6月下旬,第四屆中國網(wǎng)絡(luò)安全大會在北京舉行。其間,一封來自某“白帽黑客”父親的公開信意外在網(wǎng)絡(luò)信息安全圈內(nèi)外掀起不小波瀾。
“白帽黑客”與“黑帽黑客”相對,指正面的黑客。他們能識別出計算機或網(wǎng)絡(luò)系統(tǒng)中的漏洞,將其公布給廠商修復(fù),以免“黑帽黑客”從中盜取信息、牟利。
公開信作者、浙江杭州的袁先生稱,其子袁某就是一名“白帽黑客”。2015年12月4日,袁某使用第三方漏洞報告平臺烏云網(wǎng)賬號提交了一份關(guān)于世紀(jì)佳緣網(wǎng)的漏洞報告,隨后,世紀(jì)佳緣確認并修復(fù)了該漏洞,并致謝烏云網(wǎng)及袁某。
4個月后,北京警方卻以涉嫌非法獲取計算機信息系統(tǒng)數(shù)據(jù)將袁某刑事拘留。原來,世紀(jì)佳緣網(wǎng)今年1月報警稱有4000余條實名注冊信息被竊取。目前案件處于審查階段,未有結(jié)論。袁先生在公開信中稱,其子檢測漏洞并無意圖或主動下載數(shù)據(jù)。
“白帽黑客”檢測漏洞是否構(gòu)成犯罪?有業(yè)內(nèi)專家指,維護網(wǎng)絡(luò)安全的“白帽黑客”群體實則游走在法律的邊緣地帶。
妻子:漏洞檢測為維護安全
6月26日,南都記者聯(lián)系到袁某妻子戴女士,她表示公開信內(nèi)容客觀真實。她回憶,被警方帶走前丈夫曾兩次提起世紀(jì)佳緣網(wǎng)的漏洞。
南都記者調(diào)查發(fā)現(xiàn),袁某的烏云網(wǎng)賬號“ledoo”注冊于2015年10月19日,共提交11份不同網(wǎng)站的漏洞報告,其中,最后提交的世紀(jì)佳緣漏洞報告時間是2015年12月4日。
戴女士稱,提交完報告一段時間后,世紀(jì)佳緣曾通過烏云網(wǎng)聯(lián)系袁某,說要饋贈禮物表達感謝,戴女士表示丈夫并沒有收下禮物。她介紹,袁某熱愛網(wǎng)絡(luò)安全領(lǐng)域,經(jīng)??磿@研到深夜,絕非貪圖禮物。
“怎么會出事呢?”戴女士認為,丈夫做“白帽黑客”以來一直未出現(xiàn)問題,提交漏洞報告也是為幫助世紀(jì)佳緣網(wǎng)維護安全。不解的戴女士聯(lián)系世紀(jì)佳緣網(wǎng)詢問,對方的回應(yīng)是袁某或與該網(wǎng)站資料泄露事件有關(guān)。對于世紀(jì)佳緣公司的報案,戴女士稱:“感覺就像被背叛,太冤屈了。”
自3月8日袁某被警方帶走后,袁某家屬至今未能與其見面。如今,該案已進入檢方審查階段。
世紀(jì)佳緣CEO:撰文否認“釣魚”一說
目前“白帽黑客”提交漏洞的途徑主要有兩種:一是通過烏云網(wǎng)、360補天平臺等漏洞平臺;二是通過各廠商自己設(shè)立的安全應(yīng)急響應(yīng)中心。不過,國內(nèi)廠商對網(wǎng)絡(luò)安全的重視程度不一,也并非每家廠商都設(shè)有安全應(yīng)急響應(yīng)中心,仍有不少“白帽黑客”通過漏洞平臺提交報告。
作為業(yè)內(nèi)知名的第三方漏洞平臺,烏云網(wǎng)擁有注冊的“白帽黑客”上萬人。此外,第三方漏洞平臺和各企業(yè)也存在合作關(guān)系。本案涉及的世紀(jì)佳緣2012年就與烏云網(wǎng)建立了合作關(guān)系。
公開信引發(fā)的討論不斷發(fā)酵,但世紀(jì)佳緣官方卻一直沒回應(yīng)。直到6月29日,世紀(jì)佳緣首席執(zhí)行官(CEO)吳琳光在某論壇發(fā)文回應(yīng)此事。但他表示因案件尚在公訴期間,文章內(nèi)容僅代表個人觀點。
吳琳光稱,2015年12月3日晚,公司安全人員發(fā)現(xiàn)有多個IP地址對其網(wǎng)站進行SQ L注入攻擊(注:SQ L注入攻擊是黑客對數(shù)據(jù)庫進行攻擊的常用手段之一)。隨后,安全人員通過技術(shù)手段阻斷了部分攻擊。次日,烏云網(wǎng)通知世紀(jì)佳緣其網(wǎng)站存在漏洞。該輪攻擊持續(xù)到12月4日晚上,直至安全人員將其完全修復(fù)。事后,世紀(jì)佳緣方面統(tǒng)計發(fā)現(xiàn),攻擊總次數(shù)累計4000余次,共有900多條有效數(shù)據(jù)被攻擊者獲取。“出于對用戶數(shù)據(jù)和信息安全的擔(dān)憂,我們還是選擇了報警。”吳琳光稱。
吳琳光否認了“釣魚”一說。他表示,在警方披露調(diào)查結(jié)果前,世紀(jì)佳緣并不知道提交漏洞的“白帽子”和攻擊者是否同一人,“報警不針對任何個人或群體,公司也沒有聯(lián)系過袁某”。
IT法律律師:道義和法律不沖突
不過,吳琳光的回應(yīng)并沒能平息網(wǎng)絡(luò)安全圈內(nèi)的爭論。南都記者了解到,早在袁案發(fā)生之前,圈內(nèi)已有對此話題的激烈爭論。
“白帽黑客”自行檢測行為,應(yīng)該“講道義”還是“講法律”?多名互聯(lián)網(wǎng)法律方面的律師向南都記者表示,相關(guān)法律對于“白帽黑客”群體留有空間。中國電子商務(wù)協(xié)會政策法律委員會委員、互聯(lián)網(wǎng)法律專家于國富介紹,我國刑法對于“非法侵入”行為構(gòu)成犯罪規(guī)定了非常窄的范圍,侵入“國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計算機信息系統(tǒng)”等特定信息系統(tǒng)的才會成立。
對于普通的廠商計算機信息系統(tǒng),僅僅實施了侵入行為,沒有破壞、控制、竊取數(shù)據(jù)等造成嚴(yán)重后果行為,不構(gòu)成犯罪。這意味著,“白帽黑客”在檢測漏洞時,只要不觸碰系統(tǒng)數(shù)據(jù),在發(fā)現(xiàn)漏洞后立即提交報告給廠商,就不涉及犯罪。“法律這一方面在尺度設(shè)計上是合理的,也給善意的‘白帽黑客’以一定的發(fā)揮能力和實施公益的空間。”于國富說。
游走在鋼絲上的“白帽黑客”
法律給“白帽黑客”的行動劃定了紅線,但在現(xiàn)實中突破紅線的現(xiàn)象卻并不少見。一名從事網(wǎng)絡(luò)安全10余年的專家介紹,部分“白帽黑客”不止于發(fā)現(xiàn)漏洞,有時會通過漏洞進入系統(tǒng)越界操作,隨后向廠商提交漏洞報告,自稱“白帽黑客”———這在圈內(nèi)被戲稱為“洗白”。
值得注意的是,這種“洗白”并無法律依據(jù)。于國富介紹,在犯罪行為后實施補救措施并不影響犯罪性質(zhì),而是否追究責(zé)任取決于企業(yè)的決策。
南都記者注意到,吳琳光在個人回應(yīng)中提到,袁某在檢測漏洞時使用的sqlmap是網(wǎng)絡(luò)黑客工具。據(jù)一名網(wǎng)絡(luò)安全從業(yè)人員介紹,sqlmap是安全圈內(nèi)常用的工具之一,它會自動將測試信息存儲到本地的一個隱藏文件夾,其中也包括一些敏感信息。另一名業(yè)內(nèi)人士則透露,一直以來網(wǎng)絡(luò)信息安全圈內(nèi)并沒有對安全工具和黑客工具加以區(qū)分,“其實是一套”。
根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》,獲取網(wǎng)絡(luò)金融服務(wù)的身份認證信息10組以上,或其它身份認證信息500組以上的,認定為非法獲取計算機信息系統(tǒng)數(shù)據(jù)。
這意味著,“白帽黑客”在使用諸如sqlm ap一類具有緩存功能的安全測試工具時,可能不經(jīng)意間就將自己置于法律風(fēng)險中。
本案中世紀(jì)佳緣網(wǎng)信息遭竊是否與袁某使用的sqlm ap工具有關(guān)?因案件還在審查階段,多名網(wǎng)絡(luò)安全圈內(nèi)人士均不予置評。