導讀
中國互聯(lián)網(wǎng)應急中心指出,民間漏洞平臺在發(fā)揮積極作用的同時,在漏洞披露方面也帶來一些問題。例如:披露漏洞之前未及時通知涉事單位、披露信息過于詳細容易被黑客組織利用、漏洞信息描述不準確或漏洞披露信息夸大造成社會恐慌等等,對漏洞信息的披露亟待進一步規(guī)范。
“白帽子檢測漏洞到底是不是犯罪?”最近兩日,這是縈繞在多數(shù)白帽子心中的問題。“白帽子”描述的是正面的黑客,他們可以識別網(wǎng)絡、系統(tǒng)中的漏洞,但會向企業(yè)公布漏洞,不惡意利用漏洞。與之相對的是惡意利用漏洞盈利的“黑帽子”。
2015年6月23日,第四屆網(wǎng)絡安全大會期間,來自浙江杭州的袁先生以“白帽子檢測漏洞到底是不是犯罪”為題,書寫《致第四屆網(wǎng)絡安全大會》的一封信。信中提到,袁先生的兒子是知名第三方漏洞平臺——烏云網(wǎng)的注冊白帽子,用戶名ledoo。2015年12月4日,ledoo在烏云網(wǎng)提交了世紀佳緣一個涉及大量會員信息的漏洞,當時,世紀佳緣確認了這一漏洞,并致謝、修復。
不過,2016年1月,世紀佳緣向北京市公安局朝陽分局報案稱“有4000余條實名注冊信息被不法竊取”。
2016年4月12日,北京市朝陽區(qū)人民檢察院批準,以涉嫌“非法獲取計算機系統(tǒng)數(shù)據(jù)犯罪”逮捕ledoo。目前該案件正處于檢察院審查階段,ledoo是否違法尚未有定論。但多位接受記者采訪的業(yè)內(nèi)人士已經(jīng)提出觀點:“白帽子應該多了解法律,懂得保護自己。”
白帽子的鋼絲
在諸多討論中,大多業(yè)內(nèi)人士引用了刑法第二百八十五條對“非法獲取計算機信息系統(tǒng)數(shù)據(jù)犯罪”的規(guī)定——“違反國家規(guī)定,侵入計算機信息系統(tǒng)或者采用其他技術(shù)手段,獲取計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)”。
不過,袁先生在信中指出,“ledoo沒有意圖下載或者主動下載世紀佳緣的任何數(shù)據(jù)”,“他只是普通白帽子一員,沒有謀取任何私利,只是義務檢測漏洞,發(fā)現(xiàn)漏洞后告知廠家。這也算是犯罪嗎?”
獵豹移動安全專家李鐵軍在接受記者采訪時表示:“業(yè)內(nèi)公認、合法的形式,是取得相應企業(yè)的授權(quán)。”不過,他也指出:“但這很難實現(xiàn)。如果說只有得到授權(quán)才是合法的,企業(yè)就是不給授權(quán),現(xiàn)在所有挖洞的都可能違法,這并不利于互聯(lián)網(wǎng)安全。”
值得一提的是,真正在意用戶數(shù)據(jù)泄露問題的企業(yè)只是少數(shù)。大多白帽子嘗試過首先向企業(yè)反饋漏洞,但經(jīng)常不被企業(yè)重視,甚至遇到過“既然你發(fā)現(xiàn)的漏洞,你要負責修復”之類的要求。烏云曾經(jīng)在2012年發(fā)布公告封禁某大型國企,稱后者“漠視安全,對于白帽子發(fā)現(xiàn)的問題不處理、隨意處理,不尊重研究人員”,烏云表示不再與其對話。
但隨著第三方平臺的崛起,企業(yè)數(shù)據(jù)漏洞被公布并進入媒體視野。2013年至今,諸如12306、網(wǎng)易郵箱、支付寶、攜程等高危數(shù)據(jù)漏洞問題被烏云白帽子公布,隨之引發(fā)了大量媒體曝光。輿論倒逼之下,多數(shù)企業(yè)開始陸續(xù)成立安全應急中心(SRC),開始正視安全問題。
以攜程為例,2014年3月,烏云白帽子公布攜程的漏洞消息并被媒體曝光,其后攜程啟動全面安全風險評估。此前,攜程還設立了信息安全獎勵基金,并表示希望與第三方平臺合作,指出潛在安全問題的,攜程將給予獎勵。此外,世紀佳緣也是烏云的注冊企業(yè)用戶。目前,烏云共公布了40多條世紀佳緣的漏洞信息,這些漏洞已基本確認并修復。
在烏云注冊白帽子之后,ledoo共提交了11個漏洞,其中8個被驗證并修復。根據(jù)烏云網(wǎng)公布,目前該平臺共有2383名白帽子,共公布了接近11萬條漏洞信息。除烏云之外,補天平臺擁有3287名白帽子,漏洞盒子稱自己平臺上擁有20977名白帽子。
根據(jù)普華永道發(fā)布的《全球信息安全狀況調(diào)查》,2015年,中國大陸及香港地區(qū)檢測到的安全事件1245件,相比2014年的241件增長了517%。
無可否認,白帽子推動了安全事件的曝光,而且仍然有大量的安全事件尚未被發(fā)現(xiàn),根據(jù)普華永道報告,2015年,全球企業(yè)平均曝光的安全事件超過6583件。
公布形式爭議
但是,日益增長的安全問題以及曝光事件,與企業(yè)的安全管理之間也發(fā)生著越來越嚴重的矛盾。
2015年6月19日,烏云、補天、漏洞盒子以及百度、新浪、亞馬遜等32家企業(yè)簽署《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置公約》。中國互聯(lián)網(wǎng)應急中心指出,民間漏洞平臺在發(fā)揮積極作用的同時,在漏洞披露方面也帶來一些問題。例如:披露漏洞之前未及時通知涉事單位、披露信息過于詳細容易被黑客組織利用、漏洞信息描述不準確或漏洞披露信息夸大造成社會恐慌等等,對漏洞信息的披露亟待進一步規(guī)范。
《公約》提出了客觀、適時、適度的三個原則,建議“在相關(guān)方未接收到漏洞信息、完成漏洞處置前或預定時限前不應提前公開發(fā)布漏洞相關(guān)信息”。此外,出于減少輿論恐慌的考慮,《公約》建議“去掉‘數(shù)千萬’、‘身份證’、‘銀行卡’等敏感信息”。
但記者查閱烏云、補天官網(wǎng)發(fā)現(xiàn),目前二者仍然是先披露漏洞,然后聯(lián)系企業(yè),或者企業(yè)通過官網(wǎng)聯(lián)系方式認領(lǐng)漏洞。而且部分漏洞標題中仍然存在“千萬”、“百萬”、“銀行卡”等字樣。
無疑,企業(yè)需要為自己的安全漏洞埋單,但這種被倒逼的方式并不能得到大多企業(yè)的認可。據(jù)記者了解,一家半年前被烏云披露郵箱漏洞的企業(yè)至今仍在執(zhí)行危機公關(guān)。而在這一過程中,第三方漏洞平臺的紕漏方式無疑將白帽子擺在了部分企業(yè)的對立面。
需要指出,部分安全公司也并不認可諸如烏云的披露方式。騰訊手機管家安全專家陸兆華認為,“應先同步給企業(yè)修復,這樣白帽的技術(shù)可以借助平臺幫助企業(yè)規(guī)避漏洞被惡意利用的風險。而修復后是否曝光,也沒有一定要曝光的做法。漏洞如果還沒有修復就曝光,這里的安全風險就非常高,也可能會被黑客不正當利用。”此外,IBM旗下?lián)碛袛?shù)百安全專家的X-Force團隊也采取事后公布的做法,X-Force管理著全球最大的漏洞庫,但只有當企業(yè)修復漏洞且自行公布后,X-Force才會公布這些漏洞。
事實上,企業(yè)陸續(xù)成立安全應急中心,一定程度上也是希望將漏洞問題的影響控制在可控范圍內(nèi)。北京白帽匯科技創(chuàng)始人趙武認為:“目前沒有規(guī)則,沒有權(quán)威機構(gòu),只有民間自律的體系。看起來的和諧體系只是一個初期妥協(xié)的產(chǎn)物,廠商與漏洞平臺的所謂合作以及對白帽子的認同,這種平衡如同脆弱的窗戶紙,一捅就破。如果廠商覺得漏洞披露弊大于利,必然會反彈。”
京公網(wǎng)安備 11010502049343號