白帽子
- 来源:方圆
- 关键字:网络安全,白帽子,法律
- 发布时间:2016-11-23 09:41
酒店开房记录被泄露、第三方支付网站漏洞被曝光,在安全事件层出不穷的网络上,也有一群志愿抗击黑客攻击,帮助企业修复安全漏洞的网络安全专家,他们被称之为“白帽子”。他们活跃在漏洞披露平台、企业应急安全响应平台上,而不是像不法黑客那样出售安全漏洞、盗取他人信息为生。在生活中,他们是普通的网络工程师、安全实验室的程序员,甚至仅仅是大学计算机专业的学生。
但袁炜案揭示了“白帽子”们在维护网络安全的同时,自身面临的法律风险。刑法为“白帽子”挖掘安全漏洞划定了底线,《网络安全法》等有望具体规范白帽子行为的立法还在路上。
法律漩涡中的“白帽子”
文|方圆记者 汪文涛
“袁炜检测出世纪佳缘的漏洞让对方修复,世纪佳缘却报警抓了袁炜。从3月8日被抓进去至今已有半年,我们家人到今天还弄不清楚,袁炜到底犯了什么罪?‘白帽子’检测漏洞是犯罪吗?”9月17日,双鬓斑白的袁冠阳在接受记者采访时连连叹息。
今年64岁的袁冠阳年事已高,原本对互联网一窍不通,但为了给儿子袁炜“鸣冤”,他多方请教专家,四处奔走呼号。不久前,在北京召开的第四届网络安全大会上,袁冠阳不期而至,到现场发出了多封公开信,让袁炜的遭遇在互联网圈瞬间引起轩然大波,并引发了网络安全行业人士的热议与讨论。
袁冠阳在公开信中称,袁炜是互联网漏洞报告平台--“乌云网”上的一名“白帽子”,2015年12月,袁炜检测发现了婚恋交友网站--“世纪佳缘”的系统漏洞,并在乌云网上提交了系统漏洞。世纪佳缘先是确认、修复了漏洞,并向乌云网和袁炜致谢。但事情转折发生在世纪佳缘以“网站数据被非法窃取”报警之后,警方经调查拘留了袁炜。
业内人士介绍,所谓“白帽子”,是指识别计算机系统或网络系统中安全漏洞的网络安全技术人员,与网络黑客不同的是,他们只是检测漏洞,并不恶意去利用漏洞,“白帽子”通过向相关平台或者厂家反馈、发布漏洞,以敦促厂家在漏洞被“黑客”攻击利用之前将其修复完善,维护计算机和互联网安全。
“白帽子”袁炜检测并提交了世纪佳缘的漏洞;而世纪佳缘出于保护用户隐私安全考虑,报警抓人。其中的孰是孰非,目前司法尚无定论,但多位网络安全业内人士和法律专家在接受记者采访时均认为,袁炜事件或将成为互联网安全史上一个标志性的“分水岭”。
刚成为实习白帽子
“袁炜大学里学的是计算机专业,他是一个典型的理工男,一脸的书生气,看上去可能有些内向,但他为人憨厚、真诚,没有什么花花架子。”袁炜妻子代女士接受记者采访时表示。
据代女士介绍,袁炜不抽烟也不喝酒,平时爱好踢足球、看球赛、玩魔兽世界,每天规规矩矩地上下班。
由于工作的需要,袁炜参加了前几届互联网安全大会,开始涉足网络安全行业,梦想成为网络安全圈的专业“大咖”。“为此,他买了一堆堆计算机网络方面的书籍,每天下班后的时间,除了跟2岁的女儿玩一会,就是看书学习”。
“一直到今年3月8日,那天早上,我们是一块出的门;中午的时候,袁炜的同事突然来电话,说北京来了几个公安人员以协助调查的名义,把袁炜连人带电脑都带走了。”代女士回忆,事情来得很突然,当时都没明白是什么情况,后来打听,才发现是世纪佳缘网漏洞事件。
袁炜涉案后,代女士和委托律师开始多方了解情况、搜集证据,想努力搞清楚袁炜事件的前后脉络。“我记得去年年底,袁炜有和我提到,他提交过世纪佳缘的漏洞,后来世纪佳缘还通过乌云网联系他说表示感谢,不知为何后来突然被公安机关抓走了。”代女士向记者出示了两份书面复印件,一份为杭州某家电有限公司的“证明”;另一份系乌云网的“情况说明”。
“证明”里提到,袁炜自2009年10月起在该家电公司担任“信息安全运维主管”职务,工作期间“行为端正、品行优良”,2014年荣获公司优秀服务支持奖;2015年表现突出,综合绩效评估为A。
“情况说明”里则介绍:北京北冥鱼信息技术有限公司依法经营的网站乌云网,是一个位于厂商和安全研究者之间的安全问题反馈平台。目前,已经与国家互联网应急响应中心CNCERT等部门展开了合作。
“情况说明”还介绍说,“袁炜系在乌云网注册的白帽子会员,会员名称:ledoo。其自从在本网站注册以来,无任何违法违规行为”;“世纪佳缘于2012年1月21日作为厂商入驻乌云平台,允许乌云平台注册的白帽子检测世纪佳缘的漏洞”。
“情况说明”还在文中末尾提到,“2015年12月4日,袁炜发现世纪佳缘网存在重大安全漏洞,及时通过方式实名提交相关漏洞,我网站在获悉相关信息后按照规定提交给世纪佳缘网。随后,世纪佳缘对相关漏洞予以确认并进行修补,并与2015年12月7日向乌云平台发来感谢,对袁炜的重大发现和贡献表示感谢。在此过程中,袁炜并无恶意,也未索取任何利益”。
袁炜家人向记者提供了经过公证的相关证据材料,该材料显示,袁炜是于2015年10月19日在乌云网注册,成为了一名实习白帽子,用户名是ledoo;而世纪佳缘网站早在2012年1月21日就注册成为了乌云网的企业用户。
相关网页材料还显示出,作为乌云网的实习白帽子,袁炜共向乌云网提交了包括世纪佳缘在内的11个不同网站的漏洞,其中8个得到验证并被修复;同时,包括袁炜在内,在乌云网的注册白帽子们先后向世纪佳缘提交了42个漏洞信息,世纪佳缘核实确认后修复了相关漏洞,并向乌云网的多名白帽子请求发送小礼物以表感谢。
各执一词:测试漏洞还是非法攻击
按照家属的说法,袁炜是于2015年12月3日下午4时,在公司使用SQLmap软件(以下简称SQL软件)对世纪佳缘的网站进行漏洞检测,发现世纪佳缘网存在漏洞。由于袁炜只是实习白帽子,担心自己的技术不过关导致误报,为了确认漏洞,袁炜下班后回到家中使用同一笔记本电脑和SQL软件继续对世纪佳缘网站的服务器进行漏洞检测。
代女士称,袁炜通过SQL软件注入成功浏览了存储在世纪佳缘服务器中的部分数据,确认了世纪佳缘网站的服务器确实存在漏洞,第二天(12月4日)早上6点多,袁炜又确认了一遍漏洞的存在。在整个漏洞检测过程中,袁炜除使用了SQL软件以外,没有主动下载、存储任何世纪佳缘服务器的数据。上班后,袁炜使用其在乌云的名为ledoo的注册账号,向乌云网提交了世纪佳缘网站的漏洞,当日乌云网通知了世纪佳缘网站。
2015年12月7日下午,世纪佳缘确认并修复了漏洞,并致谢乌云网及袁炜。仅仅一个月后,出人意料的是,2016年1月18日,世纪佳缘网的运营主体花千树公司向北京市公安局朝阳分局报案称:2015年12月3日22时许,花千树公司运营的世纪佳缘网站受到11个IP的SQL注入攻击,持续时间8小时40分,有4000余条实名注册信息被不法分子窃取。
2016年3月8日,袁炜被北京市公安局朝阳分局以涉嫌“非法获取计算机信息系统数据罪”,被刑事拘留。4月12日,经北京市朝阳区检察院批准,袁炜因涉嫌“非法获取计算机信息系统数据罪”,被批准逮捕。
袁炜案发后,各路舆情在网上开始发酵,但世纪佳缘却一直没有官方回应。直到6月29日,世纪佳缘CEO(首席执行官)吴琳光在知乎网社区上发文谈论此事,但吴琳光也表示,因案件尚在司法调查期间,文章内容仅代表个人观点。
吴琳光称,2015年12月3日晚,公司安全人员发现有多个IP地址对其网站进行SQL注入攻击。随后,安全人员通过技术手段阻断了部分攻击。次日,乌云网通知世纪佳缘其网站存在漏洞。该轮攻击持续到12月4日晚上,直至安全人员将其完全修复。事后,世纪佳缘方面统计发现,攻击总次数累计4000余次,共有900多条有效数据被攻击者获取。“出于对用户数据和信息安全的担忧,我们还是选择了报警。”吴琳光称。
对于部分网友质疑“世纪佳缘”网站“钓鱼执法”一说,吴琳光进行了否认,他表示,在警方披露调查结果前,世纪佳缘并不知道提交漏洞的白帽子和攻击者是否同一人,“报警不针对任何个人或群体,公司也没有联系过袁某”。吴琳光还在个人回应中提到,袁某在检测漏洞时使用的SQLmap是网络黑客工具。
“SQL软件并非袁炜开发的软件,也并非是专用的黑客工具,它就是一款电脑技术人员常用的工作软件,这个软件不是区分白帽子与黑客的标准。”代女士告诉记者。
“SQLmap是安全圈内常用的工具之一,这个软件自带缓存功能,会自动将测试信息存储到本地的一个隐藏文件夹,一直以来网络安全圈内并没有对安全工具和黑客工具加以区分。”圈内一人士告诉记者,白帽子检测漏洞和黑客入侵从技术方法上看也许没有区别,也许都会使用到SQL软件;从技术上考量,对被访问的网站而言,白帽子检测漏洞实质上也是一种“注入攻击”行为。
引发争议的932条数据信息
据了解,为了获取“被攻击”的证据,世纪佳缘委托了一家司法鉴定所对其服务器日志进行鉴定,鉴定意见显示,世纪佳缘网在2015年12月3日17时许至2015年12月4日10时许,陆续受到“124.160.67.131”等11个IP地址以SQL注入为手段的访问请求,注入请求为4400余次。SQL注入成功后,入侵者对网站数据库进行了读取操作,涉及读取操作的数据库数据信息为932条。
“这份鉴定意见是世纪佳缘自行委托某鉴定机构做的,并非司法机关指定的专门鉴定机构;而且在鉴定报告中,并没有确认到底哪些IP是袁炜操作的,也没有详细说明袁炜的这些IP具体读取了多少组有效的身份认证信息。”代女士认为,这份鉴定意见的权威性和公正性还有待考证。
世纪佳缘内部人员则透露,世纪佳缘的安全团队一直在分析漏洞攻击者的行为是否为恶意,世纪佳缘认为,涉及到900多条有效数据被获取,已经完全超过了常规白帽子测试的范围,通常情况下,白帽子只需要获取少量数据甚至不获取数据都能够证明网站的漏洞,在无法百分百确定获取者意图的情况下,为了保护信息安全,公司最终还是决定报警。而在选择报警之前,因为存在来自国内不同地区IP地址的攻击,世纪佳缘并未将漏洞提交者和事发当晚的其他攻击者联系到一起。
而在补天平台负责人、360网站安全总监赵武看来,袁炜的行为并不难解释,漏洞提交平台会给白帽子提交的漏洞打分,证据越详细、危害越大的漏洞得分越高,这也使得白帽子们习惯于多获取一些数据,而且以往的操作中,白帽子们获取数据的做法并没有遭到来自企业的反对和来自平台的提醒,大家对此也习以为常。
“袁炜在乌云网上还是个实习白帽子,他只是个新手,担心自己的技术不过关导致误报,他才反复确认漏洞的存在,也许正是反复确认漏洞的行为,才导致了注入请求次数比较多。但是,SQL软件是自带缓存功能,袁炜除使用了SQL软件以外,没有主动下载、存储世纪佳缘服务器数据的想法。”代女士告诉记者。
根据《刑法》第二百八十五条规定,袁炜所涉嫌的“非法获取计算机信息系统数据罪”,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。
“非法获取计算机信息系统数据罪属于情节犯,只有达到一定情节后,才予以追究刑事责任。”长期关注互联网行业的京都律师事务所刘华斌律师分析说。
“警方之所以抓捕袁炜,最大可能是涉及该罪司法解释认定标准中的‘获取身份认证信息五百组以上’。结合袁炜一案,构成获取身份信息五百组还必须有两项必要条件:一是鉴定意见里所认定的共有11个IP进行了注入式访问,那么需要细究,具体哪个IP读取了多少信息,并具体到哪个IP由袁炜实际使用;二是鉴定意见中的932条数据是否属于‘身份认证信息’,这些信息是否由袁炜获取。”刘华斌分析说,如果这些数据不属于“身份认证信息”或者这些数据不是由袁炜获取,那么袁炜是否构成犯罪还值得商榷。
检测漏洞的法律界限
“法律上没有‘白帽子’这一叫法,根据刑法规定,只要侵入‘国家事务、国防建设、尖端科学技术领域的计算机信息系统’等特定领域,就成立非法获取计算机信息系统数据罪。”中国电子商务协会政策法律委员会委员、互联网法律专家于国富接受记者采访时说,但对于普通的厂商计算机信息系统,仅仅实施了侵入行为,没有破坏、控制、窃取数据等造成严重后果行为,不构成犯罪;“白帽子在检测漏洞时,只要不触碰、获取系统数据,在发现漏洞后及时提交报告给厂商,是不涉及此罪的”。
不过,于国富也指出,现实中有些白帽子由于经验不足或者其他原因,在检测漏洞过程时往往会“碰及数据”,在“越线操作”后再向厂商提交漏洞报告,这种行为在圈内被戏称为“洗白”,“如果被检测漏洞的企业不承认这种‘洗白’行为,认为自己的数据被窃取,硬要追究责任的话,白帽子就处于高度法律风险当中”。
“毋庸置疑,白帽子的出现,对于维护互联网安全是有积极作用的,其检测漏洞的行为动机应是合理的、善意的,但这种合理性的‘善意’不能超越底线,白帽子检测漏洞的行为不能被无限放大。任何一家公开接受访问的服务器,是绝不接受恶意的侵害性访问的。”在于国富看来,白帽子检测漏洞的行为,好比“走钢丝”,一念之差,天壤之别。
白帽子检测漏洞的法律界限在哪里?刘华斌认为,白帽子在检测漏洞的过程中,相比于黑客,获取的数据量应该是少量的,类似于做实验,“只需要采集一些样本即可,不需要获取整个物体”。
刘华斌分析说,为了检测漏洞的存在,白帽子的行为应当是“检测性”的“攻击”,而不是“破坏性”的“攻击”,一个合格或者有经验的白帽子,在检测漏洞时候,是会考虑到“攻击”的强度和后果,不会出现使整个服务器瘫痪或者篡改数据等严重后果,获取的数据样本是有限的。
“整个检测和提交漏洞过程,袁炜都没有隐藏自己的IP,因为对于他来说,这就是一个正常检测漏洞的行为。如果袁炜知道自己的行为会构成犯罪,或者他主观上想犯罪,他是不会用公司和家里的IP地址去访问世纪佳缘网站的,他完全可以采用挂国外服务器代理或者做了跳板等技术手段;如果袁炜对于获取的数据有恶意或私心,从提交漏洞后的几个多月,他有足够的时间把电脑里面缓存的数据物理销毁。”代女士认为,SQL缓存文件自带缓存功能,而袁炜压根上就没有关注过SQL缓存文件的保存位置及格式,以致于造成今天的被动局面。
“律师介入案件后,公安机关到现在还没有公布细节,袁炜的计算机里是不是真的有从世纪佳缘下载的900多条数据?这让我们家人很不解。”代女士坚信,对于白帽子群体而言,袁炜的行为就是一次普通、正常的提交漏洞行为,跟犯罪几乎“不搭边”。对此,记者致电世纪佳缘网,其工作人员称该案正由司法机关办理中,目前不方便接受采访。
“各方做法都欠妥”
袁炜被抓后,世纪佳缘几乎成为了白帽子们的“公敌”,有数据表明,在袁炜案发后,世纪佳缘的网络服务器,每天受到的网络攻击数量急剧上升,同时又有多个有关世纪佳缘的漏洞在乌云上被公布,被激怒的白帽子们在用自己的方式表达对世纪佳缘的不满。
“或许袁炜在检测漏洞前并未征得世纪佳缘的书面许可,但世纪佳缘既然在乌云网上注册成为厂商用户,必然也知道白帽子会对其网站平台进行漏洞检测。至少在袁炜事件发生前,世纪佳缘对于乌云网的此种沟通方式并未提出明示的反对,袁炜与世纪佳缘的关系,可适用此前双方的行为惯例。如果世纪佳缘拒绝白帽子检测,完全可以作出相反的书面声明,没有必要对其此前收到的42次漏洞信息表示感谢。”
刘华斌分析说,对于一些大企业、商家来说,都很看重自己的品牌和声誉,毕竟承认自己的网站平台存在漏洞“并不是一件光彩的事”,但对于白帽子善意的检测漏洞行为,有利于企业修复漏洞,维护信息安全,除非是恶意性的违法攻击,否则应当“包容”。
“袁炜被抓,乌云网对此也负有责任。”圈内一不愿具名的资深白帽子告诉记者,乌云网在其网站声明中,要求“白帽子需要保证研究漏洞的方式、方法、工具及其手段的合法性”,但乌云网却“对此不承担任何法律责任”。
“乌云网公布漏洞的流程模式也有些激进,很容易招致企业商家的反感。”这名资深白帽子介绍说,一般而言,白帽子先将自己发现的漏洞提交至乌云漏洞报告平台,乌云平台审核后会进行发布,普通漏洞披露流程为5天的厂商确认期;10天后向核心白帽子公开其漏洞细节;20天向普通白帽子公开;30天向实习白帽子公开;45天之后,企业仍未主动认领漏洞,则会向公众公开其漏洞细节。
“虽然目标口号是敦促维护网络安全,但很多商家是在网站被检测出漏洞后,被迫找乌云网认领漏洞的,很多商家内心深处并不乐意这么做,这种‘倒逼式’的认领做法,肯定会招致反感,而白帽子则充当了乌云网发布漏洞的‘马前卒’。”上述白帽子分析说,即便商家确实存在漏洞,但乌云网是否有权利公布别人的漏洞细节,值得考究。
“白帽子这个群体的存在,有利于维护互联网用户信息的安全,从这一点上来说,与王海打假有相似性,虽然可能招致商家、企业的反感,但最终有利于维护消费者的利益。”刘华斌认为,无论是政府网站,还是企业商家网站,都会存在一定的漏洞,对于白帽子合理、善意的行为,应当包容。
据了解,该案仍处于退回补充侦查阶段,本刊记者将持续关注本案进展。
“白帽子”成长记
文|实习生 范英华
“微信任意用户密码修改漏洞”,这是白帽子张瑞冬在测试微信时的一个发现,这个漏洞让他找到腾讯国际业务部副总裁的微信账号,并给马化腾留了言“马哥,我QQ号码被盗了,能帮我找回来么?”
“你瞧,互联网行业的带头大哥的安全意识都这么薄弱,可想而知,整个行业的安全生态了。”张瑞冬对《方圆》记者感叹。
不考高中做黑客
张瑞冬并不是一名科班出身的白帽子。
15岁是大多数的初三学生正在为考取理想的高中而悬梁刺股的年纪。但15岁的张瑞冬所想的却是“如何成为一名黑客”。他的决定是放弃升入高中,自学黑客技术。这并不是一时冲动,事实上,此时的张瑞冬接触计算机技术已经四年有余,辍学只是让他“走得更快”。
如今,25岁的张瑞冬是双螺旋攻防实验室负责人、四川大学特聘网络安全专家。身为“90后”的他接触黑客技术已经十五年。
张瑞冬出生于内蒙古,家乡就在草原上。他爱好自由,不愿被束缚的性格也是在这里形成的。
他曾获得内蒙古奥数的冠军,在接触网络之前他一直是个“优秀学生”。
改变发生在接触了网络的那一天。“这个虚拟的世界,依然充满了各种规则和限制,但是在这里,我可以不仅仅是个执行者,我可以去破坏这些规则,去重建规则,去做规则的制定者。这对我充满了致命诱惑力。”那一年,张瑞冬11岁。
张瑞冬沉浸在网络带来的“自由”里。年少轻狂的他在网络游戏的世界中难以自拔,学习成绩直线下降。但是为了证明自己不单单是在“玩游戏”,他很快找到一种酷炫的方式来展示自己--“做了一个自己的网站。”张瑞冬轻描淡写地说,“很快,我对黑客技术产生浓厚的兴趣,并且开始自学黑客知识。”
在网络世界和现实面前,他选择了网络。2005年,他当着授课老师的面撕碎教科书,初中一毕业就辍学开始从事网络相关工作。在他看来,“每个人拥有的时间和精力都是相同的,当你选定目标之后,你需要巨大的时间、精力来学习,为了成为一名黑客我愿付出全部的精力。”
张瑞冬的网名,也有一个蛮有趣的进化过程。总角之年的张瑞冬网名叫作“不哭”,有点小矫情,后来他觉得这个名字太不成熟,于是改成“无泪”,算是“不哭”的升级版。再后来他发现圈内人喜好用英文名,听起来很高大上,他也要取个英文名提升一下规格。黑客圈有一句话叫做“黑客技术再好,我在你的心里永远也只是过客。”这说到了他的心坎上,遂直译为0nly_guest,这个名字一直跟随他至今。
“网络仲裁者”
辍学之后,张瑞冬先去网吧当了管理员,他要慢慢地进入黑客圈。时日渐长,在圈里浸淫日久,他结识了一群志同道合的朋友。十年前,一个叫做“网络仲裁者”的黑客组织小有名气,这个组织专挖一些违法网站的不法行为,它是由张瑞冬和圈子里的小伙伴儿建立的。他们这些人散布于天南海北,谋职于不同的企业,有安全从业人员,有程序员……但是在网络世界中他们都以“正义使者”自居,要在网上“惩恶扬善,除暴安良”。“网络仲裁者”的线上活动办地如火如荼,几个人兴冲冲地搭建论坛、录教程、写文章。
“仲裁者”们自恃手握黑客技术的“尚方宝剑”,在网络上仗剑行侠,重点打击网络赌博、儿童色情这类违法网站。“我们当时发现了很多这样的机构,入侵到一个网站发现赌博、色情的内容,就把这些内容全删掉。”张瑞冬他们用自己认为正确的方法维护着网络的正义。然而侠客还没当过瘾,他们就遭到这些违法网站经营者反击,因为他们的行为触动了以赌博、色情谋利的地下黑色产业链的“奶酪”。持续的攻击占据了他们论坛的绝大部分流量,他们匆忙应战,换了好几个主机商,上了各种硬件防火墙和流量清洗设备,仍然承受不住这种攻击,没有主机商愿意再放他们的论坛。不得已,“仲裁者”们聚在一个聊天频道开了个会,“要低调,不然无法继续。”这是他们当时的结论。
“现在想想,当时我们觉得对方做了违法的事情,我们去打击对方,那我们这个行为当然是正义的。但是当我真正了解法律之后,我发现,就算他做的是违法的事情,我们去入侵他,我们这个入侵行为也是违法的,就像是有一个杀人犯,你把杀人犯杀了,你其实也犯法了。”张瑞冬对当年的“行侠仗义”进行了深刻的反思。
最低调的方式莫过于改头换面,他们改名为“破壳网络精英小组”,英文名为PKER。寓意是他们愿意像破壳初生的小鸟一样重新开始,同时也会像小鸟一样慢慢成长,早晚会展翅高飞。PKER团队的成员平时各自在自己的城市生活工作,团队的活动主要是不定期地提供线上的网络安全培训,给大家普及安全知识。其间,核心成员走走来来,张瑞冬他们几度聚合离散。
从进攻的黑客到防护的白帽子
2010年,正在长沙某个大型教育机构担任技术总监的张瑞冬接到PKER团队伙伴“来北京”的邀请,没有任何迟疑,他给就职公司留下一封辞职信,当天就买了到北京的机票。到北京之后,他在某涉密集成商的技术总监岗位上做了一年。这一年,他做了很多大型企业和涉密机构的网络集成项目,他疯狂地为自己补充相关知识,这使他对企业的网络结构、各类网络设备、安全设备有了系统的认知。他甚至捕获到了几个设备的0day漏洞(系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息),这些成为他日后从事专职网络安全工作的良好基础。
来北京整一年后,可能还是爱自由的天性使然,张瑞冬和当时叫他来北京的小伙伴觉得北京的生活不自由,不适合他们,于是他们又毫不迟疑地辞职走人。这一次,对于将来的生活道路他们进行了认真的选择,“要找个适合生活的地方长期待下去”,他们相中了“天府之国”成都。
来到成都之后,他们开始召集PKER的核心成员,有两人响应他们的号召,辞职来到成都。“现在还不具备单干的条件,先去专业的安全公司工作吧”是他们当时的共识。他们几个找了一家当地的安全公司,开始从事专业的网络安全工作。
之后,他们磨刀练剑,一起交流学习。小团队也慢慢壮大,所需要的人员和技能也补充完整了,团队有负责做渗透的、逆向的、开发的、前端安全的……“这时,我们早已不是昔日的小菜鸟了,于是乎PKER团队更名为PKAV。我们的口号是‘少年,拿起你的鼠标,跟我们一起拯救世界吧’。”在张瑞冬言语间,仍然流淌着原来“仲裁者”们的霸气。
从PKER到PKAV,张瑞冬又成立了专业的网络安全咨询公司--双螺旋攻防实验室。双螺旋攻防实验室其实就是PKAV,一个团队两个名字。曾有媒体告诉张瑞冬,PKAV难以出现在媒体的报道中,只因名字中带有“AV”,“你知道,中国人对AV很敏感。”张瑞冬笑道。团队的二哥是生物学博士,脑袋一拍,攻防兼备跟DNA双螺旋结构相似,干脆就叫双螺旋攻防实验室,主攻方向网络安全防护。
打击电信诈骗背后的安全公司
网络江湖闯荡多年,PKAV积累了不俗的人气,成立安全公司后,他们的业务有了正规的对外联络的端口。PKAV的客户群遍及政府、公安、军队、运营商、金融、能源、教育等领域。
网络犯罪频发,PKAV经常需要跟公安打交道,协助警方办案。他们研制了一套防止电信诈骗的反制平台。这个平台实时搜索各个网站,一旦发现某个网站正在进行诈骗,平台就会自动通知受害者、银行、警方等相关方,平台可以实现多维自动化地打击电信诈骗。张瑞冬举例说:“相信我们每个人都收到过这样的手机短信,短信告诉你,你的银行卡有多少积分,可以兑换什么礼品,然后附带一个链接,当你点击这个链接,那么你就上当了,银行卡上的钱可能就会不翼而飞,这个平台会在你点击链接的时候自动把这个链接所在的网站信息提取出来,实时通知当地公安机关和银行,在诈骗未完成的时候就实现有效拦截,大幅度降低诈骗成功率。”
金融行业是网络安全的“重灾区”,张瑞冬说:“金融行业涉及金钱,系统很多安全漏洞被扑灭在系统上线前,但是也并不是毫无破绽。”张瑞冬曾经给一家商业银行做安全测试,两个月的时间发现了170多个高危漏洞,其中有将近50个高危可以直接动到资金。他向银行的系统开发人员演示最简单的时间竞争的漏洞,“你要完成一笔5000块钱的转账,你的账户只有5000元,你通过不同的业务处理器问银行数据库有没有5000元,数据库说有,这时候你用两台不同的业务处理器同时转钱,那么对方就会收到两笔5000元。因为银行内部的信息同步是需要时间的,你同时转账的话,数据库同时处理这两条请求,就会把两笔钱转出去,事实上你的账户只有5000元。”系统开发人员看完之后冷汗淋漓。
见惯了各种各样的安全漏洞,张瑞冬对于网络安全深有感触:“没有绝对安全的系统,最大的‘漏洞’是往往都是安全意识:厂商的安全意识、用户的安全意识、全民的安全意识。能够被利用的往往不是技术壁垒,而是安全意识的薄弱,这个万物联网的时代,谁都可能面临网络安全的威胁,所以人人都应该意识到其实安全问题就在身边。”
测试“都在法律范围内”
文章开头让张瑞冬声名鹊起的微信漏洞事件发生在2012年。
2012年9月4号,张瑞冬在对微信进行常规测试的时候,发现“微信任意用户密码修改漏洞”。这个漏洞意味着不需要知道任何人的微信密码,只需知道账号,就能登录任意人的账户。
张瑞冬发现这个漏洞之后,为了让大家知道危害性,就想着要去测试一两个有分量的人的账户。他从网上找了腾讯的员工通讯录,“这个通讯录很好找,各大猎头公司会公布各大网站的员工通讯录,包括手机号邮箱等等,我当时花了一毛钱下载了这个通讯录。”
他在通讯录中找到腾讯国际业务部副总裁的微信账号,从他的账号中找到马化腾的微信,给马化腾留了言“马哥,我QQ号码被盗了,能帮我找回来么?”他是在凌晨四点给马哥留的言,这个时间马哥自然没给他回复了。之后,为了确认漏洞,“也是因为当时喜欢柳岩,所以我又找到柳岩经纪人的微信号,在他的联系人中找到柳岩。”
经过这两次测试确认漏洞后,他在乌云上发布了这个漏洞,腾讯当天就做出了回应:马总的微信账号被破解为误传,并无此事。该微信漏洞发现后已经第一时间修复。腾讯公司一直以来对用户账号安全非常重视,若您在使用过程中发现有任何问题,也欢迎您第一时间联系我们。
但张瑞冬又严肃地表示:“我的这些行为都是在法律范围内进行的。这次修改两个人的账户密码,尽管是为了引起大家的重视,但是也已经算是做得比较过分了。我们跟腾讯的沟通向来很好,有问题提前通知他们,所以没有出现法律纠纷。”
对于法律问题,张瑞冬很重视。据他介绍,PKAV内部每月会有一次普法讲座,之后员工还要进行考试,确保员工明晰法律的界限,避免发生法律纠纷。“行业内的人经常会把测试和入侵两个概念混淆,本来你对一个网站做测试,必须要拿到授权,没拿到授权的话,测试的轻重很难把握,因为不知道下一步测试会不会涉及对方的数据。法律上规定你获得对方多少组数据就会构成犯罪,但是多数情况下这些人并不知道什么叫获取,以为我只是看了,但是我没存,我就没有犯罪,但是很多情况下,你看的这个过程已经构成犯罪,电脑会在本地进行缓存,留下记录,这其实已经是犯罪了。”张瑞冬对法律规定十分熟悉。
退还漏洞抢来的红包
除去正常的网络安全工作,张瑞冬很认同自己白帽子的身份,在他看来,白帽子代表的是一种测试手法,目的是帮助企业发现问题。白帽子不会恶意利用计算机系统或网络系统中的安全漏洞,而是通过提示和公布等方式,促进漏洞的修补。
张瑞冬把每天在互联网中寻找安全漏洞视为他的乐趣和使命,他寻找漏洞并不是为了获得经济利益,更多的是为了提升自己的技术水平,得到别人的认可,最直接的说法就是“我可以找到很多漏洞,你没找到,我的技术就比你好”。每次发现漏洞的过程都是一件让他很开心的事,“网易手机邮箱任意密码重置强行绑定”、“中国建设银行刷人民币漏洞”、“交通银行免费买车漏洞”……他战绩赫赫。他挖掘漏洞是无偿的,企业最多给他寄一个代表企业的小公仔玩具,相比这些,成就感是他认为自己获得的最大的回报。
拥有一流的网络技术,他有时难免开点小玩笑,但是并不过火。比如“微信红包随便领(发家致富奔小康,日薪百万不是梦)”的漏洞,这个漏洞是别人通过微信发红包,你跟对方是陌生人,红包也不是发给你的,但是你通过漏洞就可以领取对方的红包,在验证漏洞的过程中,几毛钱几块钱的红包就这样抢到了。但是后来,他抢到一个两百元的红包,上面写着“强哥,补补身子”的留言,他觉得过意不去,又把红包还给人家。之后,他在乌云上提交了这个漏洞。
虽然张瑞冬十分认同自己白帽子的身份,但是对类似于乌云网这样的漏洞提交平台是否合法,他却仍困惑不已,他最大的希望是将来法律能给出清晰的界定和解释。
“白帽子”的网络进化史
文|实习生 范英华
在对阿里进行常规渗透测试时,“90后”白帽子何诣莘发现阿里云盾的搜索引擎存在未授权访问漏洞。不过,这个漏洞危害不大,当他尝试进一步测试有没有其他漏洞时,发现阿里的安全人员已经发现了漏洞并修补了。这样的漏洞查找对白帽子而言是家常便饭,徒劳无功也是常见的结果。
然而,今年4月12日,“白帽子”袁炜因涉嫌非法获取计算机信息系统数据罪被批捕的事件,让白帽子们措手不及,挖掘漏洞的法律争议使得“白帽子”这个群体也越来越引发各界关注。
成为白帽子很普通
在网络世界中,白帽子是一个“来无影,去无踪”的存在。何诣莘说:“我挖掘企业的网站安全漏洞时,基本不会留下行迹。换言之,如果我不说,他们根本不知道我来过。”
另一名白帽子张坤向记者证实了这一点,“确实是这样,企业通常不会发现我们对他们的网站进行了渗透测试。”张坤是何诣莘的朋友,在金融第三方从事安全工作的他也是一名兼职白帽子。
除去白帽子这个身份,何诣莘的职业是成都一家大型数据公司的专职网络安全工程师,收入不菲,生活优渥。谈及为何对网络安全感兴趣,并成为一名白帽子,何诣莘告诉《方圆》记者:“少年男孩,总有一颗想成为黑客的心,却苦于不知如何入门,所以最初我并未关注网络安全问题,若不是一次意外,我现在最可能是一名‘码农’。”
何诣莘口中的意外是某天在贴吧里看到某位大牛记录自己的黑客生涯,“他的经历看得我热血沸腾,”何诣莘崇拜地说,“当你看到一个牛人展示他的才华的时候,你就会想变得跟他一样。”然而,他并未经过专业的网络安全知识的学习,“我完全是野路子出身,我是从泡中国红客联盟开始学习安全知识的。”何诣莘说。
然而,如今何诣莘在民间著名漏洞收集平台漏洞盒子上却是小有名气,在排名榜上,他稳定在在二三十名之间,而漏洞盒子有近两万名的注册白帽子。他曾经挖出某航空公司内网、江苏十几家银行的安全漏洞,得到了这些厂商的致谢和不菲的奖励。
张坤成为一名白帽子,完全是靠兴趣。“我在大学的专业是网络工程,但是早在大一的时候,我就对网络安全产生了兴趣。尽管二者都带有‘网络’,但是却是两个不同的领域。”“在兴趣的指引下,我大量地阅读相关书籍,不断地与人切磋交流,不断地尝试挖掘网站安全漏洞,刚开始的时候没有任何收获,直到有一天我挖掘出一个企业的安全漏洞,我才从心里认为自己真正成为了一名白帽子。”
何诣莘等大多数白帽子认为自己一点都不神秘。在他们看来,他们跟普通人并无差别,只是自身兴趣爱好不同而已。
挖掘漏洞进化史:从手动到自动
何为网络安全漏洞?北京邮电大学互联网治理与法律研究中心常务副主任谢永江认为:计算机网络、硬件、软件、服务或者是管理存在弱点,这个弱点能够被别人利用来进行攻击,即为用来实施威胁的落点,就是网络安全漏洞。
那么白帽子是如何挖掘漏洞的呢?
何诣莘告诉《方圆》记者他如何发现的第一个漏洞。那是一个越权漏洞,“我刚开始尝试找漏洞的时候,并没有确定要找哪些厂商的漏洞,只是通过搜索引擎搜索关键字,也就是‘撒网捞鱼’这种模式,通过在使用搜索引擎时的关键字设置(如搜索inurl:user_add.php,就可以查找存在身份验证漏洞的网站),就可能会发现某些未做身份识别验证的页面,可以修改网站首页显示的新闻、图片、管理员信息,可管理数据库,甚至可以拿下网站服务器权限……我在搜索到页面的第二、三页的时候,就发现了这样一个漏洞,当时心里非常激动,仿佛打开了通向新世界的大门,从此一发不可收拾。”
第一个漏洞让何诣莘很欣喜,但是他并不否认这只是最初级的挖掘漏洞的模式。“现在挖掘漏洞,可以针对不同的功能进行手工测试。”张坤补充道。
与何诣莘、张坤靠自学成为白帽子不同,毕业于中北大学信息对抗专业的石涛成为一名白帽子是顺理成章的事情,他是科班出身。他向记者介绍了一种自动的漏洞挖掘模式:白帽子利用自己写的全自动化扫描程序,关注每天最新的厂商未发现的最新漏洞,然后把相应规则添加进自己写的程序,填入域名,就可以自动扫描网站。之后,再把扫描出来的漏洞进行人工验证。“这样的漏洞挖掘模式效率是相当高的,也是很多业内高手的常用手法。”石涛说。
拥有挖掘漏洞能力的白帽子在确定挖掘哪些网站的漏洞时,带有极强的个人色彩。
随着技术的提高,何诣莘在查找漏洞时已经摒弃了“撒网捞鱼”的原始模式,“现在确定挖掘目标,已经不是靠前期的关键字搜索了,有时是定点,比如说买机票的时候就会对航空公司的内网进行一个测试;有时是圈内朋友让帮忙看看某个网站;有时是社会上的一些热点现象涉及的网站;还有时是漏洞平台的一些众测项目。”而他有时一天就发现几个漏洞,有时发现一些大型目标,他会认真研究,那时可能就一两个月都没发现漏洞。
身为某互联网公司开发工程师的石涛在挖掘漏洞时,主要是偏重于互联网企业,“身为一名IT开发工程师,相对于其他企业,我对互联网企业会有更多的关注。”石涛告诉《方圆》记者。
不同于何诣莘和石涛,张坤确定自己的挖掘目标就容易多了,“我主要去一些有SRC(安全应急响应中心)的企业那里找漏洞,或者是一些在漏洞收集平台注册过的企业。”
挖了漏洞给谁
白帽子挖掘出安全漏洞后,怎样处置这些漏洞?事实上,官方与民间有很多漏洞披露平台可供白帽子选择。而选择哪一种,不同的白帽子选择各异。
据国家互联网应急中心运行部副主任、正高级工程师严寒冰介绍:自从2009年以后,多家漏洞平台陆陆续续地成立,这些漏洞报告平台担负着搜集漏洞、处置漏洞相关任务。国家层面成立的漏洞平台有CNVD、CNNNVD;民间漏洞平台有补天平台、乌云网、漏洞盒子等;另外有一些企业成立了自己的安全应急响应中心(SRC),建立了企业与白帽子之间的直接沟通渠道,比如百度、阿里、腾讯、网易、京东等等。
何诣莘挖掘的漏洞大多在漏洞盒子提交,“跟漏洞盒子的人比较熟”是他选择漏洞盒子的最重要的因素,“但是,我还是更喜欢乌云的模式,因为‘白帽子’崇尚共享,而乌云网是一个很好的共享平台,它是很多‘白帽子’学习进步的好地方,在那里可以学习到很多挖掘漏洞的技术和思路,会让人脑洞大开。”
因为张坤主要去一些有SRC的企业挖掘漏洞,所以他挖掘出来的漏洞可以直接提交给企业,相当高效快捷。
石涛挖掘的漏洞主要提交给乌云网,乌云网会给乌云币以及乌云排名成绩作为奖励,利用乌云币可以参看受限的内容,买安全会议的门票,这有利于他的技术的提高。乌云排名更是实力的体现,排名对白帽子是一种荣誉的体现,“排名高在圈子里会受尊重,找工作也能当成能力佐证。”石涛很看重rank值的高低。
白帽子根据自己的喜好选择相应的平台,不同平台的特色亦有不同。与乌云网逐步公开漏洞细节不同,补天漏洞收集平台在漏洞细节的公布策略上较为灵活。补天漏洞收集平台是隶属于360公司的漏洞收集平台。补天负责人告诉《方圆》记者,平台提供公有SRC和私有SRC两种公益的服务模式。公有SRC是漏洞招领模式的互联网安全协作平台,当白帽子上交漏洞后,补天会进行审核,确认后会尝试联系企业,当联系不上时,会在网站上进行漏洞招领,招领时只公布漏洞标题,不会公布细节。企业只要免费注册就能认领漏洞,并得到漏洞的详情和修复建议。而补天私有SRC是为企业提供自建SRC服务的互联网安全协作平台,企业在线充值后可以自助发布漏洞征集公告,白帽子提交的漏洞由360仲裁并被企业确认后,由企业发放奖金给白帽子。
也有企业不重视提交的漏洞
由于经常挖掘安全漏洞,谈及漏洞的危害,何诣莘深有体会:“一些使用开放源代码建立的网站或者网站安全防护设备的漏洞可以用来攻击一批网站。因为这些网站的搭建用的是同样的系统,只是由于界面有定制,所以表面看起来不一样。但是一旦发现这种系统的漏洞,就能影响一批网站,可能导致的危害就是用户信息被盗取,举个例子,如果是金融系统的漏洞的话,就能修改银行或者P2P金融系统中用户金额这样的敏感信息。”
“好在金融系统的安全意识比较强。”何诣莘介绍,他发现银联等企业的漏洞并且提交后,这些企业很快进行了修复,“还对我表示了感谢。”
但是,并非所有的企业面对漏洞的态度都是这么积极,“有时候我们白帽子发现漏洞,告诉企业之后,他们的态度相当不积极,有时甚至可以说对我们有敌意,可能这些企业认为,我们白帽子不发现漏洞、不提交漏洞,他们就可以自欺欺人地认为漏洞不存在,事实上,毫不夸张地说,一旦漏洞被某些居心叵测的人利用,就可能会造成大范围的数据泄露,危害用户的数据安全,严重的可能会造成重大金钱损失。”何诣莘对此很无奈,但是他坦承对此也是“束手无策”。
由于法律上对白帽子的行为尚无明确的界限,为了规避法律风险,他的底线是“不窃取数据、不擅自修复漏洞、不影响网站业务”,他直言:“我从没把自己当成拯救网络风险的英雄,发掘、查找漏洞是我的兴趣所在,但是我绝不会为了某网站用户数据不泄露,而擅自去修复漏洞,因为这样会触犯法律。”
石涛曾经挖掘出花瓣、人人、美团、欧美斯教育等企业的安全漏洞,据他介绍,欧美斯教育的那个安全漏洞危害极大,这个漏洞基本上暴露了公司内部的全部信息,例如公司员工信息、公司高管邮箱,更夸张的是公司高管的内部系统的密码跟邮箱密码是同一个密码,这样公司面临的风险极大,一旦密码被泄露,公司的商业机密很有可能被窃取。而花瓣网的漏洞更为严重,不法分子可以冒充任意用户登录,登录之后,用户在花瓣网上的隐私就全部被窃取。
安全漏洞危害如此之大,挖掘漏洞的白帽子也处于“是否盗窃数据”的质疑中。赵占领认为,白帽子对于网络安全的维护是必不可少的力量。白帽子利用自己的专业技术特长、结合兴趣爱好,主动寻找网站存在的安全漏洞,发现后不是利用漏洞从事破坏活动,或者用于营利等非法目的,而是帮助网站及时发现漏洞、修复漏洞、以防给企业或用户造成严重损失,这对网站具有积极的建设性作用。另外,白帽子与“黑帽子”的界限原本就不是那么清晰,不少白帽子是从“黑帽子”转变而来,国内的漏洞披露平台给白帽子更多获得尊重甚至合法收入的机会,如果没有这种平台或者对白帽子的漏洞检测行为持打击态度,白帽子的价值不被认可,他们就有可能再转做“黑帽子”,这对国内网站的信息安全将构成严重的威胁。再者,不管是否存在白帽子,网站的漏洞都客观存在,白帽子的存在可以帮助网站发现漏洞,及时修复漏洞,没有白帽子,这些漏洞可能不被网站发现而被“黑帽子”发现并恶意利用。
“法律如果能够明确规定‘白帽子’的行为界限,这对我们是好事。这样我们可以确保自己在法律范围内行事,而不必时时面临不确定的风险。”何诣莘如是说。这也是很多白帽子的心声。
漏洞战争:“白帽子”法律之争
文|方圆记者 徐小康 汪文涛
点漏洞提交平台乌云网的主页,出现的是一份“升级公告”,还有一句意味深长的“与其听信谣言,不如相信乌云”。这是个曝光过国内知名技术社区CSDN的600余万用户资料泄露漏洞的网站,最近一条新闻则是注册白帽子ID为ledoo的袁炜因自己发现的漏洞被立案的消息。
袁炜是互联网漏洞报告平台乌云网上的一名白帽子,2015年12月,袁炜检测发现了婚恋交友网站“世纪佳缘”的系统漏洞,并在乌云网上提交了系统漏洞。世纪佳缘也联系了他,并对他表示了感谢。
事件的转折点发生在世纪佳缘以“网站数据被非法窃取”报警之后。警方经调查发现袁炜使用入侵软件获取世纪佳缘网站数据信息,并以涉嫌非法获取计算机信息系统数据罪将其刑事拘留。世纪佳缘网站CEO吴琳光称,事先并不知晓本次网站攻击事件来自袁炜,案件发生后,因进入司法程序,世纪佳缘也只能等待司法机关调查。
“白帽子”袁炜被抓事件发生后,引发公众尤其是程序员们的热烈关注。如何定义白帽子,在进行网络安全测试时要遵循哪些规范,漏洞平台是否有权公布企业安全漏洞等问题也引发法学专家们的讨论。
“目前白帽子的定义很少出现在各国的法律和标准中,一则因为白帽子是最近十几年盛行起来的,二则因为白帽子还属于尚未拥有法律地位的民间技术团体。实践中普遍将白帽子与灰帽子、黑帽子联系在一起,认为白帽子是黑客的一种。与之相近的概念称为道德黑客,即模拟黑客攻击,帮助客户了解自己网络的弱点,并为客户提出改进建议的网络安全专家。”公安部第三研究所、信息网络安全公安部重点实验室二级警督黄道丽副研究员告诉《方圆》记者。
“一般所理解的白帽子不以挖掘漏洞为生,其对各个网站进行安全测试的动机主要是维护网络安全。但是如何在法律上界定白帽子,如何认定挖掘行为的法律性质,如何判断发布漏洞细节的危险性,目前在法律上还处于模糊地带。”北京邮电大学互联网治理与法律研究中心常务副主任谢永江说。
白帽子背后的法律风险
在袁炜案中,获取网站信息成为其被捕的重要原因。世纪佳缘一方委托了一家司法鉴定所对其服务器日志进行鉴定,鉴定意见显示,世纪佳缘网在2015年12月3日17时许至2015年12月4日10时许,被“124.160.67.131”等11个IP地址非法访问,入侵者对网站数据库进行了读取操作,涉及读取操作的数据库数据信息为932条。
在袁炜案引发的讨论中,很多程序员认为白帽子挖掘漏洞涉及读取信息,善意获取不违法。对此,黄道丽表示,“我国刑法规范的是所有未经授权访问计算机信息系统的行为,这些并非直接针对漏洞挖掘行为的规定。任何主体若利用系统安全漏洞实施了入侵行为,均可能触犯刑法规定,都要追责。未经授权侵入计算机信息系统也是各国刑事立法共同打击的行为。”
在认定标准上,黄道丽解释道,根据最高院司法解释,获取网络金融服务的身份认证信息以外的其他身份认证信息五百组就构成刑法所规定的“情节严重”,入侵者面临三年以下有期徒刑或者拘役,并处或者单处罚金。这一量化标准在制定过程中肯定经过了大量的实证检验和研讨论证,规定本身没有问题。有人争议袁炜作为白帽子当中的“新人”多获取了一些数据无可厚非不是法律上定罪应当考虑的因素。
实践中,还存在白帽子使用和黑客相同的软件进行漏洞测试的情况,比如袁炜就使用了一款名为SQLmap的安全测试软件,这个软件自带缓存功能,会自动将测试信息存储到本地的一个隐藏文件夹。
“如果白帽子在挖掘漏洞过程中使用的自动化工具导致获取的数据量触犯刑法,他们应考虑调整功能或使用其他规范化工具。”黄道丽告诉《方圆》记者,实践中,白帽子作为技术人员,对法律知识知之甚少,当前较为迫切的问题是立法规范、引导白帽子,为其创造合适的法律环境。
“当前,并没有法律对挖掘漏洞行为进行具体规范,刑法主要从行为的角度进行规制。在认定白帽子是否善意破解、测试漏洞时,强调结果。因为当事人当时的主观意志无法客观鉴定,既有可能是测试的疏忽,也可能是一念之差,故意留存了数据。”谢永江表示,在法律不明确的情况下,白帽子挖掘漏洞行为本身带有风险,而现有的法律规范倾向于保护企业利益。如果袁炜的行为确实构成了法律规定的获取信息的定罪标准,仍然需要承担相应的法律责任。
目前我国对白帽子善意挖掘漏洞的法律规范并没有形成系统的法律体系,比较零散地体现在一些法律法规以及部门规章里,例如《保守国家秘密法》、《治安管理处罚法》、《刑法》以及还在审议中的《网络安全法》,这些法律并没有明确规定出白帽子的行为边界。黄道丽强调,法律规定不明确导致白帽子行为仍然存在不确定性。但在新法出台前,现有的法律和司法解释规定,应成为白帽子实施挖掘行为必须接受和前置考虑的一个客观要求。
国外白帽子如何免责
实际上国内外都有大量的数据泄露的安全事件发生。只不过一方面知晓漏洞曝光或数据泄露需要用户本身具有一定的技术能力,另一方面,是否采取法律行动则需要相应法律能力和成本。黄道丽表示,目前单纯因为漏洞挖掘被立案的白帽子新闻并不多,但并不表示违反法律的挖掘行为没有或较少发生。如何通过法律规范白帽子行为成为一项值得研究的重要课题。
从各国法律来看,挖掘安全漏洞的行为一般会根据主体与行为动机予以不同的规定。
比如美国早在1998《数字千年版权法》中就规定了安全测试(包括白帽子)的界限:安全漏洞信息的获取和利用仅以保障被测试计算机系统的所有人或运营人的安全为目的。
对于白帽子等团队或个人合法获取的漏洞信息。美国《网络安全法》还规定了未取得厂商授权时的披露规则。首先,披露者应采取适当措施,保护所掌握的漏洞信息;其次,披露时应当去除可以用于识别特定人的信息;第三,不得使用漏洞信息获得不公平的竞争优势。同时,白帽子可以以“善意辩护”豁免挖掘漏洞的法律责任。《网络安全法》也规定,在不违反该法的前提下,基于善意信赖,可豁免于所有的民事和刑事法律。
在漏洞检测和披露问题上,我国的《网络安全法(草案二次审议稿)》则在学者呼吁下增加了第二十五条规定:“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。”黄道丽表示,审议稿为可能涉及民间自发的漏洞挖掘和公布内容的下位法的制定或出台做了铺垫。
单个漏洞最高奖励3万美元
“法律永远滞后于技术发展。”作为中国网络空间安全协会理事之一的谢永江表示,召集专业人士通过行业协会形成白帽子挖掘漏洞、提交漏洞的行业标准更为快捷。行业准则可以制定白帽子的注册标准,规范使用工具,包括对挖掘行为的边界形成行业共识,统一挖掘漏洞的授权规则。黄道丽也认为,需要法律规范的应完善并合理化,具体的技术规范则可以交给市场优化解决。
对比乌云网的对公众强制披露制度、只对厂商内部披露的补天模式以及国家信息安全漏洞共享平台模式,谢永江认为,漏洞平台对公众强制披露漏洞存在着现实和法律风险。首先,公众对漏洞细节不一定了解,遑论采取相对应的防范措施。其次,披露漏洞细节可能引来黑帽子的攻击,加重漏洞的危害。不过,如果厂商在接到漏洞报告后不修复漏洞,导致用户信息因该漏洞泄露。白帽子的漏洞报告就可以成为厂商不履行网络安全管理义务,在用户信息泄露事件上存在过失的证据。用户因此产生的损失就可以索赔。
西安交通大学法学院与360公司曾就白帽子挖掘漏洞的奖励模式进行了专题研究,并发布了《白帽子安全漏洞挖掘风险报告》。当前多种漏洞披露平台具有一定的尝试和探索意义。“从目前国内外漏洞平台的发展阶段看,似乎也不存在一种单一的模式。”参与撰写该报告的黄道丽告诉《方圆》记者。
报告显示,脸书(Facebook)仅在2015年就给210名白帽黑客发放了93.6万美元的漏洞奖励。漏洞赏金计划、漏洞购买计划(VPPs)以及漏洞奖励计划吸引更多白帽子加入安全防护研究,已经成为网络安全领域司空见惯的事情。
在国外漏洞众测平台第一黑客(Hacker One)上,由众测企业向黑客支付发现漏洞的奖励,第一黑客则从企业奖励中抽取20%的费用。第一黑客还向企业提供付费服务模式,如漏洞订阅服务、漏洞披露指导、安全咨询等。目前,第一黑客已帮助500多家企业找出2万多个漏洞,向3200多名独立安全研究员发放了600多万美元的奖励,单个漏洞奖励最多达到3万美元。
从国际实践来看,相比目前我国企业较低的漏洞奖励金额,黑市交易的高额回报显然更具诱惑力,这也是黑市产业链形成和发展的关键因素。黄道丽表示,“白帽子是一群崇尚自由的群体,凭借自身对技术的追求或对网络安全的维护之心等挖掘漏洞,期望从中实现不同的价值,所以白帽子不会因为商业化消失。因此,建立长效高额的安全漏洞奖励机制是支持和鼓励白帽子的最佳方式。”
漏洞信息或成战略资源
《中国互联网站发展状况及其安全报告(2016)》显示:截至2015年12月底,中国网站总量达到426.7万余个;而由于各种各样安全漏洞的存在,网站面临着黑客以瘫痪目标业务系统、窃取用户有价值信息等为主要目的的攻击威胁,公共互联网环境仍面临较为严峻的安全态势。
“信息技术的迅速发展促使了计算规模的膨胀,增加了个人、企业乃至社会和国家对网络安全的需求。‘黑帽子’、‘灰帽子’等利用漏洞进行攻击的事件层出不穷,且手段愈发多样化和高明,网络风险的泛在性使得安全成为普遍性的问题,白帽子因其道德和伦理偏向成为企业甚至政府机构获取漏洞、升级系统的重要途径,在维护信息系统方面的作用不可替代。
据国家互联网应急中心运行部副主任严寒冰也表示,2009年以后,多家漏洞报告平台的陆续成立,如补天平台、乌云网、漏洞盒子,白帽子发现并上报漏洞已经成为整个漏洞发现处置体系中的重要环节。
网络安全漏洞不仅仅关系到企业和个人的信息安全,甚至涉及国家安全。发达国家早已”把漏洞信息当做一种战略资源“,谢永江表示。
比如2013年,世界主要工业设备和武器制造国在常规武器及其民用技术协定《瓦森纳协定》中规定零日(0day)漏洞也属于危险武器出口条约的规范对象。不仅漏洞信息本身禁止用于犯罪或出口至”专制政权“,相应的用于入侵计算机系统的软件、硬件设备和组件也享受同等限制。
2015年5月20日,美国工业与安全局发布一份《瓦森纳协定》的落实草案,就规定禁止在不同的国家之间互通漏洞信息。据此,美国企业或个人向境外厂商报告漏洞情况是一种出口行为,需预先申请政府许可,否则将被视为非法。
“漏洞信息本身具有一定的应用价值,我认为可以在国家层面成立漏洞信息库,收购企业、包括白帽子在内的个人发现的漏洞。当前,在网络战争日益成为现实的情况下,未雨绸缪,做好技术储备工作。”谢永江建议。
漏洞信息的挖掘与保护也得到了我国政府的关注。“建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制把企业掌握的大量网络安全信息用起来”。国家主席在网络安全和信息化工作座谈会上表示。漏洞发现也被写入我国《国家信息化发展战略纲要》,作为提升全天候全方位感知网络安全态势能力的一部分。谢永江表示,目前中国网络空间安全协会也正在筹建中,将来也会成立分会对包括白帽子问题、安全漏洞的法律定位进行专门研究。
关注读览天下微信,
100万篇深度好文,
等你来看……