最近,世紀(jì)佳緣的網(wǎng)絡(luò)服務(wù)器,每天受到的網(wǎng)絡(luò)攻擊數(shù)量上升到十萬量級(jí)別。而之前,其每天受到的網(wǎng)絡(luò)攻擊只有一兩千次。
世紀(jì)佳緣受攻擊次數(shù)大幅提升的背后,與最近一起企業(yè)狀告黑客疑似竊取用戶數(shù)據(jù)不無關(guān)系。
事件本身孰是孰非已不重要
這一事件還要從2015年底說起。
根據(jù)世紀(jì)佳緣CEO吳琳光發(fā)布的信息顯示,2015年12月3日晚上,世紀(jì)佳緣負(fù)責(zé)網(wǎng)絡(luò)安全的同事發(fā)現(xiàn)多個(gè)IP地址對(duì)網(wǎng)站進(jìn)行SQL網(wǎng)絡(luò)注入攻擊。12月4日,有合作關(guān)系的烏云網(wǎng),按慣例通知世紀(jì)佳緣網(wǎng)站存在SQL數(shù)據(jù)庫注入漏洞。世紀(jì)佳緣隨后確認(rèn)并修補(bǔ)了這個(gè)漏洞,同時(shí)在烏云網(wǎng)上對(duì)白帽子表示致謝。事后統(tǒng)計(jì),這次事件中,攻擊總次數(shù)累計(jì)達(dá)到4000余次,共有900多條有效數(shù)據(jù)被攻擊者獲取。出于對(duì)用戶數(shù)據(jù)和信息安全的擔(dān)憂,世紀(jì)佳緣選擇了報(bào)警。
世紀(jì)佳緣相關(guān)人士對(duì)搜狐科技表示,由于受到多個(gè)IP地址攻擊,世紀(jì)佳緣當(dāng)時(shí)認(rèn)為這一事件中可能涉及到多個(gè)黑客。報(bào)警之后,通過警方的調(diào)查,才發(fā)現(xiàn)只有袁煒一個(gè)人涉嫌此案。吳琳光發(fā)布的信息顯示,4月12日,北京市朝陽區(qū)人民檢察院依據(jù)“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)犯罪”批準(zhǔn)逮捕涉案人袁煒。目前案件還在走司法程序,世紀(jì)佳緣也相信司法機(jī)關(guān)會(huì)依據(jù)事實(shí)公平公正處理這個(gè)案子。
吳琳光否認(rèn)了在這一事件中世紀(jì)佳緣“釣魚”的說法。吳琳光稱,世紀(jì)佳緣報(bào)警的初衷是為了對(duì)用戶隱私和信息安全負(fù)責(zé),并不針對(duì)任何個(gè)人或群體。袁煒被批捕后,袁煒的家屬、世紀(jì)佳緣及烏云三方也曾共同坐在一起溝通過此事。吳琳光表示,這個(gè)事情已經(jīng)進(jìn)入司法公訴程序,世紀(jì)佳緣能做的有限,畢竟起訴人不是世紀(jì)佳緣,而是檢方。
搜狐科技對(duì)比后發(fā)現(xiàn),世紀(jì)佳緣對(duì)外宣稱的事件經(jīng)過與報(bào)警時(shí)的細(xì)節(jié),與袁煒父親袁冠陽在第四屆網(wǎng)絡(luò)安全大會(huì)上散發(fā)的資料有一些出入。
對(duì)于此次事件的具體細(xì)節(jié)及這一事件的本身,包括烏云網(wǎng)創(chuàng)始人方小頓在內(nèi)的安全圈人士對(duì)搜狐科技表明了一個(gè)態(tài)度,這一事件本身當(dāng)事各方孰是孰非現(xiàn)在已經(jīng)不重要。重要的在于,業(yè)界通過這一事件,要吸引教訓(xùn),明確界定安全測(cè)試的法律邊界,成為規(guī)范網(wǎng)絡(luò)安全從業(yè)人員行為的一個(gè)標(biāo)志性事件。
世紀(jì)佳緣袁煒事件形成三大陣營
據(jù)搜狐科技了解,世紀(jì)佳緣袁煒事件發(fā)生后,安全圈內(nèi)部引起了廣泛的討論,并形成了三大陣營。
一大陣營認(rèn)為,目前絕大多數(shù)測(cè)試行動(dòng)都是在沒有得到廠商授權(quán)的情況下進(jìn)行的,因此,以后的所有安全滲透測(cè)試,都需要提前得到廠商的授權(quán)。但這只是理想狀態(tài),如果廠商不授權(quán),也就意味著白帽黑客的探測(cè),都涉嫌違法犯罪。
另一陣營認(rèn)為,世紀(jì)佳緣的做法屬于“釣魚”,恩將仇報(bào)。以后如果再發(fā)現(xiàn)相關(guān)廠商的漏洞,就不再給其提交,而是轉(zhuǎn)入黑產(chǎn),進(jìn)行拖庫。這種想法明顯是在與相關(guān)廠商賭氣,因?yàn)槿绻l(fā)現(xiàn)漏洞后進(jìn)一步獲取更多數(shù)據(jù),甚至拖庫、交易數(shù)據(jù)的行為,已經(jīng)觸犯刑法285、286條文規(guī)定。
再有就是中間派,這一陣營占了大多數(shù)。中間派別認(rèn)為,這一事件中,各方的做法都有欠妥的地方。企業(yè)的做法不像是一個(gè)公司對(duì)付安全漏洞正確的態(tài)度,只會(huì)讓事情走向反面;黑客測(cè)試過程中由于各種原因可能下載了較多的數(shù)據(jù),需要相關(guān)部門評(píng)判;烏云等平臺(tái)方一般與企業(yè)之間也有商業(yè)合作關(guān)系,也應(yīng)該規(guī)范白帽子的行為。
在這類事件中,平臺(tái)方出于自身的利益,可能也較難處理與廠商的關(guān)系。平臺(tái)方弱勢(shì)的話對(duì)自身不利,強(qiáng)勢(shì)的話又像是在利用漏洞進(jìn)行勒索。
但不管如何,各方在這個(gè)過程中,不能違法是底線。江蘇省公安廳網(wǎng)安總隊(duì)科長、公安部網(wǎng)絡(luò)安全專家童瀛就表示,網(wǎng)警在執(zhí)法過程中,會(huì)根據(jù)法律規(guī)定嚴(yán)格執(zhí)法。白帽黑客也要牢記相關(guān)條文中限定的數(shù)字,千萬不要跨過這些線。童瀛表示,WEB安全的入門教程比較多,入門門檻較低,安全問題也較多。從以往相關(guān)案件的處理情況來看,執(zhí)行滲透入侵的當(dāng)事人會(huì)是“主犯”,要負(fù)責(zé)主要責(zé)任,因此,白帽黑客在做測(cè)試時(shí)一定要自律。在突破屏障后,多數(shù)人都是有好奇心的,只要越線,就會(huì)受到法律的處罰。
行走在法律邊緣需明確邊界
龐大的網(wǎng)絡(luò)用戶群體,成為網(wǎng)絡(luò)違法犯罪行為的溫床。根據(jù)此前騰訊發(fā)布的《網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈年度報(bào)告》顯示,公安部2014年11月公布的網(wǎng)絡(luò)犯罪十大典型案例中,僅遼寧網(wǎng)安部門瓦解掉的一個(gè)非法入侵韓國網(wǎng)站盜取韓國網(wǎng)民銀行存款的特大團(tuán)伙,涉案金額折合人民幣就超過了1000萬元。DDoS攻擊已形成了一條高度成熟的黑色產(chǎn)業(yè)鏈。騰訊研究院2015年11月對(duì)外披露了另一份數(shù)據(jù),據(jù)稱,在網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈中,相關(guān)黑產(chǎn)從業(yè)人員或已達(dá)到38萬余人,涉及6000多個(gè)大大小小的黑產(chǎn)團(tuán)伙。其中,專職于DDoS黑產(chǎn)的人員高達(dá)13萬,如果以人均月收入4000元計(jì)算,年產(chǎn)值超過100億元。
據(jù)搜狐科技了解,在安全測(cè)試領(lǐng)域,對(duì)于測(cè)試行為有各種稱呼,如網(wǎng)絡(luò)滲透測(cè)試、安全審計(jì)、網(wǎng)絡(luò)或風(fēng)險(xiǎn)評(píng)估等等。而進(jìn)行測(cè)試的工具也多種多樣,絕大多數(shù)測(cè)試工具在“白帽”黑客手中是發(fā)現(xiàn)漏洞并提升業(yè)界安全水平的利器,但在“黑帽”或黑產(chǎn)人員手中,卻是獲取個(gè)人或企業(yè)隱私信息,為已獲利的幫兇。“黑客”到底是白是黑,完全在于一念之間。
一位黑客對(duì)搜狐科技透露,世紀(jì)佳緣袁煒這一事件,折射出安全行業(yè)普遍存在的一個(gè)問題,多數(shù)從業(yè)人員法律意識(shí)淡薄。在烏云白帽大會(huì)上,搜狐科技從與“黑客”的交流中也感受到,有些黑客在測(cè)試或者驗(yàn)證一些網(wǎng)絡(luò)漏洞時(shí),對(duì)入侵過程、入侵行為夸夸其談,但從不提及這其中涉及的法律問題。
IT與知識(shí)產(chǎn)權(quán)律師,中國互聯(lián)網(wǎng)協(xié)會(huì)信用評(píng)價(jià)中心法律顧問趙占領(lǐng)表示,從法律角度,國家已經(jīng)為網(wǎng)絡(luò)安全行為界定了明確的“邊界”。在從業(yè)過程中,需要嚴(yán)格按照相關(guān)法律法規(guī)條文及司法解釋規(guī)范自己的行為,在這個(gè)“邊界”之內(nèi)就可以保護(hù)自己的權(quán)益。
據(jù)了解,目前刑法第285條、286條、287條及刑法修正案(9)對(duì)網(wǎng)絡(luò)安全行為有明確的規(guī)定,觸犯這些條文會(huì)受到法律的嚴(yán)懲。2011年8月,最高人民法院、最高人民檢察院針對(duì)刑法285、286條專門發(fā)布了司法解釋,以達(dá)到“嚴(yán)懲危害計(jì)算機(jī)信息系統(tǒng)安全犯罪,保障互聯(lián)網(wǎng)的運(yùn)行安全與信息安全”的目的。
2015年6月,《中華人民共和國網(wǎng)絡(luò)安全法(草案)》發(fā)布并公開向社會(huì)征集意見,在網(wǎng)絡(luò)安全法草案中,對(duì)入侵他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動(dòng),以及為這些活動(dòng)提供支持、幫助等行為都進(jìn)行了禁止。同時(shí),草案也要求網(wǎng)絡(luò)運(yùn)營者要保護(hù)用戶數(shù)據(jù)的安全。
白帽黑客使用檢測(cè)工具測(cè)試網(wǎng)絡(luò)安全的過程中,也可能會(huì)涉及到軟件自動(dòng)緩存的問題。這種情況下,白帽黑客沒有主觀想獲取數(shù)據(jù),但程序自動(dòng)緩存了。從目前的情況來看,相關(guān)法律機(jī)關(guān)可能更傾向于黑客已經(jīng)獲取了數(shù)據(jù)。因此,在使用檢測(cè)工具前,白帽黑客或安全從業(yè)人員要盡可能了解檢測(cè)工具的工作原理,測(cè)試時(shí)要謹(jǐn)慎。
趙占領(lǐng)同時(shí)強(qiáng)調(diào),從刑法角度來說,司法解釋明確規(guī)定了非法獲取用戶信息的量刑數(shù)量,但白帽黑客絕對(duì)不要簡單地認(rèn)為,只要其獲取的數(shù)據(jù)低于某個(gè)數(shù)量,其行為就是安全的,可以不受懲處。比如獲取普通用戶身份認(rèn)證信息不到五百組,雖然不用負(fù)刑事責(zé)任,但根據(jù)后果,當(dāng)事人可能會(huì)受治安管理處罰法第29條的規(guī)定,受到相應(yīng)處罰。
騰訊玄武實(shí)驗(yàn)室總監(jiān)于旸(TK教主)認(rèn)為,這個(gè)行業(yè)游走在法律邊緣是一種情緒化的說法,只有知道了邊界在哪里,才能做到“常在河邊走也不濕鞋”。每個(gè)行業(yè)都有相應(yīng)的法律限制,網(wǎng)絡(luò)安全從業(yè)人員更應(yīng)搞清楚這些法律條文,才能在從業(yè)過程中做到?jīng)]有后顧之憂。在行俠仗義的時(shí)候,順便調(diào)戲婦女,在安全測(cè)試的時(shí)候,順便拖庫倒賣,都不是英雄和白帽的正確姿勢(shì)。
廠商對(duì)白帽黑客五味雜陳
針對(duì)這一事件,安全媒體“安在”也以研討會(huì)的形式進(jìn)行了討論。諾亞財(cái)富安全負(fù)責(zé)人顧全民認(rèn)為,之前他們也收到過類似白帽提交的漏洞。這本來也是一件好事,但是后來他們企業(yè)的安全人員進(jìn)到后臺(tái)發(fā)現(xiàn),這位“白帽”黑客做了兩件事情,但其告訴企業(yè)一件事情。這就讓企業(yè)與白帽之間很難建立信任關(guān)系。
萬能鑰匙安全負(fù)責(zé)人、安全專家龔蔚(Goodwell)認(rèn)為,在整個(gè)白帽生態(tài)中,企業(yè)才是綿羊。龔蔚對(duì)白帽生態(tài)的發(fā)展也提出了相關(guān)疑問,如白帽子到底白在哪里、白帽的衡量標(biāo)準(zhǔn)、行為準(zhǔn)則、訴求等。
小米云平臺(tái)安全與隱私部首席安全官陳洋在烏云白帽大會(huì)上也表示,從廠商角度看,廠商有很重要的職責(zé)來保護(hù)用戶的數(shù)據(jù)安全。廠商自身一方面會(huì)用各種方法去發(fā)現(xiàn)并解決問題,白帽子這么多年在幫助企業(yè)發(fā)現(xiàn)很多盲點(diǎn),提升了廠商的安全程度。沒有白帽子的支持,企業(yè)的安全就會(huì)落后很多年。但是,廠商也比較害怕白帽子。白帽黑客一些善意的測(cè)試,企業(yè)比較歡迎。但有時(shí)這些“白帽”的測(cè)試,有時(shí)會(huì)導(dǎo)致數(shù)據(jù)泄露或破壞。有的黑客甚至有些打著白帽子的旗號(hào),去拖庫、交易這些數(shù)據(jù)。
陳洋認(rèn)為,企業(yè)與白帽黑客之間應(yīng)該是共同促進(jìn)的關(guān)系。一方面白帽黑客能幫助廠商提高安全,另一方面廠商也可以與黑客做一些精神、物質(zhì)方面的合作。但對(duì)用戶的數(shù)據(jù)產(chǎn)生侵犯,就會(huì)觸控法律紅線。
不要低估網(wǎng)警的水平
有的黑客認(rèn)為其在滲透過程中操作很規(guī)范,甚至有人使用多重代理,認(rèn)為相關(guān)部門很難取證。但中科院軟件研究所研究員、中國電子學(xué)會(huì)計(jì)算機(jī)取證專委會(huì)主任委員、公安部三局特聘專家丁麗萍則認(rèn)為,電子取證的水平已經(jīng)很高,黑客不能低估網(wǎng)警的水平,不要心存僥幸。
據(jù)丁麗萍介紹,對(duì)于電子證據(jù),業(yè)界已經(jīng)有共識(shí),認(rèn)為電子證據(jù)是下一代的證據(jù)并已經(jīng)獲得認(rèn)可。符合“三性”(真實(shí)性、相關(guān)性、合法性)的電子證據(jù)能夠獲得法庭的采用。白帽黑客需要了解警察取證的知識(shí),在測(cè)試過程中,可以保留一些能夠獲得認(rèn)可的證據(jù),以便能夠證明自己的清白。
在2011年底各大平臺(tái)被拖庫事件及斯諾登事件后,網(wǎng)絡(luò)安全正受到各方的關(guān)注。除了用戶的隱私,企業(yè)安全外,還有國家層面的網(wǎng)絡(luò)安全。新興事物的發(fā)展要快于法律規(guī)范的定制,是一個(gè)普遍現(xiàn)象,世紀(jì)佳緣袁煒這一事件,無疑在規(guī)范網(wǎng)絡(luò)安全測(cè)試行業(yè)及黑客的行為中,將成為一個(gè)里程碑式的事件。
京公網(wǎng)安備 11010502049343號(hào)