2016-07-19 23:01
乌云和漏洞盒子停业整顿
7月20日凌晨,中国最大漏洞报告平台乌云网(WooYun)突然无法访问。网站公告称,乌云及相关服务将升级,并称将在最短时间内回归。
与此同时,7月19日,企业级互联网测试平台漏洞盒子宣布,暂停接受互联网漏洞与威胁情报。“白帽子”黑 客报告漏洞的页面已经无法查看。(编注:在IT界,“白帽子”指的是正面黑客,他们发现系统安全漏洞,不会恶意去利用,而是公布漏洞,让系统所有方提前修 补漏洞。)
乌云网和漏洞盒子均是国家信息安全漏洞共享平台的合作方(一共3个)。后者是由国家计算机网络应急技术处理协调中心,联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。
对于这次漏洞报告平台的关闭原因,可以从漏洞盒子管理团队的公告中看出端倪。公告称:“近期,漏洞盒子管理团队将对互联网漏洞与威胁情报项目中的流程制度、规范等进行梳理。在改进的过程中,暂停该项目相关漏洞与威胁情报接受,新的流程将于近期上线。相信能够帮助‘白帽子’与企业之间建立真正信任的关系。”
乌云和漏洞盒子的整治行动,可能与国内“白帽子”黑客圈子里关注度最高的“袁炜事件”有关联。
据京华时报报道,袁炜是乌云上的一名白帽子。2015年12月,他在乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞。在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后,事情突然发生转折。世纪佳缘在一个多月后以“网站数据被非法窃取”为由报警,4月份,袁炜被司法机关逮捕。在不久前的第四届网络安全大会上,袁炜的父亲发出公开信为儿子鸣冤,让袁炜的遭遇成为网络安全圈的热门事件。
世纪佳缘CEO吴琳光对此事也高度关注,并亲自回应称:“在警方披露调查结果前,世纪佳缘并不了解网站攻击者与漏洞提交者有何种关联。世纪佳缘报警是出于对用户隐私和公民信息安全的考虑,并不针对任何个人或组织。”
“袁炜事件”引发了IT业内关于“白帽子”黑客行为边界的大讨论。
国内黑客界教父级人物、腾讯玄武实验室总监于旸在微博写道:“可能很多人不知道:按《刑法》285条第2款及相关司法解释,入侵获取金融证券系统身份认证信息10条以上、一般系统500条以上,就可以判刑。”
“正邪的分界线也绝没有那么清晰:’白帽子’在未授权情况下对某网站或服务器的渗透测试,和真正准备盗取数据的黑客所做的准备工作是一模一样的。区别只在发现漏洞后的处置上,是报告给管理者,还是盗走数据卖掉。”软件从业人员“苏莉安”认为。
相关人士认为,如果乌云无法为“白帽子”提供相应的保护、辅导、支持、规范、自律等措施,“白帽子”黑客被捕之后也没有提供法律支援等措施,那么乌云只是保留作为漏洞报告平台的工具属性,但其社群属性就被淡化了。
“如果最终判定构成犯罪,将对整个‘白帽子’群体造成极大的震慑,没有‘白帽子’还敢去给网站寻找、发现漏洞,这对于企业的商业利益以及用户的信息安全都是非常不利的。”长期研究IT行业的律师赵占领说。
国家信息安全漏洞共享平台的另一合作方——补天漏洞响应平台尚未受到影响。截至7月20日凌晨2时,澎湃新闻还能在网上看到“白帽子”黑客发现并报告的漏洞。记者注意到,该平台为奇虎360公司旗下,并写有《白帽子行为规范》,“对于在补天漏洞响应平台发布的漏洞,白帽子需要保证研究漏洞的方法、方式、工具及手段的合法性,补天漏洞响应平台对此不承担任何法律责任。”
乌云是中国最早的漏洞报告平台,成立于2010年5月,主要创始人之一为百度前安全专家方小顿——这位1987年出生的国内知名黑客“剑心”,因在2010年2月和百度创始人兼董事长李彦宏一道参加湖南卫视《天天向上》节目,因为女友高歌一首而为人所知。
乌云网聚集了一群爱好安全技术的“宅男”,他们也被称作“白帽子”黑客,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。他们在乌云上分享漏洞,只有得到核实并已经采取防范措施解决问题后才会被公开漏洞详情。
如家酒店等开房信息泄露、13万条铁路售票网站网站12306用户数据泄露、腾讯7000万QQ群用户数据泄露等一系列曾经轰动社会的泄漏事件,均最早在乌云网上由白帽子报告并引起平台方的重视。
对于“白帽子”找到的网络安全漏洞,中国厂商的回应并不算热情。顶尖“白帽子”黑客团队KEEN负责人王琦曾告诉澎湃新闻,中国厂商有时候会给予酬金,但大多数时候仅仅表示感谢。
稿源:澎湃新闻
参考新闻:法治周末:置身法律边缘的“白帽子”何以善其身
原本对互联网一窍不通的袁冠阳怎么也没想到,自己竟成了2016年中国网络安全大会的焦点。
6月23日,在会议现场,拿着一封探讨“白帽子检测漏洞是不是犯罪”的信,袁冠阳讲述了儿子袁炜的遭遇——身为“白帽子”的袁炜,因检测世纪佳缘网存在的系统漏洞,而被警方以涉嫌非法获取计算机信息系统数据罪逮捕。这一案件的曝出,立刻引发了网络安全界的热烈讨论。
所谓“白帽子”,是指一些正面黑客,他们不以非法入侵他人系统、获取数据信息为目的,而是通过识别计算机系统或网络系统中的安全漏洞并提醒相关企业注意,从而使系统漏洞可以在被其他人利用之前来予以修补。
这样的“白帽子”,被很多人比喻为网络世界中的“超级英雄”——人们日常难以察觉这群人的身影,而他们却在默默维护着整个网络世界的安全。
然而,袁炜被捕一事,将一个严峻的事实摆在了“白帽子”们的面前——拥有强大信息技术的“白帽子”,与不法黑客仅仅一线之隔,其行为究竟应当遵循怎样的规范,才能避免遭遇袁炜一样的后果?
如何在发现漏洞、维护网络安全时,不让自己置身于巨大的法律风险之中——这恐怕将是“白帽子”们未来需要认真思考的问题。
提交漏洞却遭警方逮捕
根据袁冠阳介绍,袁炜被捕前就职于杭州九阳小家电有限公司,担任信息安全运维主管职务。由于在履行工作职责期间,接受过很多“白帽子”的帮助,出于与其他网络安全人员和厂家互帮互助、良性交流的心态,袁炜便于2015年10月19日在乌云网注册,成为了一名‘白帽子’,此后一共在乌云网上提交了11个不同网站的漏洞,其中8个被修复。
在袁冠阳的信中,法治周末记者看到,2015年12月3日16时,袁炜通过SQL软件对世纪佳缘网进行漏洞检测,发现世纪佳缘网存在漏洞;经多次验证确认后,2015年12月4日9时,袁炜将漏洞提交至乌云网,乌云网随后通知了世纪佳缘网,同年12月7日,世纪佳缘网确认并修复了该漏洞,并致谢乌云网及袁炜。
“本以为这是一次和以往没有任何差别的互助交流行为,但随后事件的发展,就出乎了我们的意料之外。”袁冠阳表示,世纪佳缘网于2016年1月18日向北京市公安局朝阳分局报案,称有4000余条实名注册信息被不法分子窃取。
袁冠阳告诉法治周末记者,根据世纪佳缘网委托北京通达首诚司法鉴定所对其服务日志进行鉴定后的证据显示,世纪佳缘网在2015年12月3日17时至2015年12月4日10时的时间段内,陆续收到以SQL为注入为手段的访问请求4400余次,并且网站数据库中有932条数据被读取。
可以看到,世纪佳缘网报警所声称被攻击的时间和方式,与袁炜检测世纪佳缘网漏洞的时间和方式,正好重合。今年3月8日,北京市公安局朝阳分局以涉嫌非法获取计算机信息系统数据罪,将袁炜刑事拘留;4月12日,北京市朝阳区人民检察院正式批准逮捕袁炜。
“上述鉴定,是警方和检方逮捕袁炜的主要证据。”袁冠阳说,如果说袁炜主动下载了世纪佳缘的数据,家属也没有任何异议,但是截至目前,警方没有从袁炜使用的笔记本电脑中检测出世纪佳缘网的数据。事实是,袁炜没有意图下载或者主动下载世纪佳缘网的任何数据。
“这种行为能够算作犯罪吗?如果此种行为也构成犯罪,那么试问谁还愿意维护网络安全?”袁冠阳的信中写到。
是否获取数据成定罪关键
袁冠阳的奔走呼号,引来众多网络安全行业人士的热议与讨论。为何世纪佳缘网要对已经发现的漏洞进行报警、进而导致本是“功臣”的袁炜被抓?袁炜的行为究竟是否构成犯罪?“白帽子”应当如何处理与企业之间的关系,在提交漏洞的同时保障自身安全?
围绕着这些话题,知乎平台上目前已经聚集了340份回答。其中,作为当事一方,世纪佳缘网CEO吴琳光也说出了自己的想法。
吴琳光表示,2015年12月3日当晚,世纪佳缘网负责网络安全的同事就发现了攻击,在乌云网依照行业惯例通知网站存在漏洞后,世纪佳缘网进行了确认,并在乌云网上向“白帽子”致谢。
“事后统计发现,攻击总次数累计达到4000余次,共有900多条有效数据被攻击者获取。攻击者会如何使用这些信息数据我们不得而知,出于对用户数据和信息安全的担忧,我们还是选择了报警。”吴琳光强调,此前并不知道提交漏洞的“白帽子”和攻击者是同一个人,报警并不针对任何个人或群体。
而对于袁炜被捕一事,吴琳光表示,由于本案目前已经进入司法公诉程序,世纪佳缘网能做的有限,“在这个事件中,世纪佳缘的数据被非法获取,我们也是受害者”。
在上海段和段律师事务所合伙人刘春泉看来,世纪佳缘网在遭遇网络攻击、用户数据被窃取的情况下选择报警,是无可厚非的;袁炜被捕一事的关键,在于其行为是否满足了非法获取计算机信息系统数据罪的构成要件。
西南科技大学法学院副教授廖天虎告诉法治周末记者,我国刑法第285条规定了非法获取计算机信息系统数据罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,且情节严重的行为,构成犯罪。
而所谓“情节严重的行为”,廖天虎指出,根据2011年8月1日颁布的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条的规定,主要包括以下几种情况:获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上;获取其他身份认证信息五百组以上;非法控制计算机信息系统二十台以上;违法所得五千元以上或者造成经济损失一万元以上。
“按照法律规定,如果世纪佳缘网确实遭遇900余条用户实名注册信息被窃取,且警方查明该行为由袁炜实施的话,那么袁炜的行为就符合非法获取计算机信息系统数据罪的构成要件。”廖天虎说。
“白帽子”应注意行为规范
事实上,一直以来,“白帽子”的行为时常被质疑“走在法律的边缘。”
刘春泉指出,除了刑法对侵入计算机系统的犯罪行为进行了规定外,我国治安管理处罚法中,对相关行为也有专门的规定。
治安管理处罚法第29条规定,违反国家规定,侵入计算机信息系统、造成危害,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加,以及故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行等行为,都将面临行政拘留的处罚后果。
“‘白帽子’的行为是否构成违法、犯罪,并不在于其是否以‘白帽子’的名义开展活动,而是要依据我国法律的具体规定来认定。”刘春泉表示,袁炜的案子引发网络安全行业人士的广泛关注,很大程度上在于,“白帽子”们目前没有明确的行为边界。
乌云网创始人方小顿坦言,从技术角度讲,“白帽子”测试企业系统是否存在漏洞的方法,与黑客攻击之间的区别并不明显;如果“白帽子”在测试企业漏洞的过程中,对自己的行为边界区分不够明显,的确有触碰法律的风险。
但是,方小顿强调,与黑客不同,“白帽子”会向企业报告漏洞的存在,而不是利用漏洞去从事营利等非法目的。
“‘白帽子’相当于网络世界里的白细胞,能够帮助企业抵抗外界的攻击风险。”方小顿向法治周末记者表示,“白帽子”的初衷是希望在法律的框架之内,能够帮助企业和网络空间提升安全,不存在威胁一说。
“袁炜的案件还处在司法调查阶段,目前不好评价,但我们会呼吁广大的‘白帽子’社区不忘初心,持续在法律的框架之内为互联网和企业安全提升作出贡献和实现自己的价值。”方小顿说。
北京志霖律师事务所副主任赵占领律师也认为,“白帽子”利用自己的专业技术特长、结合兴趣爱好,主动寻找网站存在的安全漏洞,其行为对于网站而言没有破坏性;相反,“白帽子”帮助网站及时发现漏洞、修复漏洞、以防给企业或用户造成严重损失,对网站具有积极的建设性作用。
而从实践中可以看到,“白帽子”与互联网企业之间,长期以来存在着良性互动。法治周末记者了解到,诸如微软、腾讯、小米等互联网企业中,都特别设立了安全应急响应中心,鼓励“白帽子”帮助寻找自己网站的漏洞。
“如果‘白帽子’处于对自身安全的顾虑,不敢去给网站寻找、发现漏洞,这对于企业的商业利益以及用户的信息安全都是非常不利的。”赵占领表示。
对此,赵占领建议,“白帽子”在验证网站漏洞的过程中,不能修改、删除或者增加系统的功能,更不能试图控制、破坏系统,利用进入系统验证漏洞的机会获取相关数据,这些都是“白帽子”的行为禁区。
另外,赵占领还提醒,不排除“白帽子”使用的个别技术工具存在自动缓存功能,将系统中的数据自动存储在本地电脑中,这种情况是否涉嫌犯罪可能存在争议。
而刘春泉指出,“白帽子”除了在技术上需要注意可能触犯法律之外,还应当注意,不能将发现企业漏洞作为向企业要求报酬、寻求合作的筹码:“尽管一些企业会对发现漏洞的‘白帽子’进行奖励,但这并非是企业的义务。如果‘白帽子’开展这样的行为,还有可能涉嫌构成敲诈勒索罪。”
“乌云网应承担更多社会责任”
在“白帽子”袁炜被捕一事中,作为袁炜提交漏洞的平台,乌云网也一直处于舆论场的中心。乌云网扮演着怎样的角色?这在“白帽子”被抓一事中能起到怎样的作用?这也是行业人士讨论的话题。
根据乌云网官网的描述,乌云网是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。
乌云网创始人方小顿介绍,乌云网链接起企业和“白帽子”,漏洞会在“白帽子”提交给乌云网后,通过乌云先报告给企业,然后由企业修复,最后让公众知晓。
“乌云网的漏洞披露流程是很严格的,所有安全信息在按照流程处理完成之前不会对外公开。”方小顿表示。
法治周末记者在乌云网上看到,乌云网要求白帽子保证研究漏洞的方法、方式、工具及手段的合法性,乌云网对此不承担任何法律责任;而为了保证信息的高可靠性和价值,对于提交虚假漏洞信息的“白帽子”,乌云网会进行一定的处罚措施。
“乌云网作为信息发布平台,需要对‘白帽子’发布的漏洞信息,尽到一定的合理注意义务,保证漏洞信息发布的准确性。在满足这个条件的基础上,乌云网不需承担额外的责任。”北京志霖律师事务所副主任赵占领律师表示。
然而在上海段和段律师事务所合伙人刘春泉看来,尽管乌云网自身不太可能因为“白帽子”检验漏洞的行为承担法律责任,但是作为全国最大的“白帽子”社区,以乌云网在网络安全生态中的重要地位,乌云网应当在推动行业规范上发挥更加重要的作用,承担更多的社会责任。
“袁炜这个事件发生,反映出目前对于‘白帽子’群体而言,缺乏规范的行为准则。在这一点上,乌云网应该利用其影响力,起到一定的倡导、提醒作用,帮助‘白帽子’群体建立在技术上、实践中可行的行为准则。”刘春泉表示。
安在创始人张耀疆也在媒体上发文呼吁:“能力越大责任越大,乌云网作为众测平台代表,为整个产业发展作出的贡献大家都看在眼里,也得到了公认。但事情发展到现在这个阶段,是不是该更勇敢地站出来,去努力营造一种新的局面呢?商业化很重要,但如果好不容易打造起来的‘白帽子’社群文化被否定甚至颠覆了,等于根基就没了,其他发展恐怕也会受到影响的。”
方小顿告诉法治周末记者,乌云网会在即将到来的乌云“白帽子”大会上,对“白帽子”在测试企业系统漏洞的过程中可能涉及的法律风险做详细讨论,并且会更加具体化地明确测试边界,帮助“白帽子”规避法律风险。
赵占领建议,乌云网可以参考淘宝网制定“淘规则”的做法和经验,致力于建立一套适应于“白帽子”社群的规范,推动行业自律的发展。