您的位置: 法制网首页>> 地方新闻>>法治新疆>>法制时评 返回首页
挖掘漏洞助企业完善安全体系风险测试带来信息泄露隐患
网络“白帽子”如何摆脱安全争议

发布时间:2016-09-18 09:51:59我要纠错【字体: 默认 】【打印【关闭】

    通常理解下,“白帽子”是发现互联网企业安全漏洞,反馈给企业而不恶意利用的人。

    “白帽子”可以帮助发现安全漏洞,帮助互联网企业完善安全体系。不过,如果“白帽子”对用户的数据产生侵犯,就可能触碰互联网企业的底线。

    一些“白帽子”对法律不了解,不知道行为界限在哪里;另一些“白帽子”了解法律,但管不住自己的好奇心,他们获得数据并不是出于违法目的,而是自律出了问题。

    近日,多起精准诈骗连续受到公众关注,人们的注意力转向个人信息安全保护。在互联网上有这样三个主体,他们共同的关注点是互联网安全,他们既是“同盟”又保留着一定程度的戒备,他们是“白帽子”、漏洞披露平台和互联网企业。

    8月15日至21日国家信息安全漏洞共享平台发布信息安全漏洞周报——互联网漏洞披露平台、互联网安全众测平台及其他个人“白帽子”,共向国家信息安全漏洞共享平台提交了36个以事件型漏洞为主的原创漏洞。而此前一周,这一数量更高达1568个。

    尽管三方正共同对维护互联网信息安全作出努力,但围绕“白帽子”,仍存在一些争议。如何解决围绕“白帽子”的争议,促进“白帽子”、漏洞披露平台与企业在互联网安全领域的合作?记者就此采访了互联网安全业内人士和互联网法律专家。

    “白帽子”是群怎样的人

    “白帽子”是什么样的人?互联网法律专家告诉记者,法律上并没有“白帽子”这个概念。

    “这个称谓是一个行业——网络安全为主的安全行业,对从业人员以及安全技术爱好者的一个称呼。”互联网法律专家赵占领告诉记者,即便在行业内,“白帽子”也没有严格的概念。通常理解下,“白帽子”是发现互联网企业安全漏洞,反馈给企业而不恶意利用的人。

    “‘白帽子’对网络安全技术提升有建设性作用。”赵占领这样认为。

    “能而不欲的人。”这是中国政法大学副教授朱巍对“白帽子”的形容。他认为,“白帽子”虽然有破坏网络或利用获得的信息赚钱的能力,但他们不做这样的事情。“白帽子”挖掘安全漏洞是为了堵住漏洞,或者单纯地为了“炫技”。

    谁戴着“白帽子”?朱巍告诉记者,互联网上活跃着大量的“白帽子”,他们有可能在政府部门、互联网技术企业、科研院校等单位工作。

    “互联网安全是一种动态的平衡。”朱巍说,技术每时每刻都在进步,今天是安全的,明天可能就不再安全。“‘白帽子’的存在是件好事。‘白帽子’发现漏洞并把漏洞展现出来,起到了预警效果”。

    江苏公安机关网络安全部门童姓民警说,目前,在WEB安全领域的“白帽子”比较多,原因是WEB安全领域入门比其他领域相对低一些,教材容易获得,测试环境也容易接触到。当然,在WEB安全领域存在的问题也更多一些。

    记者了解到,除了关注WEB安全领域的“白帽子”之外,还有一些“白帽子”会将注意力放在硬件安全或操作系统安全等方面。

    “黑”与“白”在一念之间

    既然“白帽子”是做好事的好人,为何引发关注和争议?记者了解到,“白帽子”与“黑客”的区别往往就在一念之差;并且,即使“白帽子”是善意的漏洞挖掘,也可能给企业带来困扰。

    “本公司求贤,年薪百万……”2016年7月,在一场“白帽子”交流大会上,一块大屏幕显示着参会者发布的弹幕。

    “相比‘白帽子’的能力而言,年薪百万真的不算多。”参会的“白帽子”张某告诉记者,他们若是做“黑客”,那些技术带来的利益可能会是上千万元。

    “与‘白帽子’相对应的是‘黑帽子’‘黑客’。”赵占领说,“黑客”发现安全漏洞后,利用漏洞从事破坏活动或非法谋取利益(行业内也称为“做黑产”——记者注)。

    在朱巍看来,“黑客”与“白帽子”的行为看起来有相似性,但目的却截然相反。“黑客”的目的是为了赚钱,或是为了破坏网络安全。

    某互联网企业安全部门负责人陈某,在多年前也是一个“白帽子”。他告诉记者,当时还没有“白帽子”“黑帽子”的说法,他喜欢研究互联网安全技术,发现了互联网企业的一些安全问题,当时没有什么途径通知厂商,只好自己想办法联系。他看到通讯录后,联系了对方公司的CEO。从那之后,他进入了互联网安全这个行业。

    站在“白帽子”和厂商的角度,陈某有一些体会。陈某告诉记者,“白帽子”一开始大都是技术驱使,他们进行学习、发现问题、练习技术。很多时候,“白帽子”好奇是不是可以发现更多的问题,但很容易收不住手,一步步走下去就可能越走越远。

    童姓民警讲述了一个案例,一个技术人员通过渗透入侵的方式进入一家网站并获取到了数据。此后,这些数据被他人加以利用,盗窃数百万元。

    “成功进入某公司网络或者成功测试漏洞后,‘白帽子’可能看到很多东西。人都是有好奇心的,我再进一步看看,我再多获取一点儿数据。”童姓网警说,“白帽子”在进行漏洞挖掘时,首先要做到的就是自律。

    赵占领认为,一些“白帽子”对法律不了解,不知道行为界限在哪里;另一些“白帽子”了解法律,但管不住自己的好奇心,他们获得数据并不是出于违法目的,而是自律出了问题。

    倚重与防备之间尴尬生存

    “互联网企业和‘白帽子’是相辅相成的,特别是互联网企业的安全部门非常倚重‘白帽子’。”陈某这样评价互联网企业与“白帽子”之间的关系,互联网企业有一项很重要的职责,就是保护好用户的信息安全。基于这一职责,互联网企业自身用各种各样的方法不断发现问题、解决问题,同时也欢迎“白帽子”做一些善意的测试,发现盲点,帮助厂商完善安全体系。

    “白帽子”提升了行业和厂商对安全的重视程度,但陈某也坦言,互联网企业也有害怕“白帽子”的时候。有些“白帽子”经意不经意的测试行为,可能导致数据被破坏,甚至一些打着“白帽子”旗号的人会贩卖数据。“白帽子”对用户的数据产生侵犯,就可能触碰互联网企业的底线。

    “白帽子”除了与互联网企业打交道,还会与漏洞披露平台产生联系。

    赵占领说,“白帽子”和漏洞披露平台之间有两种关系。第一种是平台提供信息发布服务,平台是信息存储空间,“白帽子”把发现的漏洞信息提交给平台,平台按照自己的流程把信息提供给互联网企业,该公开的时候公开。在这种情况下,两者之间就是信息发布服务者和用户的关系。

    中科院软件研究所研究员丁丽萍认为,目前漏洞披露平台大多采取用户自由提交漏洞信息的模式,在这种模式下,“白帽子”怎么定义、怎么审核这些提交漏洞的人?这些问题成为关键。漏洞披露平台很难保证每个用户没有在利益驱动下做违法的事情。

    “白帽子”与漏洞披露平台之间的另一种关系,来自于一个商业模式,安全“众测”或称“众包”的模式。漏洞披露平台接受一些互联网企业的安全外包任务,平台将任务发布给平台上的技术高手完成项目。

    专家告诉记者,在这种情况下,企业的安全意识成为关键因素。丁丽萍说,企业分成两类,一类是欢迎挖漏洞的;另一类的态度是“我有漏洞你管得着吗?你公布试试,你攻进来试试”。后一种态度虽然不讲理,但也不是不合法的。刑法修正案(九)在第二百八十六条中增加了企业责任条款。丁丽萍认为,法律对企业提出了要求,由于企业不注重信息安全防护而导致用户数据大量泄露,需要承担刑事责任。因此,企业可能会更欢迎“白帽子”来挖漏洞。

    “白帽子”面临法律风险

    法律专家告诉记者,“白帽子”自发进行测试时,面临着多层次的法律风险。

    有些“白帽子”对网站进行测试时,并不十分了解他们使用的软件,测试一开始就蕴藏着风险。赵占领告诉记者,有一些针对常见漏洞的检测工具软件在网上很容易找到;比较特殊或复杂的漏洞检测工具软件,则来自“技术社区(论坛)”分享,仅在技术爱好者圈子中流传;还有些“白帽子”自己写检测程序。“白帽子”使用的软件可能有自动缓存功能。“白帽子”在检测过程中,主观上没有获取数据的想法,但测试软件可能会把数据存储在电脑上。这种行为是否属于刑法所定义的获取数据,目前还没有类似案例,最终还要看司法机关怎么认定。

    赵占领告诉记者,互联网企业认为“白帽子”发现的漏洞有价值时,可能会给予精神上的感谢或者物质上的奖励,但这不是必须给予的。不过,如果“白帽子”拿着找到的漏洞,以公开漏洞、透露给别人或攻击漏洞相要挟,要求互联网企业支付一定的金钱,则有可能构成敲诈勒索。

    赵占领说,“白帽子”了解最多的法律是刑法第二百八十五条、第二百八十六条关于网络安全的规定,但他们常常忽略了即便没有构成刑事犯罪,也有可能触犯治安管理处罚法。

    “白帽子”常忽视的,还有侵犯隐私权、知识产权等民事法律风险。朱巍说,“白帽子”使用插件、外挂的方式,或嵌入式的方式,把自己想要的功能加入别人的软件之中达到他们的目的,这可能侵犯了他人的知识产权,严重的还会涉及到知识产权相关刑事责任。

    “我们是搞技术的,钻研安全漏洞,我们并不钻研法律漏洞,对法律也是一知半解。”“白帽子”张某坦言,“白帽子”对法律的了解程度不深。不过,对于与互联网企业的沟通模式,张某也有自己的想法。

    现有的模式是企业发出授权,然后“白帽子”参与测试。能不能有所变化?张某给出一个模型:“白帽子”在测试前,先向企业发出申请,这个申请带上明确个人信息。当企业认为“白帽子”的测试有问题时,马上联系“白帽子”终止测试。这种模式可以保护“白帽子”的主动参与积极性,同时也给互联网企业保留了主动权。

    丁丽萍建议,漏洞披露平台和一些官方的机构合作,在获得授权的情况下进行漏洞挖掘和披露,从而降低法律风险。在授权合作模式下,漏洞披露平台将获得的漏洞信息提交给公安部门,由公安部门介入处理;或提交给国家互联网应急中心,由国家互联网应急中心向对方发出通知,告知对方系统有漏洞以及可能造成大量数据泄露、国家财产或者群众利益的损失等后果。(张昊)

  

来源: 法制日报--法制网(责任编辑:梁梦晚)
反恐演练
与80后对话 谈“从警”
·南京警方《西游警记》3
·河南统一销毁非法枪爆物
·河南铁路法院检察院移交
·小说凤鸣安吴首发
·陕西省司法厅送法进企业
·陕西司法厅送法进企业2
 
·淮安清江浦人民调解道德模范帮帮团开展“德法同行”进社区活动
·常州武进南夏墅司法所精心构建“四位一体”矫正帮教基地
·盐城监狱举办“红飘带”志愿者帮教工作站揭牌仪式
·泰兴市检察院赴井冈山开展党性锻炼活动
·吴政隆调研强调 坚持安全发展绿色发展
·泗阳县司法局扎实开展“法律诊所”服务工作
·旧储罐当废铁切割 操作不当引发大火
·海安曲塘派出所民警及时救助一名轻生老妪
 
新疆中小学全民国家安全教育日活动启动 全区4709所中小学同步开展教育活动
清查边防辖区
·弘扬五四精神 做忠诚卫士
·新疆克州“去极端化”工作见成效
·许下“民族团结”的庄严承诺
·2015年新疆公众安全感、满意度提升
·玛依塔斯312名滞困旅客安全转移
·新疆严打“黑广播”违法犯罪活动
新疆博乐警方成功破获一起特大贩毒案
23日,记者从新疆博乐市公安局获悉,博乐警方成功破获一起特大贩毒案共25.32公斤毒品。
·新疆首起组织考试作弊案审查起诉
·帮亲人"驱鬼"涉嫌故意伤害致人死亡均被拘
·门前窨井伤人 面馆被判赔偿
·男子“苦练”开锁 入室盗窃后将门锁反锁
·法院庭审进病房 当事人握手言和
·司法抗干扰必须抓早抓小
·干部开网店应注意法律风险
·新疆开展司法鉴定质量评查考核
·新疆首起“飚车”案当庭宣判
·警方提醒:四类微信诈骗方式要当心