針對近日網(wǎng)上流傳“白帽社區(qū)平臺烏云網(wǎng)多名高管被捕”一事。財新記者從多個渠道確認,烏云網(wǎng)近十多名團隊成員被警方帶走,包括烏云網(wǎng)創(chuàng)始人方小頓。目前,各方尚不清楚烏云網(wǎng)因何出事。
“事情發(fā)生得很突然,烏云網(wǎng)的人自己也不知道出了什么事。”一位接近烏云網(wǎng)的知情人士告訴財新記者,“大概一個禮拜前,是下午,烏云網(wǎng)近十多名團隊成員被警方帶走。烏云網(wǎng)的人說,當(dāng)時沒有什么手續(xù),也沒有通知。”
上述知情人士向財新記者透露,烏云網(wǎng)創(chuàng)始人方小頓當(dāng)天被帶走。財新記者多次聯(lián)系方小頓,未獲回復(fù)。方小頓的微信朋友圈早已于7月18日停止更新。他在最后一條朋友圈里稱,“比天賦更重要的是變強起來的勇氣,希望回來能有更好的自己。”當(dāng)時的他還在朋友圈里推薦烏云的一款產(chǎn)品“唐朝安全巡航”,并配上大笑的表情。
7月8日-9日,方小頓曾在2016年烏云白帽大會上公開露面。當(dāng)時,他與中科院軟件研究所研究員丁麗萍、公安部網(wǎng)絡(luò)安全專家童瀛等業(yè)內(nèi)知名人士一起探討系統(tǒng)漏洞披露模式的邊界問題。與會人士介紹,當(dāng)天的方小頓看不出有何異樣,情緒也很穩(wěn)定。
另一位與烏云有合作往來的人士稱,當(dāng)時帶走的人里面沒有烏云市場負責(zé)人鄔迪。財新記者試圖聯(lián)系鄔迪,但他的電話已處于呼叫轉(zhuǎn)移狀態(tài)。
7月19日,烏云網(wǎng)已經(jīng)無法登陸。7月20日凌晨,烏云發(fā)布了一則升級公告,稱為了更好地向用戶提供服務(wù),烏云及相關(guān)服務(wù)將進行升級。在這則公告里,烏云還稱,“我們將在最短的時間內(nèi),以最好的姿態(tài)回歸。”但直至7月28日,烏云仍處宕機狀態(tài)。
上述與烏云有合作往來的人士向財新記者透露,烏云網(wǎng)并非相關(guān)部門封掉了,而是烏云自己的人決定停掉,估計是規(guī)避風(fēng)險。“8月上旬,成都將召開一個有關(guān)網(wǎng)絡(luò)安全的大會,本來是邀請了烏云的人做演講。現(xiàn)在也取消了。”一位接近烏云的人士稱。
一位多年活躍在烏云平臺上的白帽對財新記者表示,真實的情況到底是什么很難知道。關(guān)心烏云的人基本都在默默地等著,希望烏云趕緊恢復(fù)。
事出原因不明引猜測
烏云網(wǎng)出事消息傳出后,白帽們及互聯(lián)網(wǎng)圈內(nèi)人士紛紛猜測其出事原因。大體有三種說法:一是杭州IT人士袁煒在烏云平臺提交了世紀佳緣網(wǎng)站系統(tǒng)漏洞,世紀佳緣按照慣例修復(fù)漏洞并致謝烏云網(wǎng)之后,突然以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報警。之后北京朝陽區(qū)人民檢察院于2016年4月批捕袁煒。檢方已決定對袁煒提起公訴,烏云可能受到牽連。二是烏云平臺上的白帽測試了相關(guān)政府部門的網(wǎng)絡(luò)系統(tǒng),烏云受到牽連。三是7月全國多名艾滋病患者信息被泄漏,烏云因在平臺上公布過中疾控疫情網(wǎng)存在系統(tǒng)漏洞受調(diào)查。
中國互聯(lián)網(wǎng)協(xié)會信用評價中心法律顧問趙占領(lǐng)分析,烏云網(wǎng)受世紀佳緣事件影響的可能性不太大。按照相關(guān)法律,技術(shù)人士利用漏洞機會實施犯罪行為,比如獲取數(shù)據(jù)、破壞系統(tǒng)等。這些行為本身不是在平臺上發(fā)生的,而是發(fā)生在平臺之外的行為。平臺做的只是將漏洞通過圖片、文字等形式公布出來,平臺的行為也可能是法律問題,但不是犯罪問題。
“平臺涉及的法律問題可能包括白帽發(fā)布漏洞不實或不準確,平臺因?qū)β┒葱畔⒇撚袑徍素?zé)任,造成共同侵權(quán)。”趙占領(lǐng)認為。
“白帽”社區(qū)邊界在哪里?
烏云網(wǎng)的定位是一個位于廠商和安全研究者之間“自由平等”的漏洞報告平臺,由原百度“80后”高級安全工程師方小頓聯(lián)合幾位同行創(chuàng)辦,2010年5月正式上線,核心的運營思路遵循開放和分享的原則。
短短6年間,烏云被業(yè)內(nèi)譽為中國最大的白帽聚集地,2014年大概有近5000名白帽活躍在烏云網(wǎng)上。按照互聯(lián)網(wǎng)圈普遍定義,白帽是指擁有高超的互聯(lián)網(wǎng)技術(shù),能夠發(fā)現(xiàn)網(wǎng)絡(luò)漏洞或風(fēng)險點,但并不以此作惡的人。
“白帽發(fā)現(xiàn)漏洞,烏云審核通過,會提供給相關(guān)公司讓其認領(lǐng)并修復(fù)。只有在相關(guān)公司不認領(lǐng)的情況下,烏云才會在平臺上向公眾予以公開。”上述多年活躍在烏云平臺上的白帽向財新記者介紹,“報告漏洞都是免費的,烏云并不向企業(yè)收費,是非營利性的機構(gòu)。”
按照烏云的流程,一般10天向核心白帽子公開其漏洞細節(jié),20天向普通白帽子公開,30天向?qū)嵙?xí)白帽子公開。直到45天之后,企業(yè)仍未主動認領(lǐng)漏洞,則會向公眾公開其細節(jié)。
一位熟悉烏云運作模式的人士稱,從商業(yè)盈利的角度,烏云現(xiàn)在也會接受商業(yè)公司的委托進行安全測試,譬如烏云的一些產(chǎn)品唐朝安全巡航、安全眾測等。但這與白帽主動在烏云平臺報告漏洞是完全分開的。
白帽在未經(jīng)公司允許的情況下是否能主動去測試其系統(tǒng)安全?按照相關(guān)法律,測試系統(tǒng)漏洞的行為不違法,就像你去敲敲門發(fā)現(xiàn)別人的門沒鎖立刻告訴別人,是善意提醒。但是,如果發(fā)現(xiàn)別人門沒鎖,進去別人家里則另當(dāng)別論。
趙占領(lǐng)認為,涉及白帽的犯罪行為主要有三種:一是非法侵入計算機系統(tǒng)罪,但該犯罪行為指的是被入侵對象必須是國家事務(wù)或國防系統(tǒng)。一般情況下,如果不是政府網(wǎng)站的話,白帽一般不會涉及;二是非法獲取計算機信息數(shù)據(jù)罪,這個罪名成立需要有三個條件:必須要有入侵或者通過其他方法獲取數(shù)據(jù),而且情節(jié)嚴重。“情節(jié)嚴重”包括金融機構(gòu)的金融身份認證信息達到十組以上,其他的身份認證信息達到500組以上,或者是非法控制計算機系統(tǒng)等具體條件;三是操縱、破壞計算機信息系統(tǒng)罪,包括控增加、刪除、修改、干擾計算機系統(tǒng),或者是對數(shù)據(jù)有相應(yīng)的刪除行為,甚至倒賣數(shù)據(jù)等。
“這些年,烏云上報的漏洞已經(jīng)非常多了。如果是有黑客做了啥壞事,那應(yīng)該是相關(guān)部門去查那個黑客,烏云平臺輔助配合調(diào)查。”上述多年活躍在烏云平臺上的白帽說。