“以后应该怎么继续去发掘漏洞、提交漏洞?”虽然只是一个初级“白帽”黑客(在IT界,“白帽”黑客指的是正面黑客,又称“白帽子”,他们发现系统安全漏洞,不会恶意去利用,而是公布漏洞,让系统所有方提前修补漏洞),但说起乌云网“停摆”的事,从事网络安全工作的王越亚还是觉得很惋惜。
7月20日,国内最大的漏洞报告平台乌云网突然无法访问。乌云网公告称,乌云及相关服务将升级,并将在最短时间内回归。乌云成立于2010年5月,是国内最早的漏洞报告平台,聚集了一群爱好安全技术的“白帽”黑客。
由于在发现企业网络安全漏洞的过程中,“白帽黑客”经常需要渗透、测试企业的网站或其他互联网产品,他们往往会被认为侵犯企业的数据信息安全。因此,对于外界而言,“白帽黑客”和他们发现、公布漏洞的行为仍然是非常神秘且饱受争议的。
乌云“停摆”等诸多事件更是将这些争议进一步放大:“白帽黑客”发现、报告漏洞的行为究竟合不合法?如何在“白帽黑客”发现、报告漏洞和保护企业网络安全之间取得平衡?
黑白边缘的“白帽黑客”
没有漏洞,也就没有“白帽黑客”的产生和活跃。
根据国家信息安全漏洞共享平台(CNVD)统计,2015年,国内重要漏洞响应平台共报送25314条漏洞。另据360互联网安全中心发布的2015年互联网安全报告显示,2015年全年(截至11月18日),经360网站安全检测平台扫描的231.2万个网站中,43.9%存在漏洞,12.3%存在高危漏洞,360网站卫士共拦截各类网站漏洞攻击16.5亿次。
这些网络安全漏洞轻则泄露个人或企业机密信息,对企业生产经营造成重大损失,严重的可能还会涉及国家安全。令人担忧的是,目前大多数政府、企业和个人的网站没有足够力量组建专业安全团队,并且缺乏专业的修复建议和修复验证机制,而业务的频繁更新也会导致新的漏洞不断出现。在此背景下,一些极客开始对某些网站进行渗透测试,期望通过发现漏洞来提升自己的IT技术,逐渐成为“白帽黑客”。通过发现、提交漏洞,“白帽黑客”曾发现了许多敏感信息的泄露问题,引起了重视,但提交漏洞的行为也饱受争议。
13万条铁路售票网站12306用户数据泄露、如家酒店等开房信息泄露、腾讯7000万QQ群用户数据泄露……这些曾经轰动一时的用户数据泄露事件,最早都是“白帽黑客”在乌云平台上提交、报告的,并最终引起了平台方的重视和改进。
与此同时,“白帽黑客”的存在对很多企业来说也是一种威胁,因为从法律角度来说,他们的行为属于灰色地带,“白帽黑客”处于黑白边缘。国内某漏洞平台的市场负责人于小伟(化名)向记者表示,目前国内法律对“白帽黑客”及其发现、提交漏洞的行为如何定性尚没有定论,因为“白帽黑客”在发现漏洞的过程中很可能会触碰到企业的数据信息,有些甚至是一些敏感、机密的数据。
《乌云漏洞审核机制改进公告》显示,对于普通漏洞,乌云设置了5天的厂商确认周期,若5天内厂商未确认则视为忽略,将直接公开漏洞;10天后向核心及相关领域专家公开;20天后向普通白帽子公开;30天后向实习白帽子公开;45天后向公众公开;期间厂商可自行提前公开,向普通白帽子公开的时候可以使用乌云币购买提前查看漏洞细节。
于小伟说,在“白帽黑客”提交漏洞之后,对外公开漏洞之前,漏洞平台向“白帽黑客”公开漏洞的做法本意是为了提供学习漏洞的机会,但若涉事企业和平台未能修复漏洞,很可能就会造成企业数据信息被侵犯和泄露。王越亚也表示,一直以来,乌云公开漏洞的运作模式饱受诟病。因为,大企业会有专门的员工去处理在平台提交的漏洞,但是小企业或者安全意识还没有跟上的公司很少会花费精力去做这件事。
“有些小企业乌云是联系不到的,而乌云的漏洞披露机制会让小企业的网站漏洞被公开,而公开的时候往往都没被修复,这样会有很多人去顺着这个漏洞去企业的网站继续去玩、去渗透、乃至破坏。”王越亚说。
不伸手不知道有没有电,伸手了很可能就触电
在“白帽黑客”圈子里,乌云的“停摆”并不是第一件引起震动的事件,发生在今年春天的“袁炜事件”同样引发了许多讨论。据媒体报道,去年12月,“白帽”黑客袁炜在乌云平台上提交了其发现的婚恋交友网站世纪佳缘的系统漏洞,随后世纪佳缘确认、修复了该漏洞,并按乌云平台惯例向漏洞提交者致谢。
但在一个多月后,世纪佳缘以“网站数据被非法窃取”为由报警。今年4月,袁炜被司法机关逮捕。世纪佳缘CEO吴琳光在知乎上解释称:“在漏洞修复过程中,我们发现有900多条有效数据被攻击者获取,出于对用户数据和信息安全的担忧,我们选择了报警。”吴琳光同时表示,“在警方披露调查结果之前,我们并不知道提交漏洞的“白帽子”和攻击者是同一个人。”
从“袁炜事件”到乌云“停摆”,给“白帽”黑客带来的影响是直接的。王越亚表示,许多“白帽”黑客越来越担心,“袁炜事件”会不会在自己身上重演,甚至也有很多人在考虑要不要放弃原来“发现网站漏洞——获得网站进入权限——提交漏洞”的思路。
但在中国互联网协会信用评价中心法律顾问赵占领看来,“袁炜事件”中袁炜涉嫌的罪名是非法侵入计算机信息系统罪,这个罪名有具体的条件,其中一个非常关键的条件就是非法获取计算机信息数据500组以上。“判断乌云这些技术爱好者是否触及法律,就看他们的具体行为。”赵占领说。
虽然有法律上的解释,但对于大多数“白帽”黑客而言,由于数据信息的特殊性,网站漏洞的发现过程很难按照法律条文来界定究竟是否合法。“虽然法律上明文规定的是,你进入网站没有进行任何操作去破坏或者获得数据就不算违法,但是涉及数据信息,谁又能证明自己是清白的?”王越亚表示,由于很难有第三方能看到“白帽”黑客在提交漏洞前有没有获取、盗用数据,所以很难判断发现漏洞的过程是否合法。
而一旦被企业认为盗取了数据信息,“白帽”黑客也面临着举证的困难。“白帽子都说自己是好人,但是谁能证明呢?只是因为他提交漏洞远远不够。我可以说我没看,但是如何证明我没看?”王越亚说。
他认为,判断漏洞发现的过程是否合法,关键还是对“白帽”黑客在发现漏洞时对数据信息的处理方式如何界定,这关系到白帽子究竟是侵犯数据的坏人,还是纯粹发现漏洞的好人,
于小伟认为,“白帽”黑客发现漏洞的过程很像是徒手检测电线是否有电:不伸手不知道有没有电,伸手了很可能就会触电。“白帽”黑客要发现漏洞,并且让企业确认漏洞存在,就需要让企业了解漏洞详情,而了解之后企业就很可能认为“白帽”黑客获取、盗用了数据信息。
他曾与一些关注网络安全领域的律师交流,发现目前无论是“白帽”黑客,还是网络安全法律界,大家对判断发现漏洞的过程合不合法都还没有比较成型的讨论意见。“这个问题还很难界定”。
众测平台模式有用吗
在此次乌云“停摆”事件发生以后,不少“白帽子”在微博或者论坛上留言:“把乌云关了,难道不怕白帽子去黑更多网站?”这让赵占领更加担心“白帽”黑客群体的信心。
赵占领认为,虽然“白帽子”和“黑帽子”有很大区别,但从技术上看两者之间可以互相转化。漏洞平台把相当一部分“黑帽子”转化成了“白帽子”,并且约束“白帽子”的行为,开展“白帽子”的普及教育,让他们认识到不能做一些违法的漏洞测试。他担心的是,如果把漏洞平台关闭,这些“白帽子”的价值没办法得到认可,也没办法得到一些物质回报,那么其中很可能就会有人变成“黑帽子”,通过非法攻击漏洞去牟利。“这对白帽子的信心是一个打击”。
作为“白帽”黑客的一员,王越亚认为乌云“停摆”并不会导致很多“白帽子”黑化,因为大多数“白帽”黑客其实只是把发现、提交漏洞当作一种业余兴趣和技术的磨练提升,并没有把“白帽子”当成工作。“而且他们也清楚有些事儿不能乱搞,不然很容易出现问题”。
王越亚更加担心的是,乌云“停摆”会导致很多网络安全漏洞无法及时发现,使更多企业,尤其是小企业的网络安全遭受更多伤害。那么,该如何在保护企业信息安全和“白帽”黑客信心之间取得平衡?企业、漏洞平台、“白帽”黑客,以及网络安全管理部门各自应当保持何种姿态?
杭州安恒信息技术有限公司总裁范渊曾经是第一个登上BLACKHAT(黑帽子)大会(全世界电脑黑客的顶级盛会,只邀请顶尖高手参加)演讲的中国人。在他看来,在“白帽”黑客发现漏洞的过程中,法律法规是一根红线,必须遵循法律的框架和流程来开展。
“首先你要得到(企业)授权,而不是先非法入侵,入侵之后再来告诉企业,或者跟企业要报酬,不给我就曝光。”范渊说。于小伟则认为,目前漏洞盒子、360补天漏洞平台等已经尝试的众测平台模式或许是一种解决办法。所谓众测是一种由厂商提供互联网产品,由众测平台组织“白帽”黑客专门为其寻找安全漏洞的众包生产模式。
实际上,这种众测平台模式已经在美国获得较好效果。据媒体报道,旧金山一家采取众测平台模式的创业公司HackerOne试图吸引黑客积极解决软件系统的漏洞,而不是利用漏洞,帮助“白帽”黑客与愿意付费的企业牵线搭桥。
报道称,HackerOne的运作模式是让企业在其平台上直接发布众测请求,让广大“白帽”黑客发掘漏洞,“白帽”黑客发现并提交漏洞后,企业会根据安全威胁等级给予一定的现金奖励。目前,HackerOne已经获得2500万美元融资,此前已获得900万美元的轮融资。于小伟表示,如果不让“白帽”黑客发现、提交漏洞,不仅许多安全隐患难以发现,而且“白帽”黑客所轻易掌握的数据就会转入地下黑色产业链,企业和个人数据将会被卖走。“如果有伤疤,为什么不可以让大家来帮你发现原因,来诊治?与其堵住,还不如鼓励众测平台的发展,让他们发挥作用。”
身为“白帽”黑客,王越亚认为广大“白帽”黑客对这类众测平台还是比较信任的,而在平台上发布众测请求的企业也会在一定程度上容忍“白帽”黑客的网络入侵行为,但一般情况下,企业都不会把可能涉及内部数据的方面交给“白帽”黑客来测试。
“总结来看,这一系列的问题其实也不是法律、政府所能界定的,更多的还是靠‘白帽子’的自律,和企业对白帽子的信任吧。”他说。
中国青年报·中青在线记者 王林 实习生 张均斌