首頁>>新聞>>滾動>>正文

網絡安全"白帽子":不為賺錢 "黑"化只在一念間

2016-09-16 14:11:11|來源:法制日報|編輯:胡慧敏

  原標題:網絡安全"白帽子":不為賺錢 "黑"化只在一念間

  通常理解下,“白帽子”是發現互聯網企業安全漏洞,反饋給企業而不惡意利用的人。

  “白帽子”可以幫助發現安全漏洞,幫助互聯網企業完善安全體系。不過,如果“白帽子”對用戶的數據産生侵犯,就可能觸碰互聯網企業的底線。

  一些“白帽子”對法律不了解,不知道行為界限在哪;另一些“白帽子”了解法律,但管不住自己的好奇心,他們獲得數據並不是出於違法目的,而是自律出了問題。

  近日,多起精準詐騙連續受到公眾關注,人們的注意力轉向個人信息安全保護。在互聯網上有這樣三個主體,他們共同的關注點是互聯網安全,他們既是“同盟”又保留著一定程度的戒備,他們是“白帽子”、漏洞披露平臺和互聯網企業。

  8月15日至21日國家信息安全漏洞共享平臺發佈信息安全漏洞週報——互聯網漏洞披露平臺、互聯網安全眾測平臺及其他個人“白帽子”,共向國家信息安全漏洞共享平臺提交了36個以事件型漏洞為主的原創漏洞。而此前一週,這一數量更高達1568個。

  儘管三方正共同對維護互聯網信息安全作出努力,但圍繞“白帽子”,仍存在一些爭議。如何解決圍繞“白帽子”的爭議,促進“白帽子”、漏洞披露平臺與企業在互聯網安全領域的合作?記者就此採訪了互聯網安全業內人士和互聯網法律專家。

  “白帽子”是群怎樣的人

  “白帽子”是什麼樣的人?互聯網法律專家告訴記者,法律上並沒有“白帽子”這個概念。

  “這個稱謂是一個行業——網絡安全為主的安全行業,對從業人員以及安全技術愛好者的一個稱呼。”互聯網法律專家趙佔領告訴記者,即便在行業內,“白帽子”也沒有嚴格的概念。通常理解下,“白帽子”是發現互聯網企業安全漏洞,反饋給企業而不惡意利用的人。

  “‘白帽子’對網絡安全技術提升有建設性作用。”趙佔領這樣認為。

  “能而不欲的人。”這是中國政法大學副教授朱巍對“白帽子”的形容。他認為,“白帽子”雖然有破壞網絡或利用獲得的信息賺錢的能力,但他們不做這樣的事情。“白帽子”挖掘安全漏洞是為了堵住漏洞,或者單純地為了“炫技”。

  誰戴著“白帽子”?朱巍告訴記者,互聯網上活躍著大量的“白帽子”,他們有可能在政府部門、互聯網技術企業、科研院校等單位工作。

  “互聯網安全是一種動態的平衡。”朱巍説,技術每時每刻都在進步,今天是安全的,明天可能就不再安全。“‘白帽子’的存在是件好事。‘白帽子’發現漏洞並把漏洞展現出來,起到了預警效果”。

  江蘇公安機關網絡安全部門童姓民警説,目前,在WEB安全領域的“白帽子”比較多,原因是WEB安全領域入門比其他領域相對低一些,教材容易獲得,測試環境也容易接觸到。當然,在WEB安全領域存在的問題也更多一些。

  記者了解到,除了關注WEB安全領域的“白帽子”之外,還有一些“白帽子”會將注意力放在硬體安全或作業系統安全等方面。

  “黑”與“白”在一念之間

  既然“白帽子”是做好事的好人,為何引發關注和爭議?記者了解到,“白帽子”與“駭客”的區別往往就在一念之差;並且,即使“白帽子”是善意的漏洞挖掘,也可能給企業帶來困擾。

  “本公司求賢,年薪百萬……”2016年7月,在一場“白帽子”交流大會上,一塊大螢幕顯示著參會者發佈的彈幕。

  “相比‘白帽子’的能力而言,年薪百萬真的不算多。”參會的“白帽子”張某告訴記者,他們若是做“駭客”,那些技術帶來的利益可能會是上千萬元。

  “與‘白帽子’相對應的是‘黑帽子’‘駭客’。”趙佔領説,“駭客”發現安全漏洞後,利用漏洞從事破壞活動或非法謀取利益(行業內也稱為“做黑産”——記者注)。

  在朱巍看來,“駭客”與“白帽子”的行為看起來有相似性,但目的卻截然相反。“駭客”的目的是為了賺錢,或是為了破壞網絡安全。

  某互聯網企業安全部門負責人陳某,在多年前也是一個“白帽子”。他告訴記者,當時還沒有“白帽子”“黑帽子”的説法,他喜歡研究互聯網安全技術,發現了互聯網企業的一些安全問題,當時沒有什麼途徑通知廠商,只好自己想辦法聯繫。他看到通訊錄後,聯繫了對方公司的CEO。從那之後,他進入了互聯網安全這個行業。

  站在“白帽子”和廠商的角度,陳某有一些體會。陳某告訴記者,“白帽子”一開始大都是技術驅使,他們進行學習、發現問題、練習技術。很多時候,“白帽子”好奇是不是可以發現更多的問題,但很容易收不住手,一步步走下去就可能越走越遠。

  童姓民警講述了一個案例,一個技術人員通過滲透入侵的方式進入一家網站並獲取到了數據。此後,這些數據被他人加以利用,盜竊數百萬元。

  “成功進入某公司網絡或者成功測試漏洞後,‘白帽子’可能看到很多東西。人都是有好奇心的,我再進一步看看,我再多獲取一點兒數據。”童姓網警説,“白帽子”在進行漏洞挖掘時,首先要做到的就是自律。

  趙佔領認為,一些“白帽子”對法律不了解,不知道行為界限在哪;另一些“白帽子”了解法律,但管不住自己的好奇心,他們獲得數據並不是出於違法目的,而是自律出了問題。

  倚重與防備之間尷尬生存

  “互聯網企業和‘白帽子’是相輔相成的,特別是互聯網企業的安全部門非常倚重‘白帽子’。”陳某這樣評價互聯網企業與“白帽子”之間的關係,互聯網企業有一項很重要的職責,就是保護好用戶的信息安全。基於這一職責,互聯網企業自身用各種各樣的方法不斷發現問題、解決問題,同時也歡迎“白帽子”做一些善意的測試,發現盲點,幫助廠商完善安全體系。

  “白帽子”提升了行業和廠商對安全的重視程度,但陳某也坦言,互聯網企業也有害怕“白帽子”的時候。有些“白帽子”經意不經意的測試行為,可能導致數據被破壞,甚至一些打著“白帽子”旗號的人會販賣數據。“白帽子”對用戶的數據産生侵犯,就可能觸碰互聯網企業的底線。

  “白帽子”除了與互聯網企業打交道,還會與漏洞披露平臺産生聯繫。

  趙佔領説,“白帽子”和漏洞披露平臺之間有兩種關係。第一種是平臺提供信息發佈服務,平臺是信息存儲空間,“白帽子”把發現的漏洞信息提交給平臺,平臺按照自己的流程把信息提供給互聯網企業,該公開的時候公開。在這種情況下,兩者之間就是信息發佈服務者和用戶的關係。

  中科院軟體研究所研究員丁麗萍認為,目前漏洞披露平臺大多采取用戶自由提交漏洞信息的模式,在這種模式下,“白帽子”怎麼定義、怎麼審核這些提交漏洞的人?這些問題成為關鍵。漏洞披露平臺很難保證每個用戶沒有在利益驅動下做違法的事情。

  “白帽子”與漏洞披露平臺之間的另一種關係,來自於一個商業模式,安全“眾測”或稱“眾包”的模式。漏洞披露平臺接受一些互聯網企業的安全外包任務,平臺將任務發佈給平臺上的技術高手完成項目。

  專家告訴記者,在這種情況下,企業的安全意識成為關鍵因素。丁麗萍説,企業分成兩類,一類是歡迎挖漏洞的;另一類的態度是“我有漏洞你管得著嗎?你公佈試試,你攻進來試試”。後一種態度雖然不講理,但也不是不合法的。刑法修正案(九)在第二百八十六條中增加了企業責任條款。丁麗萍認為,法律對企業提出了要求,由於企業不注重信息安全防護而導致用戶數據大量洩露,需要承擔刑事責任。因此,企業可能會更歡迎“白帽子”來挖漏洞。

  “白帽子”面臨法律風險

  法律專家告訴記者,“白帽子”自發進行測試時,面臨著多層次的法律風險。

  有些“白帽子”對網站進行測試時,並不十分了解他們使用的軟體,測試一開始就蘊藏著風險。趙佔領告訴記者,有一些針對常見漏洞的檢測工具軟體在網上很容易找到;比較特殊或複雜的漏洞檢測工具軟體,則來自“技術社區(論壇)”分享,僅在技術愛好者圈子中流傳;還有些“白帽子”自己寫檢測程式。“白帽子”使用的軟體可能有自動緩存功能。“白帽子”在檢測過程中,主觀上沒有獲取數據的想法,但測試軟體可能會把數據存儲在電腦上。這種行為是否屬於刑法所定義的獲取數據,目前還沒有類似案例,最終還要看司法機關怎麼認定。

  趙佔領告訴記者,互聯網企業認為“白帽子”發現的漏洞有價值時,可能會給予精神上的感謝或者物質上的獎勵,但這不是必須給予的。不過,如果“白帽子”拿著找到的漏洞,以公開漏洞、透露給別人或攻擊漏洞相要挾,要求互聯網企業支付一定的金錢,則有可能構成敲詐勒索。

  趙佔領説,“白帽子”了解最多的法律是刑法第二百八十五條、第二百八十六條關於網絡安全的規定,但他們常常忽略了即便沒有構成刑事犯罪,也有可能觸犯治安管理處罰法。

  “白帽子”常忽視的,還有侵犯隱私權、知識産權等民事法律風險。朱巍説,“白帽子”使用插件、外挂的方式,或嵌入式的方式,把自己想要的功能加入別人的軟體之中達到他們的目的,這可能侵犯了他人的知識産權,嚴重的還會涉及到知識産權相關刑事責任。

  “我們是搞技術的,鑽研安全漏洞,我們並不鑽研法律漏洞,對法律也是一知半解。”“白帽子”張某坦言,“白帽子”對法律的了解程度不深。不過,對於與互聯網企業的溝通模式,張某也有自己的想法。

  現有的模式是企業發出授權,然後“白帽子”參與測試。能不能有所變化?張某給出一個模型:“白帽子”在測試前,先向企業發出申請,這個申請帶上明確個人信息。當企業認為“白帽子”的測試有問題時,馬上聯繫“白帽子”終止測試。這種模式可以保護“白帽子”的主動參與積極性,同時也給互聯網企業保留了主動權。

  丁麗萍建議,漏洞披露平臺和一些官方的機構合作,在獲得授權的情況下進行漏洞挖掘和披露,從而降低法律風險。在授權合作模式下,漏洞披露平臺將獲得的漏洞信息提交給公安部門,由公安部門介入處理;或提交給國家互聯網應急中心,由國家互聯網應急中心向對方發出通知,告知對方系統有漏洞以及可能造成大量數據洩露、國家財産或者群眾利益的損失等後果。

  □本報記者 張昊

國際在線官方微信

國際在線趣新聞

返回頂端