天下网吧 >> 网吧系统 >> 系统动态 >> 正文

提交世纪佳缘漏洞后被抓,“白帽子”如何免责

2016-11-9不详佚名

袁炜事件

“我儿子袁炜检测出‘世纪佳缘’的漏洞让对方修复,‘世纪佳缘’却报警抓了他。从3月8日被抓进去,至今已有半年,我们家人到今天还弄不清楚,袁炜到底犯了什么罪?”双鬓斑白的袁冠阳近日在接受记者采访时连连叹息。

提交世纪佳缘漏洞后被抓,“白帽子”如何免责

今年64岁的袁冠阳,原本对互联网一窍不通,儿子袁炜出事后,他多方请教专家,想弄明白儿子究竟犯了多大的事。袁冠阳告诉记者,袁炜是互联网漏洞报告平台——“乌云网”上的一名“白帽子”,2015年12月,袁炜检测发现了婚恋交友网站——“世纪佳缘”的系统漏洞,并在乌云网上提交了系统漏洞。“世纪佳缘”先是确认、修复了漏洞,并向乌云网和袁炜致谢。但在“世纪佳缘”以“网站数据被非法窃取”报警之后,警方经调查拘留了袁炜。

所谓“白帽子”,是指识别计算机系统或网络系统中安全漏洞的网络安全技术人员。他们活跃在漏洞披露平台、企业应急安全响应平台上。与出售安全漏洞、盗取他人信息的网络黑客不同的是,他们只是检测漏洞,并不恶意去利用漏洞。“白帽子”通过向相关平台或者厂家反馈、发布漏洞,以敦促厂家在漏洞被黑客攻击利用之前将其修复完善,维护计算机和互联网安全。在生活中,他们是普通的网络工程师、安全实验室的程序员,甚至仅仅是大学计算机专业的学生。

“白帽子”袁炜检测并提交了“世纪佳缘”的漏洞;而“世纪佳缘”出于保护用户隐私安全考虑,报警抓人。其中孰是孰非,目前司法尚无定论,但多位网络安全业内人士和法律专家在接受记者采访时均认为,袁炜事件或将成为互联网安全史上一个标志性的“分水岭”。

“白帽子”袁炜被抓事件发生后,引起了公众尤其是程序员们的热烈关注。如何定义“白帽子”?在进行网络安全测试时要遵循哪些规范?漏洞平台是否有权公布企业安全漏洞?这些问题也引起法学专家的关注。

“目前‘白帽子’的定义很少出现在各国的法律和标准中,一则因为‘白帽子’是最近十几年才盛行起来的,二则因为‘白帽子’还属于尚未拥有法律地位的民间技术团体。实践中普遍将‘白帽子’与‘灰帽子’‘黑帽子’联系在一起,认为‘白帽子’是黑客的一种。与之相近的概念称为‘道德黑客’,即模拟黑客攻击,帮助客户了解自己网络的弱点,并为客户提出改进建议的网络安全专家。”公安部第三研究所、信息网络安全公安部重点实验室二级警督黄道丽副研究员告诉记者。

“一般所理解的‘白帽子’不以挖掘漏洞为生,其对各个网站进行安全测试的动机主要是维护网络安全。但是如何在法律上界定‘白帽子’,如何认定挖掘行为的法律性质,如何判断发布漏洞细节的危险性,目前在法律上还处于模糊地带。”北京邮电大学互联网治理与法律研究中心常务副主任谢永江说。

检测漏洞的法律边界在哪

在袁炜案中,获取网站信息成为其被捕的重要原因。“世纪佳缘”一方委托了一家司法鉴定所对其服务器日志进行鉴定,鉴定意见显示,“世纪佳缘”网在2015年12月3日17时许至2015年12月4日10时许,被“124.160.67.131”等11个IP地址非法访问,入侵者对网站数据库进行了读取操作,涉及读取操作的数据库数据信息为932条。

在袁炜案引发的讨论中,很多程序员认为“白帽子”挖掘漏洞涉及读取信息,善意获取不违法。对此,黄道丽表示,“我国刑法规范的是所有未经授权访问计算机信息系统的行为,这些并非直接针对漏洞挖掘行为的规定。任何主体若利用系统安全漏洞实施了入侵行为,均可能触犯刑法规定,都可能被追责。未经授权侵入计算机信息系统也是各国刑事立法共同打击的行为。”在认定标准上,黄道丽解释道,根据两高司法解释,获取网络金融服务的身份认证信息以外的其他身份认证信息500组以上就构成刑法所规定的“情节严重”,入侵者将面临三年以下有期徒刑或者拘役,并处或者单处罚金。“这一量化标准在制定过程中经过了大量的实证检验和研讨论证,规定本身没有问题。有人认为袁炜作为‘白帽子’当中的‘新人’多获取了一些数据无可厚非,但这不是定罪应当考虑的因素。”

实践中,还存在“白帽子”使用和黑客相同的软件进行漏洞测试的情况,比如袁炜就使用了一款名为SQLmap的安全测试软件,这个软件自带缓存功能,会自动将测试信息存储到本地的一个隐藏文件夹。

“如果‘白帽子’在挖掘漏洞过程中使用的自动化工具导致获取的数据量触犯刑法,他们应考虑调整功能或使用其他规范化工具。”黄道丽告诉记者,实践中,“白帽子”作为技术人员,对法律知识知之甚少,当前较为迫切的问题是立法规范、引导“白帽子”,为其创造合适的法律环境。

“当前,并没有法律对挖掘漏洞行为进行具体规范,刑法主要从行为的角度进行规制。在认定‘白帽子’是否善意破解、测试漏洞时,主要强调结果。因为当事人当时的主观意志无法客观鉴定,既有可能是测试的疏忽,也可能是一念之差,故意留存了数据。”谢永江表示,在法律不明确的情况下,“白帽子”挖掘漏洞行为本身带有风险,而现有的法律规范倾向于保护企业利益。如果袁炜的行为确实构成了法律规定的获取信息的定罪标准,仍然需要承担相应的法律责任。

目前我国对“白帽子”善意挖掘漏洞的法律规范并没有形成系统的法律体系,比较零散地体现在一些法律法规以及部门规章里,例如保守国家秘密法、治安管理处罚法、刑法等,这些法律并没有明确划定“白帽子”的行为边界。黄道丽强调,在新的法律和配套规定出台前,现有法律和司法解释的规定,应成为“白帽子”实施挖掘行为必须接受和前置考虑的一个客观要求。

应尽快制定行业标准

“法律永远滞后于技术发展。”作为中国网络空间安全协会理事的谢永江表示,召集专业人士通过行业协会制定“白帽子”挖掘漏洞、提交漏洞的行业标准更为快捷。行业准则可以制定“白帽子”的注册标准,规范使用工具,对挖掘行为的边界形成行业共识,统一挖掘漏洞的授权规则。黄道丽也认为,法律规范需要进一步完善并合理化,具体的技术规范则可以交给市场优化解决。

对比乌云网的对公众强制披露制度、只对厂商内部披露的补天模式以及国家信息安全漏洞共享平台模式,谢永江认为,漏洞平台对公众强制披露漏洞,存在着现实和法律风险:首先,公众对漏洞细节不一定了解,遑论采取相对应的防范措施;其次,披露漏洞细节可能引来“黑帽子”的攻击,加重漏洞的危害。不过,如果厂商在接到漏洞报告后不修复漏洞,导致用户信息因该漏洞泄露,“白帽子”的漏洞报告就可以成为厂商不履行网络安全管理义务、在用户信息泄露事件上存在过失的证据,用户因此产生的损失就可以索赔。

西安交通大学法学院与360公司曾就“白帽子”挖掘漏洞的奖励模式进行了专题研究,并发布了《白帽子安全漏洞挖掘风险报告》。当前多种漏洞披露平台具有一定的尝试和探索意义。“从目前国内外漏洞平台的发展阶段看,似乎也不存在一种单一的模式。”参与撰写该报告的黄道丽告诉记者。

报告显示,“脸书”(Facebook)仅在2015年就给210名“白帽子”发放了93.6万美元的漏洞奖励。漏洞赏金计划、漏洞购买计划(VPPs)以及漏洞奖励计划吸引更多“白帽子”加入安全防护研究,已经成为网络安全领域司空见惯的事情。

在国外漏洞众测平台“第一黑客”(HackerOne)上,由众测企业向黑客支付发现漏洞的奖励,“第一黑客”则从企业奖励中抽取20%的费用。“第一黑客”还向企业提供付费服务模式,如漏洞订阅服务、漏洞披露指导、安全咨询等。目前,“第一黑客”已帮助500多家企业找出2万多个漏洞,向3200多名独立安全研究员发放了600多万美元的奖励,单个漏洞奖励最多达到3万美元。从国际实践来看,相比目前我国企业

本文来源:不详 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下