網絡安全"白帽子"：不為賺錢 "黑"化只在一念間

　　原標題：網絡安全"白帽子"：不為賺錢 "黑"化只在一念間

　　通常理解下，“白帽子”是發現互聯網企業安全漏洞，反饋給企業而不惡意利用的人。

　　“白帽子”可以幫助發現安全漏洞，幫助互聯網企業完善安全體系。不過，如果“白帽子”對用戶的數據産生侵犯，就可能觸碰互聯網企業的底線。

　　一些“白帽子”對法律不了解，不知道行為界限在哪；另一些“白帽子”了解法律，但管不住自己的好奇心，他們獲得數據並不是出於違法目的，而是自律出了問題。

　　近日，多起精準詐騙連續受到公眾關注，人們的注意力轉向個人信息安全保護。在互聯網上有這樣三個主體，他們共同的關注點是互聯網安全，他們既是“同盟”又保留著一定程度的戒備，他們是“白帽子”、漏洞披露平臺和互聯網企業。

　　8月15日至21日國家信息安全漏洞共享平臺發佈信息安全漏洞週報——互聯網漏洞披露平臺、互聯網安全眾測平臺及其他個人“白帽子”，共向國家信息安全漏洞共享平臺提交了36個以事件型漏洞為主的原創漏洞。而此前一週，這一數量更高達1568個。

　　儘管三方正共同對維護互聯網信息安全作出努力，但圍繞“白帽子”，仍存在一些爭議。如何解決圍繞“白帽子”的爭議，促進“白帽子”、漏洞披露平臺與企業在互聯網安全領域的合作？記者就此採訪了互聯網安全業內人士和互聯網法律專家。

　　“白帽子”是群怎樣的人

　　“白帽子”是什麼樣的人？互聯網法律專家告訴記者，法律上並沒有“白帽子”這個概念。

　　“這個稱謂是一個行業——網絡安全為主的安全行業，對從業人員以及安全技術愛好者的一個稱呼。”互聯網法律專家趙佔領告訴記者，即便在行業內，“白帽子”也沒有嚴格的概念。通常理解下，“白帽子”是發現互聯網企業安全漏洞，反饋給企業而不惡意利用的人。

　　“‘白帽子’對網絡安全技術提升有建設性作用。”趙佔領這樣認為。

　　“能而不欲的人。”這是中國政法大學副教授朱巍對“白帽子”的形容。他認為，“白帽子”雖然有破壞網絡或利用獲得的信息賺錢的能力，但他們不做這樣的事情。“白帽子”挖掘安全漏洞是為了堵住漏洞，或者單純地為了“炫技”。

　　誰戴著“白帽子”？朱巍告訴記者，互聯網上活躍著大量的“白帽子”，他們有可能在政府部門、互聯網技術企業、科研院校等單位工作。

　　“互聯網安全是一種動態的平衡。”朱巍説，技術每時每刻都在進步，今天是安全的，明天可能就不再安全。“‘白帽子’的存在是件好事。‘白帽子’發現漏洞並把漏洞展現出來，起到了預警效果”。

　　江蘇公安機關網絡安全部門童姓民警説，目前，在WEB安全領域的“白帽子”比較多，原因是WEB安全領域入門比其他領域相對低一些，教材容易獲得，測試環境也容易接觸到。當然，在WEB安全領域存在的問題也更多一些。

　　記者了解到，除了關注WEB安全領域的“白帽子”之外，還有一些“白帽子”會將注意力放在硬體安全或作業系統安全等方面。

　　“黑”與“白”在一念之間

　　既然“白帽子”是做好事的好人，為何引發關注和爭議？記者了解到，“白帽子”與“駭客”的區別往往就在一念之差；並且，即使“白帽子”是善意的漏洞挖掘，也可能給企業帶來困擾。

　　“本公司求賢，年薪百萬……”2016年7月，在一場“白帽子”交流大會上，一塊大螢幕顯示著參會者發佈的彈幕。

　　“相比‘白帽子’的能力而言，年薪百萬真的不算多。”參會的“白帽子”張某告訴記者，他們若是做“駭客”，那些技術帶來的利益可能會是上千萬元。

　　“與‘白帽子’相對應的是‘黑帽子’‘駭客’。”趙佔領説，“駭客”發現安全漏洞後，利用漏洞從事破壞活動或非法謀取利益(行業內也稱為“做黑産”——記者注)。

　　在朱巍看來，“駭客”與“白帽子”的行為看起來有相似性，但目的卻截然相反。“駭客”的目的是為了賺錢，或是為了破壞網絡安全。

　　某互聯網企業安全部門負責人陳某，在多年前也是一個“白帽子”。他告訴記者，當時還沒有“白帽子”“黑帽子”的説法，他喜歡研究互聯網安全技術，發現了互聯網企業的一些安全問題，當時沒有什麼途徑通知廠商，只好自己想辦法聯繫。他看到通訊錄後，聯繫了對方公司的CEO。從那之後，他進入了互聯網安全這個行業。

　　站在“白帽子”和廠商的角度，陳某有一些體會。陳某告訴記者，“白帽子”一開始大都是技術驅使，他們進行學習、發現問題、練習技術。很多時候，“白帽子”好奇是不是可以發現更多的問題，但很容易收不住手，一步步走下去就可能越走越遠。

　　童姓民警講述了一個案例，一個技術人員通過滲透入侵的方式進入一家網站並獲取到了數據。此後，這些數據被他人加以利用，盜竊數百萬元。

　　“成功進入某公司網絡或者成功測試漏洞後，‘白帽子’可能看到很多東西。人都是有好奇心的，我再進一步看看，我再多獲取一點兒數據。”童姓網警説，“白帽子”在進行漏洞挖掘時，首先要做到的就是自律。

　　趙佔領認為，一些“白帽子”對法律不了解，不知道行為界限在哪；另一些“白帽子”了解法律，但管不住自己的好奇心，他們獲得數據並不是出於違法目的，而是自律出了問題。

　　倚重與防備之間尷尬生存

　　“互聯網企業和‘白帽子’是相輔相成的，特別是互聯網企業的安全部門非常倚重‘白帽子’。”陳某這樣評價互聯網企業與“白帽子”之間的關係，互聯網企業有一項很重要的職責，就是保護好用戶的信息安全。基於這一職責，互聯網企業自身用各種各樣的方法不斷發現問題、解決問題，同時也歡迎“白帽子”做一些善意的測試，發現盲點，幫助廠商完善安全體系。

　　“白帽子”提升了行業和廠商對安全的重視程度，但陳某也坦言，互聯網企業也有害怕“白帽子”的時候。有些“白帽子”經意不經意的測試行為，可能導致數據被破壞，甚至一些打著“白帽子”旗號的人會販賣數據。“白帽子”對用戶的數據産生侵犯，就可能觸碰互聯網企業的底線。

　　“白帽子”除了與互聯網企業打交道，還會與漏洞披露平臺産生聯繫。

　　趙佔領説，“白帽子”和漏洞披露平臺之間有兩種關係。第一種是平臺提供信息發佈服務，平臺是信息存儲空間，“白帽子”把發現的漏洞信息提交給平臺，平臺按照自己的流程把信息提供給互聯網企業，該公開的時候公開。在這種情況下，兩者之間就是信息發佈服務者和用戶的關係。

　　中科院軟體研究所研究員丁麗萍認為，目前漏洞披露平臺大多采取用戶自由提交漏洞信息的模式，在這種模式下，“白帽子”怎麼定義、怎麼審核這些提交漏洞的人？這些問題成為關鍵。漏洞披露平臺很難保證每個用戶沒有在利益驅動下做違法的事情。

　　“白帽子”與漏洞披露平臺之間的另一種關係，來自於一個商業模式，安全“眾測”或稱“眾包”的模式。漏洞披露平臺接受一些互聯網企業的安全外包任務，平臺將任務發佈給平臺上的技術高手完成項目。

　　專家告訴記者，在這種情況下，企業的安全意識成為關鍵因素。丁麗萍説，企業分成兩類，一類是歡迎挖漏洞的；另一類的態度是“我有漏洞你管得著嗎？你公佈試試，你攻進來試試”。後一種態度雖然不講理，但也不是不合法的。刑法修正案(九)在第二百八十六條中增加了企業責任條款。丁麗萍認為，法律對企業提出了要求，由於企業不注重信息安全防護而導致用戶數據大量洩露，需要承擔刑事責任。因此，企業可能會更歡迎“白帽子”來挖漏洞。

　　“白帽子”面臨法律風險

　　法律專家告訴記者，“白帽子”自發進行測試時，面臨著多層次的法律風險。

　　有些“白帽子”對網站進行測試時，並不十分了解他們使用的軟體，測試一開始就蘊藏著風險。趙佔領告訴記者，有一些針對常見漏洞的檢測工具軟體在網上很容易找到；比較特殊或複雜的漏洞檢測工具軟體，則來自“技術社區(論壇)”分享，僅在技術愛好者圈子中流傳；還有些“白帽子”自己寫檢測程式。“白帽子”使用的軟體可能有自動緩存功能。“白帽子”在檢測過程中，主觀上沒有獲取數據的想法，但測試軟體可能會把數據存儲在電腦上。這種行為是否屬於刑法所定義的獲取數據，目前還沒有類似案例，最終還要看司法機關怎麼認定。

　　趙佔領告訴記者，互聯網企業認為“白帽子”發現的漏洞有價值時，可能會給予精神上的感謝或者物質上的獎勵，但這不是必須給予的。不過，如果“白帽子”拿著找到的漏洞，以公開漏洞、透露給別人或攻擊漏洞相要挾，要求互聯網企業支付一定的金錢，則有可能構成敲詐勒索。

　　趙佔領説，“白帽子”了解最多的法律是刑法第二百八十五條、第二百八十六條關於網絡安全的規定，但他們常常忽略了即便沒有構成刑事犯罪，也有可能觸犯治安管理處罰法。

　　“白帽子”常忽視的，還有侵犯隱私權、知識産權等民事法律風險。朱巍説，“白帽子”使用插件、外挂的方式，或嵌入式的方式，把自己想要的功能加入別人的軟體之中達到他們的目的，這可能侵犯了他人的知識産權，嚴重的還會涉及到知識産權相關刑事責任。

　　“我們是搞技術的，鑽研安全漏洞，我們並不鑽研法律漏洞，對法律也是一知半解。”“白帽子”張某坦言，“白帽子”對法律的了解程度不深。不過，對於與互聯網企業的溝通模式，張某也有自己的想法。

　　現有的模式是企業發出授權，然後“白帽子”參與測試。能不能有所變化？張某給出一個模型：“白帽子”在測試前，先向企業發出申請，這個申請帶上明確個人信息。當企業認為“白帽子”的測試有問題時，馬上聯繫“白帽子”終止測試。這種模式可以保護“白帽子”的主動參與積極性，同時也給互聯網企業保留了主動權。

　　丁麗萍建議，漏洞披露平臺和一些官方的機構合作，在獲得授權的情況下進行漏洞挖掘和披露，從而降低法律風險。在授權合作模式下，漏洞披露平臺將獲得的漏洞信息提交給公安部門，由公安部門介入處理；或提交給國家互聯網應急中心，由國家互聯網應急中心向對方發出通知，告知對方系統有漏洞以及可能造成大量數據洩露、國家財産或者群眾利益的損失等後果。

　　□本報記者 張昊