在白帽子們看來,這就是一次普通得不能再普通的找漏洞行為;在世紀佳緣公司看來,這是在保護用戶數據上做了一個正常的決定。但是當這兩者碰到一起,就演變成了白帽子圈子裏不亞於一場地震的抓人事件。誰對誰錯?現在很難説清,或許在多年以後,袁煒的遭遇,會成為安全行業發展歷史上的一個標誌性事件。
先獲感謝後被舉報
白帽子行業的傳奇人物、補天漏洞平臺前負責人趙武這段時間接到了很多白帽子打來的電話,或憤怒,或擔憂,這些白帽子和他説的都是一件事,即現在國內白帽子圈子裏關注度最高的“袁煒事件”。
袁煒是網際網路漏洞報告平臺“烏雲”上的一名白帽子。去年12月份,他在烏雲提交了其發現的婚戀交友網站世紀佳緣的系統漏洞。在世紀佳緣確認、修復了漏洞並按烏雲平臺慣例向漏洞提交者致謝後,事情突然發生轉折。世紀佳緣在一個多月後以“網站數據被非法竊取”為由報警,4月份,袁煒被司法機關逮捕。在不久前的第四屆網路安全大會上,袁煒的父親發出公開信為兒子鳴冤,讓袁煒的遭遇成為網路安全圈的熱門事件。
關於袁煒被抓,坊間傳出世紀佳緣“釣魚”的説法,有人質疑為何世紀佳緣在向烏雲和漏洞提交者致謝後的一個多月又突然報警。對此,世紀佳緣方面給出了回應:“自烏雲通知公司網站存在漏洞至今,世紀佳緣從未獲得過漏洞提交人的聯繫方式並與之取得聯繫。在警方披露調查結果前,世紀佳緣並不了解網站攻擊者與漏洞提交者有何種關聯。世紀佳緣報警是出於對用戶隱私和公民資訊安全的考慮,並不針對任何個人或組織。”
按照袁煒父親在公開信中的描述,袁煒于去年12月3日下午發現世紀佳緣網站漏洞;當天晚上,他為了驗證漏洞,又通過發現的漏洞瀏覽了世紀佳緣的部分數據,確認漏洞存在;次日上午,袁煒向烏雲提交該漏洞,同一天烏雲通知世紀佳緣;12月7日,在完成漏洞修復後,世紀佳緣在烏雲平臺確認漏洞的頁面向該漏洞提交者表示感謝。今年1月18日,世紀佳緣向北京市公安局朝陽分局報案稱數據被竊取;3月8日,袁煒被刑事拘留;4月12日,北京朝陽檢察院以涉嫌非法獲取電腦資訊系統數據犯罪,批捕袁煒。
世紀佳緣向記者介紹的事件時間順序,與袁父所説基本相同,而世紀佳緣的內部人士則向記者補充了一些內情:去年12月3日晚,世紀佳緣安全維護人員發現有多個來自國內不同省市的IP地址向其網站發起了攻擊;12月7日,在完成漏洞修復後,世紀佳緣向烏雲和漏洞提交者表示感謝。“正是這次表示感謝的舉動,被人傳成了‘釣魚’。”世紀佳緣相關人士説道。至於為何在表示感謝一個月後又突然報警,世紀佳緣CEO吳琳光則在知乎上解釋稱:“在漏洞修復過程中,我們發現有900多條有效數據被攻擊者獲取,出於對用戶數據和資訊安全的擔憂,我們選擇了報警。”他同時表示,“在警方披露調查結果之前,我們並不知道提交漏洞的白帽子和攻擊者是同一個人。”
並非第一個被抓的白帽子
“這不是第一次有白帽子被抓,之前也有一些白帽子被捕甚至是判刑。”趙武介紹,之前出事的白帽子,很多時候是因為對自己身份的錯誤認識和衝動。白帽子在平臺上提交的漏洞,有的時候企業並不認可,於是會激怒一些衝動的白帽子。“你不認是吧?那等著被攻擊吧!”有的白帽子真的利用發現的漏洞進行攻擊。這種行為就背離了白帽子行業的初衷,一些白帽子也因此栽了進去。“不過袁煒還不是這樣的行為,在我們看來,他的做法就是很正常的白帽子找漏洞、提交漏洞的行為,沒有越線。”趙武説。
世紀佳緣內部人士向記者透露,他們的安全團隊一直在分析漏洞攻擊者的行為是否惡意。他們認為,涉及到900多條有效數據被獲取,已經完全超過了常規白帽子測試的範圍,通常情況下,白帽子只需要獲取少量數據甚至不獲取數據都能夠證明網站的漏洞,在無法百分百確定獲取者意圖的情況下,為了保護資訊安全,公司最終還是決定報警。而在選擇報警之前,因為存在來自國內不同地區IP地址的攻擊,世紀佳緣並未將漏洞提交者和事發當晚的其他攻擊者聯繫到一起。
在趙武看來,袁煒的行為並不難解釋。漏洞提交平臺會給白帽子提交的漏洞打分,證據越詳細、危害越大的漏洞得分越高,這也使得白帽子們習慣於多獲取一些數據,而且以往的操作中,白帽子們獲取數據的做法並沒有遭到來自企業的反對和來自平臺的提醒,大家對此也習以為常。
趙武認為,企業內部的安全人員是能夠分辨出是白帽子還是惡意攻擊的,很多在企業內做安全的人本身也是白帽子。但是決定是否報警的是企業的管理層和法務部門,他們不懂技術,這種分歧可能是造成袁煒被抓的原因。
憤怒且自危的白帽子們
在事件被曝光後,世紀佳緣幾乎成為了白帽子們的“公敵”。世紀佳緣內部人士表示,這段時間,世紀佳緣網站遭遇的網路攻擊數量確實比平時有所增加,短短幾天時間,又有多個世紀佳緣的漏洞在烏雲上被公佈。被激怒的白帽子們在用自己的方式表達對世紀佳緣的不滿。
“世紀佳緣的做法對白帽子們的傷害很大。”白帽子方明(化名)對記者説,白帽子的圈子裏對世紀佳緣有一種同仇敵愾的心理,針對世紀佳緣的漏洞尋找,也是民間的一種自發反擊。
知名白帽子“豬豬俠”上周在烏雲提交了一個關於世紀佳緣的漏洞,在説明中,他特意寫道“如果廠商不願意接受來自網際網路的貿然測試,可在修復本漏洞後點擊忽略該漏洞,並在廠商回復處留下‘請不要測試本公司,本公司將採取法律手段約束你們的測試行為,後果自負。’之後走國際黑名單慣例,不會再有人關注貴公司資訊系統的安全風險。”諷刺意味十足。
趙武看來,白帽子們的憤怒和“報復”可以理解,但並不值得提倡。以往的經驗也證明,白帽子如果採取過激的報復手段,最終結果往往南轅北轍,也可能會招來企業的反報復,對企業和白帽子都不是好的處理方式。
憤怒的同時,自身安全也是白帽子們擔憂的問題。因為袁煒的做法在白帽子當中是很普遍的,如果這一案件形成了判例,也意味著更多的白帽子都面臨風險。
不受法律保護的灰色地帶
雖然白帽子的稱謂中有一個“白”字,但他們實際處在一個灰色地帶。曾經在補天平臺上為白帽子們做過法律培訓的北京富潤律師事務所黃錦深律師介紹,按法律規定來説,只要是沒有獲得企業的授權,白帽子自發挖漏洞的行為都是違法的,即便是通過漏洞平臺,企業註冊了該平臺的賬號,也不能算作授權。
趙武稱,“只是現在廠商和白帽子之間形成了一種默契,民不舉官不究而已。很多白帽子並不清楚這一點,以為自己的行為是合理合法的。但是企業一
旦較真,白帽子的行為是不受法律保護的。”
黃錦深在給白帽子做法律培訓時建議,白帽子找漏洞之前,最好先和企業達成協定,獲得授權,但現實中這種方式幾乎不具備可行性。退而求其次,黃錦深告誡白帽子,為了自我保護,行為一定要保持在企業能接受的範圍內,不要越線,比如下載保存對方的數據,甚至破壞對方的數據。
通過袁煒事件,很多白帽子也第一次知道了一個臨界點,按照我國法律規定,構成非法侵入電腦資訊系統罪的認定標準中,有一條是獲取身份認證資訊500組以上。從這一標準來看,袁煒獲取了超過900條有效數據,或許是檢方批捕袁煒的主要原因。
“這一次我才知道還有這樣的規定,以前根本沒有注意過數量的問題。”作為白帽子的方明説。
對於袁煒案件,黃錦深認為,雖然符合立案標準,但是從目前披露的情況看,很難判斷袁煒是否有主觀惡意,也沒有造成嚴重的損失,最終的判決應該不會很重。如果世紀佳緣能夠對他的行為表示諒解,也有可能減輕他的處罰。
更好還是更壞的未來
“這次可能會成為白帽子史上的一個標誌性事件。”趙武認為,袁煒事件的最終解決和後續影響,可能左右白帽子這個群體的今後走向,“未來白帽子的生存環境會更好或者更壞都有可能。”
趙武表示,以袁煒事件為契機,國內主要的漏洞響應平臺應該聯合起來,主動和執法部門進行溝通和研究,明確白帽子行為的界限,有一個明確的司法界定,把原來灰色的部分真正變成白色。
這樣既能讓真正的白帽子的工作有了保障,也能預防白帽子“涉黑”。
“這是更好的可能性。當然也有更壞的。”趙武説,如果白帽子和企業之間的對抗加深,矛盾加劇,那麼從執法部門的角度考慮,很可能就會對白帽子的管理更加嚴苛,白帽子的活動空間就會被壓縮,面臨更多個人安全上的威脅。那樣對白帽子整體打擊會很大。
“不管未來如何,眼下起碼有一點需要改進,那就是漏洞平臺的作用。”趙武認為,像烏雲這樣的平臺,應該為白帽子們提供更好的法律支援,而不是把白帽子推出去,讓他們自己去打官司。
記者也了解到,將於下月召開的中國網際網路安全大會上的網路安全與法治分論壇,將邀請國內、國外的相關專家就白帽子的法律邊界問題進行探討。
京華時報記者古曉宇
[責任編輯:李帥]
京ICP證130248號京公網安備110102003391