(原标题:“白帽”黑客挖漏洞就像徒手检测是否漏电)
“以后应该怎么继续去发掘漏洞、提交漏洞?”虽然只是一个初级“白帽”黑客(在IT界,“白帽”黑客指的是正面黑客,又称“白帽子”,他们发现系统安全漏洞,不会恶意去利用,而是公布漏洞,让系统所有方提前修补漏洞),但说起乌云网“停摆”的事,从事网络安全工作的王越亚还是觉得很惋惜。
7月20日,国内最大的漏洞报告平台乌云网突然无法访问。乌云网公告称,乌云及相关服务将升级,并将在最短时间内回归。乌云成立于2010年5月,是国内最早的漏洞报告平台,聚集了一群爱好安全技术的“白帽”黑客。
由于在发现企业网络安全漏洞的过程中,“白帽黑客”经常需要渗透、测试企业的网站或其他互联网产品,他们往往会被认为侵犯企业的数据信息安全。因此,对于外界而言,“白帽黑客”和他们发现、公布漏洞的行为仍然是非常神秘且饱受争议的。
乌云“停摆”等诸多事件更是将这些争议进一步放大:“白帽黑客”发现、报告漏洞的行为究竟合不合法?如何在“白帽黑客”发现、报告漏洞和保护企业网络安全之间取得平衡?
黑白边缘的“白帽黑客”
没有漏洞,也就没有“白帽黑客”的产生和活跃。
根据国家信息安全漏洞共享平台(CNVD)统计,2015年,国内重要漏洞响应平台共报送25314条漏洞。另据360互联网安全中心发布的2015年互联网安全报告显示,2015年全年(截至11月18日),经360网站安全检测平台扫描的231.2万个网站中,43.9%存在漏洞,12.3%存在高危漏洞,360网站卫士共拦截各类网站漏洞攻击16.5亿次。
这些网络安全漏洞轻则泄露个人或企业机密信息,对企业生产经营造成重大损失,严重的可能还会涉及国家安全。令人担忧的是,目前大多数政府、企业和个人的网站没有足够力量组建专业安全团队,并且缺乏专业的修复建议和修复验证机制,而业务的频繁更新也会导致新的漏洞不断出现。在此背景下,一些极客开始对某些网站进行渗透测试,期望通过发现漏洞来提升自己的IT技术,逐渐成为“白帽黑客”。通过发现、提交漏洞,“白帽黑客”曾发现了许多敏感信息的泄露问题,引起了重视,但提交漏洞的行为也饱受争议。
13万条铁路售票网站12306用户数据泄露、如家酒店等开房信息泄露、腾讯7000万QQ群用户数据泄露……这些曾经轰动一时的用户数据泄露事件,最早都是“白帽黑客”在乌云平台上提交、报告的,并最终引起了平台方的重视和改进。
与此同时,“白帽黑客”的存在对很多企业来说也是一种威胁,因为从法律角度来说,他们的行为属于灰色地带,“白帽黑客”处于黑白边缘。国内某漏洞平台的市场负责人于小伟(化名)向记者表示,目前国内法律对“白帽黑客”及其发现、提交漏洞的行为如何定性尚没有定论,因为“白帽黑客”在发现漏洞的过程中很可能会触碰到企业的数据信息,有些甚至是一些敏感、机密的数据。
《乌云漏洞审核机制改进公告》显示,对于普通漏洞,乌云设置了5天的厂商确认周期,若5天内厂商未确认则视为忽略,将直接公开漏洞;10天后向核心及相关领域专家公开;20天后向普通白帽子公开;30天后向实习白帽子公开;45天后向公众公开;期间厂商可自行提前公开,向普通白帽子公开的时候可以使用乌云币购买提前查看漏洞细节。
于小伟说,在“白帽黑客”提交漏洞之后,对外公开漏洞之前,漏洞平台向“白帽黑客”公开漏洞的做法本意是为了提供学习漏洞的机会,但若涉事企业和平台未能修复漏洞,很可能就会造成企业数据信息被侵犯和泄露。王越亚也表示,一直以来,乌云公开漏洞的运作模式饱受诟病。因为,大企业会有专门的员工去处理在平台提交的漏洞,但是小企业或者安全意识还没有跟上的公司很少会花费精力去做这件事。
“有些小企业乌云是联系不到的,而乌云的漏洞披露机制会让小企业的网站漏洞被公开,而公开的时候往往都没被修复,这样会有很多人去顺着这个漏洞去企业的网站继续去玩、去渗透、乃至破坏。”王越亚说。
不伸手不知道有没有电,伸手了很可能就触电
在“白帽黑客”圈子里,乌云的“停摆”并不是第一件引起震动的事件,发生在今年春天的“袁炜事件”同样引发了许多讨论。据媒体报道,去年12月,“白帽”黑客袁炜在乌云平台上提交了其发现的婚恋交友网站世纪佳缘的系统漏洞,随后世纪佳缘确认、修复了该漏洞,并按乌云平台惯例向漏洞提交者致谢。
但在一个多月后,世纪佳缘以“网站数据被非法窃取”为由报警。今年4月,袁炜被司法机关逮捕。世纪佳缘CEO吴琳光在知乎上解释称:“在漏洞修复过程中,我们发现有900多条有效数据被攻击者获取,出于对用户数据和信息安全的担忧,我们选择了报警。”吴琳光同时表示,“在警方披露调查结果之前,我们并不知道提交漏洞的“白帽子”和攻击者是同一个人。”
从“袁炜事件”到乌云“停摆”,给“白帽”黑客带来的影响是直接的。王越亚表示,许多“白帽”黑客越来越担心,“袁炜事件”会不会在自己身上重演,甚至也有很多人在考虑要不要放弃原来“发现网站漏洞——获得网站进入权限——提交漏洞”的思路。
但在中国互联网协会信用评价中心法律顾问赵占领看来,“袁炜事件”中袁炜涉嫌的罪名是非法侵入计算机信息系统罪,这个罪名有具体的条件,其中一个非常关键的条件就是非法获取计算机信息数据500组以上。“判断乌云这些技术爱好者是否触及法律,就看他们的具体行为。”赵占领说。
虽然有法律上的解释,但对于大多数“白帽”黑客而言,由于数据信息的特殊性,网站漏洞的发现过程很难按照法律条文来界定究竟是否合法。“虽然法律上明文规定的是,你进入网站没有进行任何操作去破坏或者获得数据就不算违法,但是涉及数据信息,谁又能证明自己是清白的?”王越亚表示,由于很难有第三方能看到“白帽”黑客在提交漏洞前有没有获取、盗用数据,所以很难判断发现漏洞的过程是否合法。
而一旦被企业认为盗取了数据信息,“白帽”黑客也面临着举证的困难。“白帽子都说自己是好人,但是谁能证明呢?只是因为他提交漏洞远远不够。我可以说我没看,但是如何证明我没看?”王越亚说。
他认为,判断漏洞发现的过程是否合法,关键还是对“白帽”黑客在发现漏洞时对数据信息的处理方式如何界定,这关系到白帽子究竟是侵犯数据的坏人,还是纯粹发现漏洞的好人,