披露”，尤其在美國(guó)是非常清晰的，他們認(rèn)為漏洞披露是言論自由一部分，受憲法的修正案保護(hù)，從法律角度，無論什么時(shí)候、怎么披露都是合法的。

這些企業(yè)與白帽子的合作，實(shí)質(zhì)上是借助整個(gè)互聯(lián)網(wǎng)上這些技術(shù)人員的力量促使企業(yè)更安全的進(jìn)步。但中國(guó)眾多廠商更希望可以出臺(tái)明確的規(guī)范，白帽子在幫助廠商提高安全能力外，盡量避免觸碰用戶數(shù)據(jù)。

白帽子因?yàn)槁殬I(yè)的特殊性，一直游走在法律的邊界。不可否認(rèn)的是，這些白帽子們的出現(xiàn)確實(shí)幫助了很多企業(yè)彌補(bǔ)了很多系統(tǒng)漏洞。但是漏洞披露機(jī)制給整個(gè)行業(yè)帶來的價(jià)值，對(duì)全社會(huì)安全意識(shí)的影響，是利大于弊還是弊大于利，每個(gè)行業(yè)每個(gè)人都有不同的答案，希望這樣的群體可以在正確的道路上越走越遠(yuǎn)。

本文系作者張娜授權(quán)鈦媒體發(fā)表，并經(jīng)鈦媒體編輯，轉(zhuǎn)載請(qǐng)注明出處、作者和本文鏈接。
本內(nèi)容來源于鈦媒體鈦度號(hào)，文章內(nèi)容僅供參考、交流、學(xué)習(xí)，不構(gòu)成投資建議。
想和千萬鈦媒體用戶分享你的新奇觀點(diǎn)和發(fā)現(xiàn)，點(diǎn)擊這里投稿。創(chuàng)業(yè)或融資尋求報(bào)道，點(diǎn)擊這里。

快報(bào)