置身法律邊緣的“白帽子”何以善其身

責(zé)任編輯:editor004

作者:李含

2016-07-06 11:47:56

摘自:法治周末

6月23日,在會(huì)議現(xiàn)場(chǎng),拿著一封探討“白帽子檢測(cè)漏洞是不是犯罪”的信,袁冠陽(yáng)講述了兒子袁煒的遭遇——身為“白帽子”的袁煒,因檢測(cè)世紀(jì)佳緣網(wǎng)存在的系統(tǒng)漏洞,而被警方以涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪逮捕。

6月23日,在會(huì)議現(xiàn)場(chǎng),拿著一封探討“白帽子檢測(cè)漏洞是不是犯罪”的信,袁冠陽(yáng)講述了兒子袁煒的遭遇——身為“白帽子”的袁煒,因檢測(cè)世紀(jì)佳緣網(wǎng)存在的系統(tǒng)漏洞,而被警方以涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪逮捕。這一案件的曝出,立刻引發(fā)了網(wǎng)絡(luò)安全界的熱烈討論。

所謂“白帽子”,是指一些正面黑客,他們不以非法入侵他人系統(tǒng)、獲取數(shù)據(jù)信息為目的,而是通過識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞并提醒相關(guān)企業(yè)注意,從而使系統(tǒng)漏洞可以在被其他人利用之前來(lái)予以修補(bǔ)。

這樣的“白帽子”,被很多人比喻為網(wǎng)絡(luò)世界中的“超級(jí)英雄”——人們?nèi)粘ky以察覺這群人的身影,而他們卻在默默維護(hù)著整個(gè)網(wǎng)絡(luò)世界的安全。

然而,袁煒被捕一事,將一個(gè)嚴(yán)峻的事實(shí)擺在了“白帽子”們的面前——擁有強(qiáng)大信息技術(shù)的“白帽子”,與不法黑客僅僅一線之隔,其行為究竟應(yīng)當(dāng)遵循怎樣的規(guī)范,才能避免遭遇袁煒一樣的后果?

如何在發(fā)現(xiàn)漏洞、維護(hù)網(wǎng)絡(luò)安全時(shí),不讓自己置身于巨大的法律風(fēng)險(xiǎn)之中——這恐怕將是“白帽子”們未來(lái)需要認(rèn)真思考的問題。

提交漏洞卻遭警方逮捕

根據(jù)袁冠陽(yáng)介紹,袁煒被捕前就職于杭州九陽(yáng)小家電有限公司,擔(dān)任信息安全運(yùn)維主管職務(wù)。由于在履行工作職責(zé)期間,接受過很多“白帽子”的幫助,出于與其他網(wǎng)絡(luò)安全人員和廠家互幫互助、良性交流的心態(tài),袁煒便于2015年10月19日在烏云網(wǎng)注冊(cè),成為了一名‘白帽子’,此后一共在烏云網(wǎng)上提交了11個(gè)不同網(wǎng)站的漏洞,其中8個(gè)被修復(fù)。

在袁冠陽(yáng)的信中,法治周末記者看到,2015年12月3日16時(shí),袁煒通過SQL軟件對(duì)世紀(jì)佳緣網(wǎng)進(jìn)行漏洞檢測(cè),發(fā)現(xiàn)世紀(jì)佳緣網(wǎng)存在漏洞;經(jīng)多次驗(yàn)證確認(rèn)后,2015年12月4日9時(shí),袁煒將漏洞提交至烏云網(wǎng),烏云網(wǎng)隨后通知了世紀(jì)佳緣網(wǎng),同年12月7日,世紀(jì)佳緣網(wǎng)確認(rèn)并修復(fù)了該漏洞,并致謝烏云網(wǎng)及袁煒。

“本以為這是一次和以往沒有任何差別的互助交流行為,但隨后事件的發(fā)展,就出乎了我們的意料之外。”袁冠陽(yáng)表示,世紀(jì)佳緣網(wǎng)于2016年1月18日向北京市公安局朝陽(yáng)分局報(bào)案,稱有4000余條實(shí)名注冊(cè)信息被不法分子竊取。

袁冠陽(yáng)告訴法治周末記者,根據(jù)世紀(jì)佳緣網(wǎng)委托北京通達(dá)首誠(chéng)司法鑒定所對(duì)其服務(wù)日志進(jìn)行鑒定后的證據(jù)顯示,世紀(jì)佳緣網(wǎng)在2015年12月3日17時(shí)至2015年12月4日10時(shí)的時(shí)間段內(nèi),陸續(xù)收到以SQL為注入為手段的訪問請(qǐng)求4400余次,并且網(wǎng)站數(shù)據(jù)庫(kù)中有932條數(shù)據(jù)被讀取。

可以看到,世紀(jì)佳緣網(wǎng)報(bào)警所聲稱被攻擊的時(shí)間和方式,與袁煒檢測(cè)世紀(jì)佳緣網(wǎng)漏洞的時(shí)間和方式,正好重合。今年3月8日,北京市公安局朝陽(yáng)分局以涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪,將袁煒刑事拘留;4月12日,北京市朝陽(yáng)區(qū)人民檢察院正式批準(zhǔn)逮捕袁煒。

“上述鑒定,是警方和檢方逮捕袁煒的主要證據(jù)。”袁冠陽(yáng)說,如果說袁煒主動(dòng)下載了世紀(jì)佳緣的數(shù)據(jù),家屬也沒有任何異議,但是截至目前,警方?jīng)]有從袁煒使用的筆記本電腦中檢測(cè)出世紀(jì)佳緣網(wǎng)的數(shù)據(jù)。事實(shí)是,袁煒沒有意圖下載或者主動(dòng)下載世紀(jì)佳緣網(wǎng)的任何數(shù)據(jù)。

“這種行為能夠算作犯罪嗎?如果此種行為也構(gòu)成犯罪,那么試問誰(shuí)還愿意維護(hù)網(wǎng)絡(luò)安全?”袁冠陽(yáng)的信中寫到。

是否獲取數(shù)據(jù)成定罪關(guān)鍵

袁冠陽(yáng)的奔走呼號(hào),引來(lái)眾多網(wǎng)絡(luò)安全行業(yè)人士的熱議與討論。為何世紀(jì)佳緣網(wǎng)要對(duì)已經(jīng)發(fā)現(xiàn)的漏洞進(jìn)行報(bào)警、進(jìn)而導(dǎo)致本是“功臣”的袁煒被抓?袁煒的行為究竟是否構(gòu)成犯罪?“白帽子”應(yīng)當(dāng)如何處理與企業(yè)之間的關(guān)系,在提交漏洞的同時(shí)保障自身安全?

圍繞著這些話題,知乎平臺(tái)上目前已經(jīng)聚集了340份回答。其中,作為當(dāng)事一方,世紀(jì)佳緣網(wǎng)CEO吳琳光也說出了自己的想法。

吳琳光表示,2015年12月3日當(dāng)晚,世紀(jì)佳緣網(wǎng)負(fù)責(zé)網(wǎng)絡(luò)安全的同事就發(fā)現(xiàn)了攻擊,在烏云網(wǎng)依照行業(yè)慣例通知網(wǎng)站存在漏洞后,世紀(jì)佳緣網(wǎng)進(jìn)行了確認(rèn),并在烏云網(wǎng)上向“白帽子”致謝。

“事后統(tǒng)計(jì)發(fā)現(xiàn),攻擊總次數(shù)累計(jì)達(dá)到4000余次,共有900多條有效數(shù)據(jù)被攻擊者獲取。攻擊者會(huì)如何使用這些信息數(shù)據(jù)我們不得而知,出于對(duì)用戶數(shù)據(jù)和信息安全的擔(dān)憂,我們還是選擇了報(bào)警。”吳琳光強(qiáng)調(diào),此前并不知道提交漏洞的“白帽子”和攻擊者是同一個(gè)人,報(bào)警并不針對(duì)任何個(gè)人或群體。

而對(duì)于袁煒被捕一事,吳琳光表示,由于本案目前已經(jīng)進(jìn)入司法公訴程序,世紀(jì)佳緣網(wǎng)能做的有限,“在這個(gè)事件中,世紀(jì)佳緣的數(shù)據(jù)被非法獲取,我們也是受害者”。

在上海段和段律師事務(wù)所合伙人劉春泉看來(lái),世紀(jì)佳緣網(wǎng)在遭遇網(wǎng)絡(luò)攻擊、用戶數(shù)據(jù)被竊取的情況下選擇報(bào)警,是無(wú)可厚非的;袁煒被捕一事的關(guān)鍵,在于其行為是否滿足了非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪的構(gòu)成要件。

西南科技大學(xué)法學(xué)院副教授廖天虎告訴法治周末記者,我國(guó)刑法第285條規(guī)定了非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪,是指違反國(guó)家規(guī)定,侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段,獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù),且情節(jié)嚴(yán)重的行為,構(gòu)成犯罪。

而所謂“情節(jié)嚴(yán)重的行為”,廖天虎指出,根據(jù)2011年8月1日頒布的《最高人民法院、最高人民檢察院關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》第1條的規(guī)定,主要包括以下幾種情況:獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息十組以上;獲取其他身份認(rèn)證信息五百組以上;非法控制計(jì)算機(jī)信息系統(tǒng)二十臺(tái)以上;違法所得五千元以上或者造成經(jīng)濟(jì)損失一萬(wàn)元以上。

“按照法律規(guī)定,如果世紀(jì)佳緣網(wǎng)確實(shí)遭遇900余條用戶實(shí)名注冊(cè)信息被竊取,且警方查明該行為由袁煒實(shí)施的話,那么袁煒的行為就符合非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪的構(gòu)成要件。”廖天虎說。

“白帽子”應(yīng)注意行為規(guī)范

事實(shí)上,一直以來(lái),“白帽子”的行為時(shí)常被質(zhì)疑“走在法律的邊緣。”

劉春泉指出,除了刑法對(duì)侵入計(jì)算機(jī)系統(tǒng)的犯罪行為進(jìn)行了規(guī)定外,我國(guó)治安管理處罰法中,對(duì)相關(guān)行為也有專門的規(guī)定。

治安管理處罰法第29條規(guī)定,違反國(guó)家規(guī)定,侵入計(jì)算機(jī)信息系統(tǒng)、造成危害,對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾,造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行,對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加,以及故意制作、傳播計(jì)算機(jī)病毒等破壞性程序,影響計(jì)算機(jī)信息系統(tǒng)正常運(yùn)行等行為,都將面臨行政拘留的處罰后果。

"白帽子’的行為是否構(gòu)成違法、犯罪,并不在于其是否以‘白帽子’的名義開展活動(dòng),而是要依據(jù)我國(guó)法律的具體規(guī)定來(lái)認(rèn)定。”劉春泉表示,袁煒的案子引發(fā)網(wǎng)絡(luò)安全行業(yè)人士的廣泛關(guān)注,很大程度上在于,“白帽子”們目前沒有明確的行為邊界。

烏云網(wǎng)創(chuàng)始人方小頓坦言,從技術(shù)角度講,“白帽子”測(cè)試企業(yè)系統(tǒng)是否存在漏洞的方法,與黑客攻擊之間的區(qū)別并不明顯;如果“白帽子”在測(cè)試企業(yè)漏洞的過程中,對(duì)自己的行為邊界區(qū)分不夠明顯,的確有觸碰法律的風(fēng)險(xiǎn)。

但是,方小頓強(qiáng)調(diào),與黑客不同,“白帽子”會(huì)向企業(yè)報(bào)告漏洞的存在,而不是利用漏洞去從事營(yíng)利等非法目的。

"白帽子’相當(dāng)于網(wǎng)絡(luò)世界里的白細(xì)胞,能夠幫助企業(yè)抵抗外界的攻擊風(fēng)險(xiǎn)。”方小頓向法治周末記者表示,“白帽子”的初衷是希望在法律的框架之內(nèi),能夠幫助企業(yè)和網(wǎng)絡(luò)空間提升安全,不存在威脅一說。

“袁煒的案件還處在司法調(diào)查階段,目前不好評(píng)價(jià),但我們會(huì)呼吁廣大的‘白帽子’社區(qū)不忘初心,持續(xù)在法律的框架之內(nèi)為互聯(lián)網(wǎng)和企業(yè)安全提升作出貢獻(xiàn)和實(shí)現(xiàn)自己的價(jià)值。”方小頓說。

北京志霖律師事務(wù)所副主任趙占領(lǐng)律師也認(rèn)為,“白帽子”利用自己的專業(yè)技術(shù)特長(zhǎng)、結(jié)合興趣愛好,主動(dòng)尋找網(wǎng)站存在的安全漏洞,其行為對(duì)于網(wǎng)站而言沒有破壞性;相反,“白帽子”幫助網(wǎng)站及時(shí)發(fā)現(xiàn)漏洞、修復(fù)漏洞、以防給企業(yè)或用戶造成嚴(yán)重?fù)p失,對(duì)網(wǎng)站具有積極的建設(shè)性作用。

而從實(shí)踐中可以看到,“白帽子”與互聯(lián)網(wǎng)企業(yè)之間,長(zhǎng)期以來(lái)存在著良性互動(dòng)。法治周末記者了解到,諸如微軟、騰訊、小米等互聯(lián)網(wǎng)企業(yè)中,都特別設(shè)立了安全應(yīng)急響應(yīng)中心,鼓勵(lì)“白帽子”幫助尋找自己網(wǎng)站的漏洞。

“如果‘白帽子’處于對(duì)自身安全的顧慮,不敢去給網(wǎng)站尋找、發(fā)現(xiàn)漏洞,這對(duì)于企業(yè)的商業(yè)利益以及用戶的信息安全都是非常不利的。”趙占領(lǐng)表示。

對(duì)此,趙占領(lǐng)建議,“白帽子”在驗(yàn)證網(wǎng)站漏洞的過程中,不能修改、刪除或者增加系統(tǒng)的功能,更不能試圖控制、破壞系統(tǒng),利用進(jìn)入系統(tǒng)驗(yàn)證漏洞的機(jī)會(huì)獲取相關(guān)數(shù)據(jù),這些都是“白帽子”的行為禁區(qū)。

另外,趙占領(lǐng)還提醒,不排除“白帽子”使用的個(gè)別技術(shù)工具存在自動(dòng)緩存功能,將系統(tǒng)中的數(shù)據(jù)自動(dòng)存儲(chǔ)在本地電腦中,這種情況是否涉嫌犯罪可能存在爭(zhēng)議。

而劉春泉指出,“白帽子”除了在技術(shù)上需要注意可能觸犯法律之外,還應(yīng)當(dāng)注意,不能將發(fā)現(xiàn)企業(yè)漏洞作為向企業(yè)要求報(bào)酬、尋求合作的籌碼:“盡管一些企業(yè)會(huì)對(duì)發(fā)現(xiàn)漏洞的‘白帽子’進(jìn)行獎(jiǎng)勵(lì),但這并非是企業(yè)的義務(wù)。如果‘白帽子’開展這樣的行為,還有可能涉嫌構(gòu)成敲詐勒索罪。”

“烏云網(wǎng)應(yīng)承擔(dān)更多社會(huì)責(zé)任”

法治周末記者 李含

在“白帽子”袁煒被捕一事中,作為袁煒提交漏洞的平臺(tái),烏云網(wǎng)也一直處于輿論場(chǎng)的中心。烏云網(wǎng)扮演著怎樣的角色?這在“白帽子”被抓一事中能起到怎樣的作用?這也是行業(yè)人士討論的話題。

根據(jù)烏云網(wǎng)官網(wǎng)的描述,烏云網(wǎng)是一個(gè)位于廠商和安全研究者之間的安全問題反饋平臺(tái),在對(duì)安全問題進(jìn)行反饋處理跟進(jìn)的同時(shí),為互聯(lián)網(wǎng)安全研究者提供一個(gè)公益、學(xué)習(xí)、交流和研究的平臺(tái)。

烏云網(wǎng)創(chuàng)始人方小頓介紹,烏云網(wǎng)鏈接起企業(yè)和“白帽子”,漏洞會(huì)在“白帽子”提交給烏云網(wǎng)后,通過烏云先報(bào)告給企業(yè),然后由企業(yè)修復(fù),最后讓公眾知曉。

“烏云網(wǎng)的漏洞披露流程是很嚴(yán)格的,所有安全信息在按照流程處理完成之前不會(huì)對(duì)外公開。”方小頓表示。

法治周末記者在烏云網(wǎng)上看到,烏云網(wǎng)要求白帽子保證研究漏洞的方法、方式、工具及手段的合法性,烏云網(wǎng)對(duì)此不承擔(dān)任何法律責(zé)任;而為了保證信息的高可靠性和價(jià)值,對(duì)于提交虛假漏洞信息的“白帽子”,烏云網(wǎng)會(huì)進(jìn)行一定的處罰措施。

“烏云網(wǎng)作為信息發(fā)布平臺(tái),需要對(duì)‘白帽子’發(fā)布的漏洞信息,盡到一定的合理注意義務(wù),保證漏洞信息發(fā)布的準(zhǔn)確性。在滿足這個(gè)條件的基礎(chǔ)上,烏云網(wǎng)不需承擔(dān)額外的責(zé)任。”北京志霖律師事務(wù)所副主任趙占領(lǐng)律師表示。

然而在上海段和段律師事務(wù)所合伙人劉春泉看來(lái),盡管烏云網(wǎng)自身不太可能因?yàn)?ldquo;白帽子”檢驗(yàn)漏洞的行為承擔(dān)法律責(zé)任,但是作為全國(guó)最大的“白帽子”社區(qū),以烏云網(wǎng)在網(wǎng)絡(luò)安全生態(tài)中的重要地位,烏云網(wǎng)應(yīng)當(dāng)在推動(dòng)行業(yè)規(guī)范上發(fā)揮更加重要的作用,承擔(dān)更多的社會(huì)責(zé)任。

“袁煒這個(gè)事件發(fā)生,反映出目前對(duì)于‘白帽子’群體而言,缺乏規(guī)范的行為準(zhǔn)則。在這一點(diǎn)上,烏云網(wǎng)應(yīng)該利用其影響力,起到一定的倡導(dǎo)、提醒作用,幫助‘白帽子’群體建立在技術(shù)上、實(shí)踐中可行的行為準(zhǔn)則。”劉春泉表示。

安在創(chuàng)始人張耀疆也在媒體上發(fā)文呼吁:“能力越大責(zé)任越大,烏云網(wǎng)作為眾測(cè)平臺(tái)代表,為整個(gè)產(chǎn)業(yè)發(fā)展作出的貢獻(xiàn)大家都看在眼里,也得到了公認(rèn)。但事情發(fā)展到現(xiàn)在這個(gè)階段,是不是該更勇敢地站出來(lái),去努力營(yíng)造一種新的局面呢?商業(yè)化很重要,但如果好不容易打造起來(lái)的‘白帽子’社群文化被否定甚至顛覆了,等于根基就沒了,其他發(fā)展恐怕也會(huì)受到影響的。”

方小頓告訴法治周末記者,烏云網(wǎng)會(huì)在即將到來(lái)的烏云“白帽子”大會(huì)上,對(duì)“白帽子”在測(cè)試企業(yè)系統(tǒng)漏洞的過程中可能涉及的法律風(fēng)險(xiǎn)做詳細(xì)討論,并且會(huì)更加具體化地明確測(cè)試邊界,幫助“白帽子”規(guī)避法律風(fēng)險(xiǎn)。

趙占領(lǐng)建議,烏云網(wǎng)可以參考淘寶網(wǎng)制定“淘規(guī)則”的做法和經(jīng)驗(yàn),致力于建立一套適應(yīng)于“白帽子”社群的規(guī)范,推動(dòng)行業(yè)自律的發(fā)展。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)