乌云网无法访问之后,来探讨下漏洞测试的法律边界在哪里?洞见
这些企业与白帽子的合作,实质上是借助整个互联网上这些技术人员的力量促使企业更安全的进步。但中国众多厂商更希望可以出台明确的规范,白帽子在帮助厂商提高安全能力外,尽量避免触碰用户数据。
今日凌晨,中国最大漏洞报告平台乌云网突然无法访问。
而微博实名大V“互联网那些事”则爆料称乌云网被连锅端,高层被全部带走。此爆料一出,再加上官方页面也确实存在无法访问问题,使得不少用户担心担心其存在涉及敏感信息的问题导致被关停。
但不久后,乌云网站挂出公告称,乌云及相关服务将升级,并称将在最短时间内回归,并劝告众多不明真相的用户,不要相信谣言。
巧合的是,另外一家白帽子社区漏洞盒子也发表声明,称将对互联网漏洞与威胁情报项目中的流程制度、规范等进行梳理,目前将暂停接受互联网漏洞与威胁情报。
而备受关注的白帽子则指的是正面的黑客,他们可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。
网页无法访问与“袁炜事件”有关联?
在互联网繁荣的时代下,网络安全一直是我们极其关注的话题之一。以乌云、漏洞盒子为代表的白帽子社区均是国家信息安全漏洞共享平台的合作方。而漏洞盒子更是打着由国家计算机网络应急技术处理协调中心,联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库的牌子。
作为白帽子社区,一直都是以找出漏洞,完善互联网安全为宗旨。因此乌云在自家网站当中多次公开互联网厂商漏洞,比如如家酒店等开房信息泄露、13万条铁路售票网站网站12306用户数据泄露、腾讯7000万QQ群用户数据泄露等一系列曾经轰动社会的泄漏事件,均最早在乌云网上由白帽子报告并引起平台方的重视。
最近又有关于30多省市艾滋患者实名信息疑泄露的事件,据悉,乌云网在今年5月就有一条关于“北京疾控中心管理系统命令执行(大量敏感信息泄露/各大医院)”的报告。
对于白帽子社区找到的网络安全漏洞,有的厂商并不是很买单。
例如在在去年,乌云公开了世纪佳缘网站存在的严重会员信息漏洞。但世纪佳缘在修复之后报警,称“有4000余条实名注册信息被不法窃取”,报告者袁炜随即被相关部门以涉嫌“非法获取计算机系统数据犯罪”逮捕。
一时之间世纪佳缘成为众多白帽子攻击的目标,也有网友认为世纪佳缘颇有一种恩将仇报的感觉。
但是对此世纪佳缘解释到,他们的安全团队一直在分析漏洞攻击者的行为是否恶意。他们认为,涉及到900多条有效数据被获取,已经完全超过了常规白帽子测试的范围,通常情况下,白帽子只需要获取少量数据甚至不获取数据都能够证明网站的漏洞,在无法百分百确定获取者意图的情况下,为了保护信息安全,公司最终还是决定报警。
而在选择报警之前,因为存在来自国内不同地区IP地址的攻击,世纪佳缘并未将漏洞提交者和事发当晚的其他攻击者联系到一起。
通过“袁炜事件”,很多白帽子也第一次知道了一个临界点。按照我国法律规定,构成非法侵入计算机信息系统罪的认定标准中,有一条是获取身份认证信息500组以上。从这一标准来看,袁炜获取了超过900条有效数据,或许是检方批捕袁炜的主要原因。
在不久前的第四届网络安全大会上,袁炜的父亲发出公开信为儿子鸣冤,让袁炜的遭遇成为网络安全圈的热门事件,也引起了外界对于白帽子社区、群体的关注,引发了关于“白帽子”黑客行为边界的大讨论。
白帽子的法律边界在哪里
目前关于白帽子法律界限的看法业内不尽相同,争议时起。包括在上周五举行的乌云白帽大会上,来自法律、安全、公安、互联网公司、电子取证、漏洞收集平台、白帽子、媒体等8位不同领域的专家也对此各持己见,同时也关于世纪佳缘事件涉及的相关法律问题进行了深入探讨。
白帽子在漏洞测试时,需要涉及到其法律的边界在哪里?对此赵占领律师在会议上进行详细的解释,称这可能涉及到刑法的几个罪名。
1.非法侵入计算机系统罪。这个是有要求的,被入侵对象必须是国家事务或国防系统。但一般情况下,如果不是政府网站的话,这个白帽子一般不会涉及。
2.非法获取计算机信息数据罪。这个罪名成立需要条件,即必须要有入侵,通过其他方法获取数据,而且情节严重。
这个“情节严重”也是有具体规定,包括几种情况,一种是金融机构的金融身份认证信息,是在十组以上,其他的身份认证信息是在500组以上;或者是非法控制计算机系统,这个前提是要有控制行为存在,20台以上;还有一个是造成经济损失的,具体有一个数额。
3.破坏计算机信息系统罪。即对于计算机的程序有增加、删除、修改、干扰,或者是对数据有相应的删除行为。
4.使用或者传播计算机病毒等破坏性程序,并造成影响。
因此,律师将此前的“袁炜事件”定性为非法获取计算机信息系统数据。同时他告诫一些白帽子们,如果从规避自身风险的角度来讲尽量不要触碰一些身份认证信息,所谓身份认证信息,包括帐号、密码、口令、数字证书等。
另外,就是很多检测工具在检测过程中,可能会涉及到自动缓存数据的问题。或许有的白帽子并不愿意获取这个数据,但是检测过程中,工具有可能把数据存储在电脑上。这个情况下,它属不属于非法获取数据,现在也没有类似的案例可以参考,也不确定目前公安部门和司法机构的态度和做法。
乌云创始人方小顿在关于漏洞披露的问题上,提出了一个关键词:用户意愿。他表示当外界和业内人士在探讨漏洞时,却忽略了最重要的用户的意愿和态度。用户对自己数据的安全性是否要有知情权?要如何更好的保护好用户的数据?相比于企业,用户往往是弱势的。
他表示希望国家可以出台明确的法律,而这些相关法律能更多考虑到企业考虑到企业的用户,甚至考虑到白帽子这个群体本身。
中科院软件研究所研究员,中国电子学会计算机取证专委会主任委员,公安部三局特聘专家丁丽萍直言称,大量数据泄露,会造成国家财产,人民利益的损失,建议乌云跟法律授权的机构提供合作,可以提供关于漏洞披露的建议。乌云可以获得合法授权来做披露之后,公安部也应有一个信息披露中心,双方可以在漏洞披露上达成双赢。
白帽子被看做是游走在黑客和正义之间的特殊职业,对于这个职业的合法性也是争议不止。
腾讯玄武实验室负责人于旸向我们展现了一个事实,即不管是中国,还是外国,很多的公司都建立了自己的漏洞奖励计划,鼓励大家对自己的网站做安全测试,而且还会给予一定的奖金。Facebook、AT&T公司,甚至是一些传统的企业也都推出漏洞奖励计划。
到了今天全世界对于漏洞披露都有一个共识,那就是“要披露”,尤其在美国是非常清晰的,他们认为漏洞披露是言论自由一部分,受宪法的修正案保护,从法律角度,无论什么时候、怎么披露都是合法的。
这些企业与白帽子的合作,实质上是借助整个互联网上这些技术人员的力量促使企业更安全的进步。但中国众多厂商更希望可以出台明确的规范,白帽子在帮助厂商提高安全能力外,尽量避免触碰用户数据。
白帽子因为职业的特殊性,一直游走在法律的边界。不可否认的是,这些白帽子们的出现确实帮助了很多企业弥补了很多系统漏洞。但是漏洞披露机制给整个行业带来的价值,对全社会安全意识的影响,是利大于弊还是弊大于利,每个行业每个人都有不同的答案,希望这样的群体可以在正确的道路上越走越远。
来源:钛媒体
1.砍柴网遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.砍柴网的原创文章,请转载时务必注明文章作者和"来源:砍柴网",不尊重原创的行为砍柴网或将追究责任;3.作者投稿可能会经砍柴网编辑修改或补充。