“白帽子”走鋼絲 第三方漏洞平臺惹爭議

責(zé)任編輯:editor005

作者:陳寶亮

2016-06-28 11:30:02

摘自:21世紀(jì)經(jīng)濟(jì)報道

2015年6月23日,第四屆網(wǎng)絡(luò)安全大會期間,來自浙江杭州的袁先生以“白帽子檢測漏洞到底是不是犯罪”為題,書寫《致第四屆網(wǎng)絡(luò)安全大會》的一封信。以攜程為例,2014年3月,烏云白帽子公布攜程的漏洞消息并被媒體曝光,其后攜程啟動全面安全風(fēng)險評估。

導(dǎo)讀

中國互聯(lián)網(wǎng)應(yīng)急中心指出,民間漏洞平臺在發(fā)揮積極作用的同時,在漏洞披露方面也帶來一些問題。例如:披露漏洞之前未及時通知涉事單位、披露信息過于詳細(xì)容易被黑客組織利用、漏洞信息描述不準(zhǔn)確或漏洞披露信息夸大造成社會恐慌等等,對漏洞信息的披露亟待進(jìn)一步規(guī)范。

“白帽子檢測漏洞到底是不是犯罪?”最近兩日,這是縈繞在多數(shù)白帽子心中的問題。“白帽子”描述的是正面的黑客,他們可以識別網(wǎng)絡(luò)、系統(tǒng)中的漏洞,但會向企業(yè)公布漏洞,不惡意利用漏洞。與之相對的是惡意利用漏洞盈利的“黑帽子”。

2015年6月23日,第四屆網(wǎng)絡(luò)安全大會期間,來自浙江杭州的袁先生以“白帽子檢測漏洞到底是不是犯罪”為題,書寫《致第四屆網(wǎng)絡(luò)安全大會》的一封信。信中提到,袁先生的兒子是知名第三方漏洞平臺——烏云網(wǎng)的注冊白帽子,用戶名ledoo。2015年12月4日,ledoo在烏云網(wǎng)提交了世紀(jì)佳緣一個涉及大量會員信息的漏洞,當(dāng)時,世紀(jì)佳緣確認(rèn)了這一漏洞,并致謝、修復(fù)。

不過,2016年1月,世紀(jì)佳緣向北京市公安局朝陽分局報案稱“有4000余條實名注冊信息被不法竊取”。

2016年4月12日,北京市朝陽區(qū)人民檢察院批準(zhǔn),以涉嫌“非法獲取計算機(jī)系統(tǒng)數(shù)據(jù)犯罪”逮捕ledoo。目前該案件正處于檢察院審查階段,ledoo是否違法尚未有定論。但多位接受記者采訪的業(yè)內(nèi)人士已經(jīng)提出觀點:“白帽子應(yīng)該多了解法律,懂得保護(hù)自己。”

白帽子的鋼絲

在諸多討論中,大多業(yè)內(nèi)人士引用了刑法第二百八十五條對“非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)犯罪”的規(guī)定——“違反國家規(guī)定,侵入計算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段,獲取計算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)”。

不過,袁先生在信中指出,“ledoo沒有意圖下載或者主動下載世紀(jì)佳緣的任何數(shù)據(jù)”,“他只是普通白帽子一員,沒有謀取任何私利,只是義務(wù)檢測漏洞,發(fā)現(xiàn)漏洞后告知廠家。這也算是犯罪嗎?”

獵豹移動安全專家李鐵軍在接受記者采訪時表示:“業(yè)內(nèi)公認(rèn)、合法的形式,是取得相應(yīng)企業(yè)的授權(quán)。”不過,他也指出:“但這很難實現(xiàn)。如果說只有得到授權(quán)才是合法的,企業(yè)就是不給授權(quán),現(xiàn)在所有挖洞的都可能違法,這并不利于互聯(lián)網(wǎng)安全。”

值得一提的是,真正在意用戶數(shù)據(jù)泄露問題的企業(yè)只是少數(shù)。大多白帽子嘗試過首先向企業(yè)反饋漏洞,但經(jīng)常不被企業(yè)重視,甚至遇到過“既然你發(fā)現(xiàn)的漏洞,你要負(fù)責(zé)修復(fù)”之類的要求。烏云曾經(jīng)在2012年發(fā)布公告封禁某大型國企,稱后者“漠視安全,對于白帽子發(fā)現(xiàn)的問題不處理、隨意處理,不尊重研究人員”,烏云表示不再與其對話。

但隨著第三方平臺的崛起,企業(yè)數(shù)據(jù)漏洞被公布并進(jìn)入媒體視野。2013年至今,諸如12306、網(wǎng)易郵箱、支付寶、攜程等高危數(shù)據(jù)漏洞問題被烏云白帽子公布,隨之引發(fā)了大量媒體曝光。輿論倒逼之下,多數(shù)企業(yè)開始陸續(xù)成立安全應(yīng)急中心(SRC),開始正視安全問題。

以攜程為例,2014年3月,烏云白帽子公布攜程的漏洞消息并被媒體曝光,其后攜程啟動全面安全風(fēng)險評估。此前,攜程還設(shè)立了信息安全獎勵基金,并表示希望與第三方平臺合作,指出潛在安全問題的,攜程將給予獎勵。此外,世紀(jì)佳緣也是烏云的注冊企業(yè)用戶。目前,烏云共公布了40多條世紀(jì)佳緣的漏洞信息,這些漏洞已基本確認(rèn)并修復(fù)。

在烏云注冊白帽子之后,ledoo共提交了11個漏洞,其中8個被驗證并修復(fù)。根據(jù)烏云網(wǎng)公布,目前該平臺共有2383名白帽子,共公布了接近11萬條漏洞信息。除烏云之外,補天平臺擁有3287名白帽子,漏洞盒子稱自己平臺上擁有20977名白帽子。

根據(jù)普華永道發(fā)布的《全球信息安全狀況調(diào)查》,2015年,中國大陸及香港地區(qū)檢測到的安全事件1245件,相比2014年的241件增長了517%。

無可否認(rèn),白帽子推動了安全事件的曝光,而且仍然有大量的安全事件尚未被發(fā)現(xiàn),根據(jù)普華永道報告,2015年,全球企業(yè)平均曝光的安全事件超過6583件。

公布形式爭議

但是,日益增長的安全問題以及曝光事件,與企業(yè)的安全管理之間也發(fā)生著越來越嚴(yán)重的矛盾。

2015年6月19日,烏云、補天、漏洞盒子以及百度、新浪、亞馬遜等32家企業(yè)簽署《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置公約》。中國互聯(lián)網(wǎng)應(yīng)急中心指出,民間漏洞平臺在發(fā)揮積極作用的同時,在漏洞披露方面也帶來一些問題。例如:披露漏洞之前未及時通知涉事單位、披露信息過于詳細(xì)容易被黑客組織利用、漏洞信息描述不準(zhǔn)確或漏洞披露信息夸大造成社會恐慌等等,對漏洞信息的披露亟待進(jìn)一步規(guī)范。

《公約》提出了客觀、適時、適度的三個原則,建議“在相關(guān)方未接收到漏洞信息、完成漏洞處置前或預(yù)定時限前不應(yīng)提前公開發(fā)布漏洞相關(guān)信息”。此外,出于減少輿論恐慌的考慮,《公約》建議“去掉‘數(shù)千萬’、‘身份證’、‘銀行卡’等敏感信息”。

但記者查閱烏云、補天官網(wǎng)發(fā)現(xiàn),目前二者仍然是先披露漏洞,然后聯(lián)系企業(yè),或者企業(yè)通過官網(wǎng)聯(lián)系方式認(rèn)領(lǐng)漏洞。而且部分漏洞標(biāo)題中仍然存在“千萬”、“百萬”、“銀行卡”等字樣。

無疑,企業(yè)需要為自己的安全漏洞埋單,但這種被倒逼的方式并不能得到大多企業(yè)的認(rèn)可。據(jù)記者了解,一家半年前被烏云披露郵箱漏洞的企業(yè)至今仍在執(zhí)行危機(jī)公關(guān)。而在這一過程中,第三方漏洞平臺的紕漏方式無疑將白帽子擺在了部分企業(yè)的對立面。

需要指出,部分安全公司也并不認(rèn)可諸如烏云的披露方式。騰訊手機(jī)管家安全專家陸兆華認(rèn)為,“應(yīng)先同步給企業(yè)修復(fù),這樣白帽的技術(shù)可以借助平臺幫助企業(yè)規(guī)避漏洞被惡意利用的風(fēng)險。而修復(fù)后是否曝光,也沒有一定要曝光的做法。漏洞如果還沒有修復(fù)就曝光,這里的安全風(fēng)險就非常高,也可能會被黑客不正當(dāng)利用。”此外,IBM旗下?lián)碛袛?shù)百安全專家的X-Force團(tuán)隊也采取事后公布的做法,X-Force管理著全球最大的漏洞庫,但只有當(dāng)企業(yè)修復(fù)漏洞且自行公布后,X-Force才會公布這些漏洞。

事實上,企業(yè)陸續(xù)成立安全應(yīng)急中心,一定程度上也是希望將漏洞問題的影響控制在可控范圍內(nèi)。北京白帽匯科技創(chuàng)始人趙武認(rèn)為:“目前沒有規(guī)則,沒有權(quán)威機(jī)構(gòu),只有民間自律的體系??雌饋淼暮椭C體系只是一個初期妥協(xié)的產(chǎn)物,廠商與漏洞平臺的所謂合作以及對白帽子的認(rèn)同,這種平衡如同脆弱的窗戶紙,一捅就破。如果廠商覺得漏洞披露弊大于利,必然會反彈。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號