白帽黑客的太陽(yáng)何時(shí)升起?
今年4月12日,“白帽子”袁煒因涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)犯罪批捕,隨后其父親的一封公開(kāi)信引起了軒然大波。在信中,這名父親提出了一個(gè)令業(yè)內(nèi)人士都感到難以解答的問(wèn)題:“白帽子檢測(cè)漏洞到底是不是犯罪?”
這封信發(fā)布后的不到一個(gè)月的時(shí)間,7月20日,袁煒上傳漏洞的平臺(tái)“烏云”(WooYu)突然無(wú)法訪問(wèn)。網(wǎng)站公告稱,烏云及相關(guān)服務(wù)將升級(jí),并將在最短的時(shí)間內(nèi)以最好的姿態(tài)回歸。
另外,網(wǎng)傳烏云和包括創(chuàng)始人方小頓在內(nèi)的烏云網(wǎng)數(shù)名團(tuán)隊(duì)成員7月19日被警方帶走。
與此同時(shí),另外一個(gè)業(yè)內(nèi)知名的互聯(lián)網(wǎng)那個(gè)測(cè)試平臺(tái)漏洞盒子發(fā)布升級(jí)公告稱管理團(tuán)隊(duì)對(duì)其網(wǎng)站進(jìn)行例行維護(hù)。維護(hù)期間,暫停互聯(lián)網(wǎng)漏洞與威脅情報(bào)接收。
從“停服”開(kāi)始截至今天剛好一個(gè)月的時(shí)間,烏云仍然“升級(jí)中”,而漏洞盒子已經(jīng)恢復(fù)正常。
雖然還不知道烏云網(wǎng)出事的確切原因,但是與袁煒事件有關(guān)是業(yè)內(nèi)人士討論最多的一種說(shuō)法。在袁煒被抓后,烏云平臺(tái)成為了白帽子宣泄“憤怒”的地方,一連幾天袁煒?biāo)e報(bào)的網(wǎng)站又有多個(gè)漏洞被公布在烏云上。但也有人持有其他觀點(diǎn),比如懷疑可能是由于烏云平臺(tái)上的白帽測(cè)試了相關(guān)政府部門的網(wǎng)絡(luò)系統(tǒng),而平臺(tái)遭到牽連。
漏洞披露機(jī)制存疑
按照此前烏云的流程,在漏洞被提交至平臺(tái)后,一般10天向核心白帽子公開(kāi)其漏洞細(xì)節(jié),20天向普通白帽子公開(kāi),30天向?qū)嵙?xí)白帽子公開(kāi)。直到45天之后,企業(yè)仍未主動(dòng)認(rèn)領(lǐng)漏洞,則會(huì)向公眾公開(kāi)其細(xì)節(jié)。
相比烏云上白帽子主動(dòng)提交漏洞的做法,漏洞盒子的機(jī)制是讓廠商主動(dòng)提交項(xiàng)目要求白帽子尋找bug:“為了保護(hù)廠商,互聯(lián)網(wǎng)漏洞報(bào)告不向漏洞盒子外部用戶公開(kāi),但保留對(duì)關(guān)系民生、影響大眾的安全問(wèn)題進(jìn)行披露的權(quán)利。我們建議廠商可以在我們建議的時(shí)間范圍修復(fù)漏洞。”
而360旗下與烏云、漏洞盒子齊名的補(bǔ)天平臺(tái)上,白帽子提交了漏洞報(bào)告后,即使企業(yè)不認(rèn)領(lǐng),補(bǔ)天也不會(huì)主動(dòng)公開(kāi)。在周鴻祎看來(lái),這是因?yàn)檠a(bǔ)天“并不利用漏洞去牟利”的緣故。
今年7月9日的時(shí)候,在烏云白帽大會(huì)上,方小頓仍然對(duì)漏洞披露堅(jiān)信不疑:“相較于企業(yè),用戶往往是弱勢(shì)的。而烏云一個(gè)更重要的使命就是去做一個(gè)生態(tài),從白帽子、企業(yè)、用戶三方的角度考慮,最后漏洞一定會(huì)公開(kāi),但相信這一切是在法律框架內(nèi)。”但他也表示,如果企業(yè)有困難,烏云也會(huì)協(xié)助解決,防止造成損失。
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部副主任、正高級(jí)工程師嚴(yán)寒冰說(shuō),CNVD(國(guó)家信息安全漏洞共享平臺(tái))在看到補(bǔ)天和烏云平臺(tái)有一些不適合的披露時(shí)候,會(huì)建議其進(jìn)行修改,避免一些安全風(fēng)險(xiǎn)。
北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心常務(wù)副主任謝永江認(rèn)為漏洞要經(jīng)過(guò)處置以后才能公開(kāi)。另外設(shè)施單位要主動(dòng)響應(yīng)白帽子漏洞平臺(tái),披露一些漏洞相關(guān)情況,
目前來(lái)說(shuō)對(duì)于漏洞披露我國(guó)法律還未有限制性的規(guī)定,但是可不可以披露,披露到什么細(xì)節(jié),或者到什么程度,都是可以繼續(xù)探討的問(wèn)題。
公布漏洞應(yīng)該獲得獎(jiǎng)勵(lì)嗎?
目前來(lái)講,在國(guó)內(nèi)幾家主流的漏洞提交平臺(tái)上,白帽子提交漏洞都會(huì)得到一定的獎(jiǎng)勵(lì)。根據(jù)業(yè)內(nèi)人士的說(shuō)法,360補(bǔ)天平臺(tái)上的獎(jiǎng)勵(lì)普遍要高一些,而烏云等網(wǎng)站的稍低——獎(jiǎng)勵(lì)全憑廠商,有人將金額戲稱為“若干元”。
除了接受廠商的委托進(jìn)行安全測(cè)試外,平臺(tái)本身是“不接受廠商獎(jiǎng)勵(lì)”的。周鴻祎認(rèn)為,接受獎(jiǎng)勵(lì)畢竟有“瓜田李下”之嫌,這種行為和“敲詐”的界限并沒(méi)有那么清晰。
事實(shí)上,白帽子對(duì)于整個(gè)安全行業(yè)非常重要,谷歌、微軟、蘋(píng)果、特斯拉等世界知名科技企業(yè)都推出了提供獎(jiǎng)金鼓勵(lì)第三方白帽子協(xié)助自己挖掘漏洞的響應(yīng)行動(dòng)。“最近美國(guó)五角大樓也邀請(qǐng)全世界的黑客去攻擊五角大樓,通過(guò)這種方式來(lái)收集自己的系統(tǒng)漏洞和黑客攻擊方法,以更好地完善自己的系統(tǒng)安全。”周鴻祎也介紹了國(guó)外的一些獎(jiǎng)勵(lì)行為。
“發(fā)現(xiàn)系統(tǒng)漏洞是屬于個(gè)人的責(zé)任,就像是海洋學(xué)家發(fā)現(xiàn)洋流走向一樣。白帽子黑客正在保護(hù)這個(gè)世界,理應(yīng)得到應(yīng)有的尊重,但是通過(guò)這種發(fā)現(xiàn)得到賞金是錯(cuò)誤的,不道德的,不能長(zhǎng)期這樣。”McAfee在ISC(中國(guó)互聯(lián)網(wǎng)安全大會(huì))上接受鳳凰科技采訪時(shí)說(shuō)道。
公安部三所網(wǎng)絡(luò)安全法的研究中心主任黃道麗告訴鳳凰科技,企業(yè)和白帽子之間持有不同利益,白帽子發(fā)現(xiàn)的漏洞又兼?zhèn)渥陨碣Y源和攻擊雙重屬性。在這種復(fù)雜態(tài)勢(shì)下,第三方協(xié)調(diào)漏洞挖掘和報(bào)告行為,確保雙方之間能力差異和利益沖突不會(huì)防害提升網(wǎng)絡(luò)安全總體目標(biāo)。
但是無(wú)論如何,公布漏洞以求獲得獎(jiǎng)勵(lì)仍然面臨道德上的困境。謝永江認(rèn)為,白帽子獲取的漏洞可以幫助企業(yè)避免損失,這就可以將其當(dāng)成是一種商業(yè)秘密來(lái)采取合理措施保護(hù)起來(lái),并享有一定權(quán)利。但是具體構(gòu)成何種權(quán)利,尚有待商榷。
不明朗的法規(guī)
安全漏洞法律屬性不明晰,行為邊界不明確,法律意識(shí)淡薄,都在不斷加劇白帽子和漏洞平臺(tái)目前所面臨的困境。
有關(guān)我國(guó)的白帽子法律條款沒(méi)有形成系統(tǒng)法律體系,唯一明確的就是現(xiàn)有刑法現(xiàn)有的刑法里面對(duì)于非授權(quán)訪問(wèn)做了明確禁止,業(yè)內(nèi)人士認(rèn)為這可能也是對(duì)于網(wǎng)絡(luò)漏洞挖掘的禁止性規(guī)定。
綜合國(guó)外對(duì)安全漏洞挖掘的立法規(guī)定,黃道麗將國(guó)外漏洞挖掘的法規(guī)特點(diǎn)概括為了四點(diǎn)。第一,關(guān)鍵基礎(chǔ)設(shè)施漏洞挖掘的絕對(duì)禁止。第二,對(duì)漏洞挖掘授權(quán)做出明確解釋。第三,在特殊目的下,給予一定程度的豁免。第四,注重對(duì)白帽子身份的認(rèn)可和招募。
西安交通大學(xué)信息安全法律研究中心和360法律研究院合作研究、聯(lián)合發(fā)布的《“白帽子”安全漏洞挖掘法律風(fēng)險(xiǎn)分析報(bào)告》對(duì)我國(guó)相關(guān)立法提出了五大的法律建議。第一是對(duì)關(guān)鍵基礎(chǔ)設(shè)施內(nèi)涵和外延給予界定,第二對(duì)白帽子身份以及政策平臺(tái)在法律上可能的法律地位給予一定確定。第三要明確白帽子的權(quán)利和義務(wù)規(guī)范。第四,資質(zhì)合理審慎。第五,根據(jù)白帽子某些行為預(yù)期,為漏洞挖掘提供一些豁免條件。
隨著萬(wàn)物互聯(lián)的時(shí)代到來(lái),網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也隨之百倍放大。白帽子在安全防御體系中起著不可替代的作用,通過(guò)法律政策將白帽子和平臺(tái)以適當(dāng)衡量標(biāo)準(zhǔn)納入到安全產(chǎn)業(yè)當(dāng)中,確實(shí)給予合法地位,也是對(duì)抗未知風(fēng)險(xiǎn)的現(xiàn)實(shí)要求。相信隨著進(jìn)一步完善基礎(chǔ)法律措施建設(shè),“袁煒案”式的爭(zhēng)執(zhí)將會(huì)徹底消失。