6月下旬,第四屆中國(guó)網(wǎng)絡(luò)安全大會(huì)在北京舉行。其間,一封來自某白帽黑客父親的公開信意外在網(wǎng)絡(luò)信息安全圈內(nèi)外掀起不小波瀾。 白帽黑客與黑帽黑客相對(duì),指正面的黑客。他們能識(shí)別出計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)中的漏洞,將其公布給廠商修復(fù),以免黑帽黑客從中盜取信息
6月下旬,第四屆中國(guó)網(wǎng)絡(luò)安全大會(huì)在北京舉行。其間,一封來自某“白帽黑客”父親的公開信意外在網(wǎng)絡(luò)信息安全圈內(nèi)外掀起不小波瀾。
“白帽黑客”與“黑帽黑客”相對(duì),指正面的黑客。他們能識(shí)別出計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)中的漏洞,將其公布給廠商修復(fù),以免“黑帽黑客”從中盜取信息、牟利。
公開信作者、浙江杭州的袁先生稱,其子袁某就是一名“白帽黑客”。2015年12月4日,袁某使用第三方漏洞報(bào)告平臺(tái)烏云網(wǎng)賬號(hào)提交了一份關(guān)于世紀(jì)佳緣網(wǎng)的漏洞報(bào)告,隨后,世紀(jì)佳緣確認(rèn)并修復(fù)了該漏洞,并致謝烏云網(wǎng)及袁某。
4個(gè)月后,北京警方卻以涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)將袁某刑事拘留。
石家莊網(wǎng)絡(luò)優(yōu)化獲悉原來,世紀(jì)佳緣網(wǎng)今年1月報(bào)警稱有4000余條實(shí)名注冊(cè)信息被竊取。目前案件處于審查階段,未有結(jié)論。袁先生在公開信中稱,其子檢測(cè)漏洞并無意圖或主動(dòng)下載數(shù)據(jù)。
“白帽黑客”檢測(cè)漏洞是否構(gòu)成犯罪?有業(yè)內(nèi)專家指,維護(hù)網(wǎng)絡(luò)安全的“白帽黑客”群體實(shí)則游走在法律的邊緣地帶。
妻子:漏洞檢測(cè)為維護(hù)安全
6月26日,南都記者聯(lián)系到袁某妻子戴女士,她表示公開信內(nèi)容客觀真實(shí)。她回憶,被警方帶走前丈夫曾兩次提起世紀(jì)佳緣網(wǎng)的漏洞。
南都記者調(diào)查發(fā)現(xiàn),袁某的烏云網(wǎng)賬號(hào)“ledoo”注冊(cè)于2015年10月19日,共提交11份不同網(wǎng)站的漏洞報(bào)告,其中,**提交的世紀(jì)佳緣漏洞報(bào)告時(shí)間是2015年12月4日。
戴女士稱,提交完報(bào)告一段時(shí)間后,世紀(jì)佳緣曾通過烏云網(wǎng)聯(lián)系袁某,說要饋贈(zèng)禮物表達(dá)感謝,戴女士表示丈夫并沒有收下禮物。她介紹,袁某熱愛網(wǎng)絡(luò)安全領(lǐng)域,經(jīng)常看書鉆研到深夜,絕非貪圖禮物。
“怎么會(huì)出事呢?”戴女士認(rèn)為,丈夫做“白帽黑客”以來一直未出現(xiàn)問題,提交漏洞報(bào)告也是為幫助世紀(jì)佳緣網(wǎng)維護(hù)安全。不解的戴女士聯(lián)系世紀(jì)佳緣網(wǎng)詢問,對(duì)方的回應(yīng)是袁某或與該網(wǎng)站資料泄露事件有關(guān)。對(duì)于世紀(jì)佳緣公司的報(bào)案,戴女士稱:“感覺就像被背叛,太冤屈了。”
自3月8日袁某被警方帶走后,袁某家屬至今未能與其見面。如今,該案已進(jìn)入檢方審查階段。
世紀(jì)佳緣CEO:撰文否認(rèn)“釣魚”一說
目前“白帽黑客”提交漏洞的途徑主要有兩種:一是通過烏云網(wǎng)、360補(bǔ)天平臺(tái)等漏洞平臺(tái);二是通過各廠商自己設(shè)立的安全應(yīng)急響應(yīng)中心。不過,國(guó)內(nèi)廠商對(duì)網(wǎng)絡(luò)安全的重視程度不一,也并非每家廠商都設(shè)有安全應(yīng)急響應(yīng)中心,仍有不少“白帽黑客”通過漏洞平臺(tái)提交報(bào)告。
作為業(yè)內(nèi)知名的第三方漏洞平臺(tái),烏云網(wǎng)擁有注冊(cè)的“白帽黑客”上萬人。此外,第三方漏洞平臺(tái)和各企業(yè)也存在合作關(guān)系。本案涉及的世紀(jì)佳緣2012年就與烏云網(wǎng)建立了合作關(guān)系。
公開信引發(fā)的討論不斷發(fā)酵,但世紀(jì)佳緣官方卻一直沒回應(yīng)。直到6月29日,世紀(jì)佳緣首席執(zhí)行官(CEO)吳琳光在某論壇發(fā)文回應(yīng)此事。但他表示因案件尚在公訴期間,文章內(nèi)容僅代表個(gè)人觀點(diǎn)。
吳琳光稱,2015年12月3日晚,公司安全人員發(fā)現(xiàn)有多個(gè)IP地址對(duì)其網(wǎng)站進(jìn)行SQ L注入攻擊(注:SQ L注入攻擊是黑客對(duì)數(shù)據(jù)庫進(jìn)行攻擊的常用手段之一)。隨后,安全人員通過技術(shù)手段阻斷了部分攻擊。次日,烏云網(wǎng)通知世紀(jì)佳緣其網(wǎng)站存在漏洞。該輪攻擊持續(xù)到12月4日晚上,直至安全人員將其完全修復(fù)。事后,世紀(jì)佳緣方面統(tǒng)計(jì)發(fā)現(xiàn),攻擊總次數(shù)累計(jì)4000余次,共有900多條有效數(shù)據(jù)被攻擊者獲取。“出于對(duì)用戶數(shù)據(jù)和信息安全的擔(dān)憂,我們還是選擇了報(bào)警。”吳琳光稱。
吳琳光否認(rèn)了“釣魚”一說。他表示,在警方披露調(diào)查結(jié)果前,世紀(jì)佳緣并不知道提交漏洞的“白帽子”和攻擊者是否同一人,“報(bào)警不針對(duì)任何個(gè)人或群體,公司也沒有聯(lián)系過袁某”。
IT法律律師:道義和法律不沖突
不過,吳琳光的回應(yīng)并沒能平息網(wǎng)絡(luò)安全圈內(nèi)的爭(zhēng)論。南都記者了解到,早在袁案發(fā)生之前,圈內(nèi)已有對(duì)此話題的激烈爭(zhēng)論。
“白帽黑客”自行檢測(cè)行為,應(yīng)該“講道義”還是“講法律”?多名互聯(lián)網(wǎng)法律方面的律師向南都記者表示,相關(guān)法律對(duì)于“白帽黑客”群體留有空間。中國(guó)電子商務(wù)協(xié)會(huì)政策法律委員會(huì)委員、互聯(lián)網(wǎng)法律專家于國(guó)富介紹,我國(guó)刑法對(duì)于“非法侵入”行為構(gòu)成犯罪規(guī)定了非常窄的范圍,侵入“**事務(wù)、國(guó)防建設(shè)、**科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)”等特定信息系統(tǒng)的才會(huì)成立。
對(duì)于普通的廠商計(jì)算機(jī)信息系統(tǒng),僅僅實(shí)施了侵入行為,沒有破壞、控制、竊取數(shù)據(jù)等造成嚴(yán)重后果行為,不構(gòu)成犯罪。這意味著,“白帽黑客”在檢測(cè)漏洞時(shí),只要不觸碰系統(tǒng)數(shù)據(jù),在發(fā)現(xiàn)漏洞后立即提交報(bào)告給廠商,就不涉及犯罪。“法律這一方面在尺度設(shè)計(jì)上是合理的,也給善意的‘白帽黑客’以一定的發(fā)揮能力和實(shí)施公益的空間。”于國(guó)富說。
游走在鋼絲上的“白帽黑客”
法律給“白帽黑客”的行動(dòng)劃定了紅線,但在現(xiàn)實(shí)中突破紅線的現(xiàn)象卻并不少見。一名從事網(wǎng)絡(luò)安全10余年的專家介紹,部分“白帽黑客”不止于發(fā)現(xiàn)漏洞,有時(shí)會(huì)通過漏洞進(jìn)入系統(tǒng)越界操作,隨后向廠商提交漏洞報(bào)告,自稱“白帽黑客”———這在圈內(nèi)被戲稱為“洗白”。
值得注意的是,這種“洗白”并無法律依據(jù)。于國(guó)富介紹,在犯罪行為后實(shí)施補(bǔ)救措施并不影響犯罪性質(zhì),而是否追究責(zé)任取決于企業(yè)的決策。
南都記者注意到,吳琳光在個(gè)人回應(yīng)中提到,袁某在檢測(cè)漏洞時(shí)使用的sqlmap是網(wǎng)絡(luò)黑客工具。據(jù)一名網(wǎng)絡(luò)安全從業(yè)人員介紹,sqlmap是安全圈內(nèi)常用的工具之一,它會(huì)自動(dòng)將測(cè)試信息存儲(chǔ)到本地的一個(gè)隱藏文件夾,其中也包括一些敏感信息。另一名業(yè)內(nèi)人士則透露,一直以來網(wǎng)絡(luò)信息安全圈內(nèi)并沒有對(duì)安全工具和黑客工具加以區(qū)分,“其實(shí)是一套”。
根據(jù)《**人民法院、**人民檢察院關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》,獲取網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息10組以上,或其它身份認(rèn)證信息500組以上的,認(rèn)定為非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)。
這意味著,“白帽黑客”在使用諸如sqlm ap一類具有緩存功能的安全測(cè)試工具時(shí),可能不經(jīng)意間就將自己置于法律風(fēng)險(xiǎn)中。
|