在互聯(lián)網(wǎng)世界,烏云網(wǎng)一直扮演著“守護者”角色,但烏云網(wǎng)模式自誕生起,就一直行走在灰色地帶,因而備受爭議。烏云網(wǎng)此次危機,正是這一灰色地帶的風(fēng)險爆發(fā)所致。方小頓顯然沒有意識到事態(tài)的嚴(yán)重性,前不久,他在朋友圈發(fā)“跑路”信息時,還配上了一組做鬼臉的微信表情。以IT男為主的好友群體紛紛點贊,并配合字里行間的輕松姿態(tài),附上留言:“方小遁”。
“我出去躲兩天”
與此同時,南方周末記者從多處信源獲悉,包括方小頓在內(nèi)的“多名高管被抓”,烏云網(wǎng)被迫停擺。
方小頓網(wǎng)絡(luò)ID叫“劍心”,是烏云網(wǎng)的創(chuàng)始人之一,也是赫赫有名的“白帽子”黑客。
在黑客江湖,一部分群體通過攻擊系統(tǒng)漏洞獲取數(shù)據(jù),再把信息兜售至黑市牟利,被稱為“黑帽子”黑客;另一部分是“正面角色”,號稱只是將檢測出的bug提交至報告平臺進(jìn)行公布,提醒、倒逼企業(yè)注重用戶的數(shù)據(jù)安全,被稱為“白帽子”黑客。
一般而言,白帽子先將自己發(fā)現(xiàn)的漏洞提交至漏洞報告平臺,審核通過后會粗略發(fā)布漏洞情況,并等待涉事單位認(rèn)領(lǐng)。如若幾十天后仍沒有機構(gòu)聯(lián)絡(luò)平臺,將進(jìn)一步公布漏洞細(xì)節(jié)內(nèi)容。一直以來,烏云網(wǎng)以這種方式公布信息,敦促企業(yè)加強安全意識。
“往往不是黑帽子或者白帽子,而是斑馬,白天黑,晚上又洗白。”付德明對南方周末記者說,漏洞提交前,黑帽子與白帽子的身份界定模糊,提交后公布環(huán)節(jié)的流程不規(guī)范,造成烏云網(wǎng)模式自誕生起,就在法律與道義上備受爭議。付德明在一家世界500強公司做企業(yè)網(wǎng)絡(luò)安全防衛(wèi)工作。
此番烏云網(wǎng)被查事件在業(yè)界造成震蕩,再次引發(fā)了一場網(wǎng)絡(luò)倫理的討論。
“這次是攤上更大的事兒了”
“這次是踩上雷了,幫不了他們(烏云網(wǎng))了。”一位與烏云網(wǎng)有業(yè)務(wù)往來的IT人士劉萍告訴南方周末記者。
劉萍介紹,實際上烏云網(wǎng)已經(jīng)被查處,多名高管也“被抓”。
7月19日,另一家互聯(lián)網(wǎng)測試平臺漏洞盒子宣布,暫停接受互聯(lián)網(wǎng)漏洞與威脅情報。而且,“白帽子”黑客報告漏洞的頁面已經(jīng)無法查看。漏洞盒子也發(fā)布了公告,稱“要對流程制度、規(guī)范等進(jìn)行梳理”。
烏云網(wǎng)成立于2010年5月份。在一期視頻演講節(jié)目中,方小頓回憶,自己在百度做網(wǎng)絡(luò)安全方面的工作時發(fā)現(xiàn),國內(nèi)除了BAT等幾個巨頭之外,很少有公司有強烈的網(wǎng)絡(luò)安全意識,并且愿意耗費時間、精力保護用戶的數(shù)據(jù)信息。所以,有了成立一家平臺,敦促企業(yè)注重安全的念頭。
以網(wǎng)絡(luò)ID“劍心”為身份,在互聯(lián)網(wǎng)黑客江湖小有名氣的方小頓,聯(lián)合幾位同道者,成立了烏云網(wǎng)。其宗旨是成為“自由平等”的漏洞報告平臺,為計算機廠商和安全研究者提供技術(shù)上的各種參考以及漏洞bug的修復(fù)。
據(jù)《電腦報》報道,烏云網(wǎng)的成名戰(zhàn)發(fā)生在2011年年底。當(dāng)年11月,烏云網(wǎng)根據(jù)白帽子提供的各種材料,連續(xù)披露京東商城、支付寶、網(wǎng)易等互聯(lián)網(wǎng)巨頭存在高危漏洞,12月29日更是指出支付寶1500萬至2500萬用戶資料泄露,以及一家政務(wù)網(wǎng)444萬用戶信息泄露。
此后,烏云網(wǎng)又相繼披露出酒店開房信息泄露、支付寶漏洞、搜狗瀏覽器泄露用戶數(shù)據(jù)、騰訊7000萬QQ群用戶數(shù)據(jù)泄露等一系列重大的漏洞事件。
中科院軟件研究院博導(dǎo)丁麗萍曾參加過烏云網(wǎng)組織的圓桌會議。她對南方周末記者說,一直以來,烏云網(wǎng)爭議的焦點是,有沒有權(quán)利檢測別人的漏洞,以及有沒有權(quán)利公開漏洞——即便有著高尚的出發(fā)點。
直到2015年12月,在烏云網(wǎng)上提交漏洞的“白帽子”第一次“出事”。2015年12月,杭州的IT人士袁煒,在烏云提交了他發(fā)現(xiàn)的世紀(jì)佳緣網(wǎng)站系統(tǒng)漏洞。
在世紀(jì)佳緣確認(rèn)、修復(fù)了漏洞,并按烏云平臺慣例向漏洞提交者致謝后,事態(tài)竟急轉(zhuǎn)直下,世紀(jì)佳緣不久后以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報警。2016年4月份,袁煒被司法機關(guān)逮捕。
袁煒妻子戴女士告訴南方周末記者,袁煒是嚴(yán)格按照烏云網(wǎng)的發(fā)布流程提交的漏洞,但是世紀(jì)佳緣在追究責(zé)任時,“繞過了烏云,以及袁煒白帽子身份”。她說,袁煒的案子目前仍未出結(jié)果。
有人將此次烏云網(wǎng)停擺與世紀(jì)佳緣漏洞相聯(lián)系,認(rèn)為是上次事件的發(fā)酵。但是付德明予以否認(rèn)。
“探地雷”與“撬保險箱”
根據(jù)此前發(fā)布的《烏云網(wǎng)漏洞審核機制改進(jìn)公告》,白帽子黑客發(fā)現(xiàn)某處漏洞后,向烏云網(wǎng)提交漏洞,烏云網(wǎng)審核確認(rèn)后,會把漏洞的概況在烏云平臺上公布。
其中,普通漏洞披露流程為5天廠商確認(rèn)期,10天向核心白帽子公開其漏洞細(xì)節(jié),20天向普通白帽子公開,30天向?qū)嵙?xí)白帽子公開。直到45天之后,企業(yè)仍未主動認(rèn)領(lǐng)漏洞,則會向公眾公開其細(xì)節(jié)。
付德明認(rèn)為,這其中的每一個環(huán)節(jié)的正當(dāng)性,都值得深入探討。
他舉例說,有相應(yīng)技術(shù)的黑客們,“黑”進(jìn)一家企業(yè)的系統(tǒng)并發(fā)現(xiàn)漏洞,相當(dāng)于一個江洋大盜撬開了銀行的保險柜。按照白帽子、黑帽子約定俗成的分野,黑帽子黑客會直接將保險柜中的財寶席卷一空;但是白帽子黑客的做法,是并不偷拿保險柜中的“一針一線”,而是好心好意告訴銀行,保險柜的鎖不夠安全,應(yīng)該及時加固,更有甚者,會告訴銀行加固的方法。
付德明說,理論上看,即便銀行大門敞開,外人也沒有權(quán)利貿(mào)然闖入。
退一步講,如果銀行的保險柜失竊,丟沒丟東西,只要清點一下數(shù)目即可,但是數(shù)字化的系統(tǒng)對于“闖入者”性質(zhì)認(rèn)定就極為復(fù)雜,因為數(shù)據(jù)有著極其容易復(fù)制的特性,偷看數(shù)據(jù)、復(fù)制數(shù)據(jù)都可以非常隱蔽地進(jìn)行。
“數(shù)據(jù)沒有丟失,但不代表沒有被偷看、復(fù)制。”他說。
“白帽子黑客說,我只是發(fā)現(xiàn)了漏洞,沒有偷看,更沒有復(fù)制,這在技術(shù)上比較難以界定。”丁麗萍兼任中國電子學(xué)會計算機取證專家委員會主任,她說,電子取證在技術(shù)上極為困難,因為類似于截屏這樣的行為,很難去追查。
于是,黑客們將一家企業(yè)的漏洞提交給烏云網(wǎng)平臺之前,可操作的空間便已經(jīng)很大。“說不定已經(jīng)把數(shù)據(jù)賣了個遍,轉(zhuǎn)了幾手之后,再提交的。”付德明認(rèn)為,在提交漏洞第一個環(huán)節(jié)發(fā)生之前,很難將白帽子與黑帽子的性質(zhì)區(qū)分開來。
專注于網(wǎng)絡(luò)安全領(lǐng)域的盤古網(wǎng)絡(luò)技術(shù)有限公司創(chuàng)始人韓爭光告訴南方周末記者,他本人并不喜歡“撬保險柜”的比喻,因為這帶著一種偏見,認(rèn)定黑客們一定會做壞事。但是實際上,確實有很多具有“俠客”精神的白帽子,只是單純?yōu)榱税l(fā)掘漏洞,再提醒廠商修補漏洞,并不泄露信息。
“一些白帽子提醒企業(yè)后,只能得到很微小的獎勵,這與他們的勞動很不成正比。”韓爭光說。
相較于“撬保險柜”,他更喜歡用“排地雷”的比喻。韓爭光認(rèn)為,囿于開展業(yè)務(wù)的需求,系統(tǒng)內(nèi)存儲著大量的用戶信息,這屬于公眾利益的一部分,企業(yè)有義務(wù)、有責(zé)任,對這些信息的安全負(fù)責(zé)。
但是事實上,絕大部分企業(yè)安全意識淡薄,并不怎么把用戶的信息安全放在心上。白帽子檢測系統(tǒng)漏洞的行為,相當(dāng)于排除地雷,倒逼企業(yè)不斷修復(fù)、加固系統(tǒng),起到了維護公眾利益的作用。
世紀(jì)佳緣選擇報警之后,在業(yè)界引起較大反響。很多人認(rèn)為,堵住烏云網(wǎng)平臺這一正常途徑后,只會逼迫白帽子轉(zhuǎn)黑,最后損害的還是用戶利益。
但是,排除白帽子提交漏洞之前的動機不論,付德明認(rèn)為,烏云模式當(dāng)中,審核、發(fā)布漏洞的流程也值得商榷。
他分析說,白帽子提交了漏洞之后,平臺要對這一漏洞的真實性進(jìn)行審核,而審核的環(huán)節(jié),其實是對系統(tǒng)的該處漏洞,又“攻擊”了一次。
審核通過后,平臺會將一部分漏洞通知企業(yè),提醒其加強防范。但是也有大部分漏洞提醒直接發(fā)在平臺上,等待企業(yè)認(rèn)領(lǐng)。
“所謂的認(rèn)領(lǐng),不是主動找企業(yè),而是等著企業(yè)主動找上門。”付德明說,在這一環(huán)節(jié),一些安全意識較強的互聯(lián)網(wǎng)巨頭,會有專門的安全職位負(fù)責(zé)在不同平臺巡視,所以能夠及時發(fā)現(xiàn)公布出來的安全隱患,早做溝通,予以解決。
但是絕大部分企業(yè)并不知道白帽子在平臺上作出了提醒,“甚至不知道烏云網(wǎng)的存在。”所以即便是后來傾向于認(rèn)為白帽子是在做好事,也沒有趕過去認(rèn)領(lǐng),因為這一環(huán)節(jié)只留給企業(yè)5天時間。
過了5天的認(rèn)領(lǐng)期限,平臺會分批次向不同等級白帽子公布漏洞的大概情況。“這個時候,還不會公布細(xì)節(jié),只是一些大概情況。”付德明說,到了這一步驟,情況變得糟糕起來,因為白帽子數(shù)量很多,即便不公布細(xì)節(jié)內(nèi)容,也會有數(shù)量龐大的黑客開始在公布的系統(tǒng)提醒上挖掘,“像蒼蠅一樣,總會找出漏洞在哪”。
所以,從企業(yè)利益的角度出發(fā),發(fā)現(xiàn)漏洞越及時,挽回?fù)p失的余地越大。
如若在這一環(huán)節(jié)當(dāng)中,仍未見企業(yè)現(xiàn)身,45天后,烏云網(wǎng)會在平臺上公布漏洞的細(xì)節(jié)內(nèi)容。
“告訴你哪里門沒鎖,這實際上等于公布數(shù)據(jù)信息了。”付德明認(rèn)為,平臺沒有權(quán)利公布數(shù)據(jù)內(nèi)包含的用戶信息。
對此,韓爭光分析,烏云網(wǎng)的提交、審核、發(fā)布流程,借鑒了國外的經(jīng)驗。之所以最后會有公開發(fā)布漏洞細(xì)節(jié)的環(huán)節(jié),是為了敦促企業(yè)加強安全防范。“企業(yè)應(yīng)該加強安全意識,保護好用戶的信息”。
誰來保障用戶信息?
《南方周末》曾經(jīng)報道,2015年4月,一位ID名為“路人甲”的網(wǎng)友在蘇寧的實體店里購買了幾件電器后不久就多次接到400開頭的詐騙電話。他隨后對蘇寧系統(tǒng)進(jìn)行測試,挖出了蘇寧信息泄露的漏洞。
蘇寧易購方面表示,已向南京玄武區(qū)公安局報案,并會全力配合警方調(diào)查,但是不會對受害者進(jìn)行賠償。
韓爭光認(rèn)為,白帽子之所以有存在的價值,是因為企業(yè)信息泄露后付出的代價很低,才需要白帽子們敦促企業(yè),加強整個網(wǎng)絡(luò)世界的安全級別。
在這個問題上,付德明部分同意韓爭光的看法。他認(rèn)為,正常的邏輯應(yīng)該是,用戶把珠寶存在銀行保險柜里被偷了,用戶不會自己去抓小偷,只需要銀行賠償損失即可。
如果網(wǎng)絡(luò)世界也遵循這一條規(guī)則,企業(yè)將會對因為保管用戶信息不嚴(yán)密導(dǎo)致信息泄露付出慘痛代價,自然而然會加強安全防御,白帽子便也就沒有存在的必要。
“銀行不會找小偷測試防盜門牢固不牢固,這個不用你提醒。”付德明說。
知名IT與知識產(chǎn)權(quán)律師趙占領(lǐng),曾代理過蘇寧易購信息泄露案子。他對南方周末記者介紹,理論上企業(yè)要為泄露用戶數(shù)據(jù)承擔(dān)責(zé)任,但是數(shù)據(jù)信息在技術(shù)上難以界定,“企業(yè)會說,這些數(shù)據(jù)不是在他們這里泄露的,或者說,即便是他們泄露的,但是詐騙案不是利用這些數(shù)據(jù)進(jìn)行的。”
趙占領(lǐng)介紹,全國范圍內(nèi),用戶狀告企業(yè)泄露個人信息的案件并不多,勝訴的更少。原因在于,用戶自身缺乏權(quán)利意識,再加上訴訟成本很高,且企業(yè)賠償?shù)陌咐⒉欢唷?ldquo;發(fā)生過很多起酒店開房信息泄露的事件,但是起訴的不多。”
丁麗萍介紹,新修訂的刑法286條,明確了企業(yè)保護用戶個人信息的責(zé)任主體。如果能夠認(rèn)真執(zhí)行,企業(yè)漠視網(wǎng)絡(luò)安全的情景應(yīng)該會慢慢改變。
(應(yīng)受訪者要求,付德明、劉萍為化名)