“白帽”黑客和安全漏洞,这两个原来有些陌生而神秘的名词,正在被越来越多的人了解。“白帽”黑客这个群体,及其挖掘、披露漏洞的行为也正在被人们重新认识。
自从7月20日,国内最大的漏洞报告平台乌云网突然“停摆”以来,无法恢复平静的不仅是漏洞报告平台,还有许多“白帽”黑客。更早之前的“袁炜事件”给很多“白帽”黑客带来了更为直接的影响。这些“圈内事”让不少“白帽”黑客担心,“袁炜事件”会不会在自己身上重演。
与此同时,在更广大的网络安全和互联网法律领域,对“白帽”黑客挖掘、披露网络漏洞的行为也有了更多讨论:以渗透、测试网站的方式来挖掘漏洞并披露究竟是否合适?“白帽”黑客与网络漏洞的法律边界在哪里?未来对“白帽”黑客和网络漏洞的治理应该按照怎样的原则开展?在8月16~17日举行的第四届中国互联网安全大会(ISC)上,这些问题再度成为热门话题。
网络漏洞和“白帽”黑客的两面性
“‘白帽子’发现漏洞并不是为了牟利,但这存在一个悖论,尽管他发现漏洞的初心是好的,但方法却是灰色的,有的企业可能接受不了。”8月16日上午,在ISC的开幕演讲中,360公司董事长周鸿的这番话或许能概括目前网络漏洞和“白帽”黑客所面临的灰色处境。
在“白帽”黑客群体中,模拟攻击是尝试发现漏洞经常采用的手段,而这种模拟攻击大多都发生在企业并不知情的情况下。由于方法隐蔽且难以定性,过程难以监管、透明,“白帽”黑客和他们挖掘、披露网络漏洞的行为一直备受争议。
此外,由于“白帽”黑客与“黑帽”黑客从技术上可以互相转化,因此在“袁炜事件”和乌云网“停摆”之后,很多人对“白帽”黑客和网络漏洞也产生了更多的担心。周鸿说:“最极端的情况是,如果‘白帽’黑客一直以不合法的身份做事情,那有可能他们会反而转向黑色产业链。”
但在种种担心和疑虑之外,业内对“白帽”黑客和网络漏洞的另一面更加看重。
在ISC网络安全与法治论坛上,公安部第三研究所网络安全法律研究中心主任黄道丽提出,网络安全漏洞具有很强的资源属性,已经成为网络空间的秘密武器。漏洞治理已经成为网络安全保障的基础性环节。
在北京邮电大学互联网治理与法律研究中心常务副主任谢永江看来,网络安全漏洞本质上是一种缺陷信息,也是威胁人身财产的危险,是当前科技水平无法消灭的。因此漏洞具有两面性:一方面,漏洞被利用会给黑客提供攻击的机会,会给网络所有人以及用户造成很大损失;另一方面,发现漏洞、弥补漏洞的过程也提高了我们的网络安全,维护用户的利益。
西安交通大学信息安全法律研究中心主任马民虎也表示,漏洞已经成为各国争先抢夺的战略资源的博弈资本,安全漏洞攻击构成全球最严重的网络安全威胁,“白帽”黑客是网络安全领域不可或缺的补充力量。
一个实际的案例是,今年4月18日到5月12日,美国国防部举行了名为“来黑五角大楼”的网络安全漏洞竞赛。“白帽”黑客受邀,抢在真正黑客发动恶意攻击之前,在五角大楼5个对外开放网站中发现并堵住网络漏洞。比赛吸引了超过1400人参加,竞赛结束后,参赛者共报告1189项薄弱点,其中138项被认定为“独特、有效”。
漏洞的法律“漏洞”
既是网络安全的威胁,又是网络安全保护的重要力量,“白帽”黑客的双重属性让企业和网络安全管理部门对他们的感情十分复杂。在业内专家们看来,在“白帽”黑客群体及挖掘、披露漏洞领域内,现有的法律规定落后于实际情况,仍有许多法律“漏洞”需要弥补。
在具体实践中,“白帽”黑客发现漏洞后大多会向乌云等漏洞平台披露。谢永江提醒,这种漏洞披露的方式目前还没有法律依据,如果漏洞的披露没有得到企业授权的话,也会带来法律风险。
黄道丽表示,我国还没有建立与“白帽子”相关的系统法律制度,相应的规范只是零散地体现在一些法律法规以及部门规章里。从现有政策来看,“白帽子”挖掘、披露漏洞的行为很容易触犯法律,并且对企业发展和安全防护产生负面效应。
在她看来,漏洞的挖掘和披露主要面临着三个方面的法律风险:安全漏洞的法律属性不明晰,“白帽”黑客的行为边界不明确,“白帽”黑客的法律意识淡薄。而在法律遵从方面,关键的信息基础设施范围不明确,漏洞平台以及企业的管理制度不完善等问题,也给安全漏洞的治理带来了极大的挑战。
在上述论坛上,西安交通大学信息安全法律研究中心和360法律研究院联合发布了《“白帽子”安全漏洞挖掘法律风险分析报告》(简称《报告》)。该《报告》参考了国外漏洞挖掘、披露的实践后认为,一些国家在立法上,对关键基础设施的漏洞挖掘绝对禁止,并对合法漏洞挖掘的授权作出了扩大解释,对出于特殊目的(比如安全)的漏洞挖掘给与一定程度的豁免,并注重对“白帽”黑客身份的认可和招募。
反观国内,由于漏洞报告、披露机制的流程和制度不规范,乌云、漏洞盒子、补天等漏洞众测平台还不能够为企业和“白帽子”之间创造有效的信任环境。由于“白帽”黑客身份隐蔽、漏洞挖掘方式不透明、担心数据信息泄露等原因,大多数企业对“白帽”黑客挖掘、披露自身网络安全漏洞的行为并不欢迎。
对此,《报告》建议规范“白帽”黑客的权利和义务,提出设立“白帽”黑客的注册备案制度,以注册平台的运营模式为基础规范白帽子的行为,通过行业规范强化白帽子的职业道德和职业操守,明确法律行为的边界,并对白帽子展开相关的法律知识的培训
《报告》指出,对于“白帽”黑客和网络安全漏洞,政府应该实现由行政监管为主向法治监管为主的转型,强化以法制为基础的市场监管,建立评估监测机制,监督众测平台对漏洞的商业管理模式,定期进行透明度审查,并向社会不特定人群发布报告。
“政策和立法的思路应该是疏导和阻断并行的。”黄道丽认为,法律应该给与“白帽”黑客和漏洞平台合法地位,通过适当的衡量标准将其纳入网络安全产业中。同时,“白帽”黑客挖掘、披露漏洞的行为也要遵循现有的法律框架,“规范是必不可少的”。
“让大家知道自己的边界”
虽然有关安全漏洞的法律法规仍不完善,但安全漏洞市场已经起步,并且赢得了一些大型互联网公司的垂青。
据媒体报道,美国Uber公司在今年5月推出一个“捉虫奖励”(bug bounty)计划,让世界各地“白帽”黑客查找Uber系统中的漏洞,然后报告给该公司,小型漏洞赏金在数千美元,重大的安全漏洞可以赚取高达1万美元的奖金,发现4个以上漏洞的黑客将额外获得10%的奖金。
事实上,“捉虫奖励”计划(bug bounty)并不是一件新鲜事,不少硅谷的科技公司,如谷歌、Facebook等,对于“白帽”黑客帮忙找到漏洞都会给与一定的奖励。
虽然漏洞市场已经有了一定的发展空间,但在更为广大的社会范围内,漏洞平台仍面临着争议及不信任。
对此,360公司董事长周鸿认为,“白帽”黑客在中国仍属于新生事物,或许需要一定的规范和引导,应该以一种善意的目光去看待他们。未来企业应该自己有意识地去聘请安全顾问,“白帽”黑客以后可以和企业签订安全服务协议,得到企业的授权和许可后再挖掘漏洞,而这种发现漏洞并提供解决方案的方式是可以收费的。
谢永江则呼吁,不能以禁止挖掘漏洞的方式来维护网络安全,否则漏洞将无法弥补。他还提到,漏洞市场客观存在,应该得到培育,可以通过将安全漏洞提交给企业授权的漏洞平台,或者是国家漏洞信息库一类政府机构的办法,把“白帽”和企业连接起来。
但他也提醒,网络安全漏洞的披露、交易应当受到严格的限制,尤其是涉及社会公共利益的更加不能随意交易。“这需要国家尽快出台网络漏洞挖掘、披露、利用、交易规则,让大家知道自己的边界”。
中国青年报·中青在线记者 王林 实习生 张均斌