白帽黑客的太陽何時升起？

今年4月12日，“白帽子”袁煒因涉嫌非法獲取計算機信息系統(tǒng)數(shù)據(jù)犯罪批捕，隨后其父親的一封公開信引起了軒然大波。在信中，這名父親提出了一個令業(yè)內(nèi)人士都感到難以解答的問題：“白帽子檢測漏洞到底是不是犯罪？”

這封信發(fā)布后的不到一個月的時間，7月20日，袁煒上傳漏洞的平臺“烏云”（WooYu）突然無法訪問。網(wǎng)站公告稱，烏云及相關(guān)服務(wù)將升級，并將在最短的時間內(nèi)以最好的姿態(tài)回歸。

另外，網(wǎng)傳烏云和包括創(chuàng)始人方小頓在內(nèi)的烏云網(wǎng)數(shù)名團隊成員7月19日被警方帶走。

與此同時，另外一個業(yè)內(nèi)知名的互聯(lián)網(wǎng)那個測試平臺漏洞盒子發(fā)布升級公告稱管理團隊對其網(wǎng)站進行例行維護。維護期間，暫停互聯(lián)網(wǎng)漏洞與威脅情報接收。

從“停服”開始截至今天剛好一個月的時間，烏云仍然“升級中”，而漏洞盒子已經(jīng)恢復(fù)正常。

雖然還不知道烏云網(wǎng)出事的確切原因，但是與袁煒事件有關(guān)是業(yè)內(nèi)人士討論最多的一種說法。在袁煒被抓后，烏云平臺成為了白帽子宣泄“憤怒”的地方，一連幾天袁煒?biāo)e報的網(wǎng)站又有多個漏洞被公布在烏云上。但也有人持有其他觀點，比如懷疑可能是由于烏云平臺上的白帽測試了相關(guān)政府部門的網(wǎng)絡(luò)系統(tǒng)，而平臺遭到牽連。

漏洞披露機制存疑

按照此前烏云的流程，在漏洞被提交至平臺后，一般10天向核心白帽子公開其漏洞細節(jié)，20天向普通白帽子公開，30天向?qū)嵙?xí)白帽子公開。直到45天之后，企業(yè)仍未主動認領(lǐng)漏洞，則會向公眾公開其細節(jié)。

相比烏云上白帽子主動提交漏洞的做法，漏洞盒子的機制是讓廠商主動提交項目要求白帽子尋找bug：“為了保護廠商，互聯(lián)網(wǎng)漏洞報告不向漏洞盒子外部用戶公開，但保留對關(guān)系民生、影響大眾的安全問題進行披露的權(quán)利。我們建議廠商可以在我們建議的時間范圍修復(fù)漏洞。”

而360旗下與烏云、漏洞盒子齊名的補天平臺上，白帽子提交了漏洞報告后，即使企業(yè)不認領(lǐng)，補天也不會主動公開。在周鴻祎看來，這是因為補天“并不利用漏洞去牟利”的緣故。

今年7月9日的時候，在烏云白帽大會上，方小頓仍然對漏洞披露堅信不疑：“相較于企業(yè)，用戶往往是弱勢的。而烏云一個更重要的使命就是去做一個生態(tài)，從白帽子、企業(yè)、用戶三方的角度考慮，最后漏洞一定會公開，但相信這一切是在法律框架內(nèi)。”但他也表示，如果企業(yè)有困難，烏云也會協(xié)助解決，防止造成損失。

國家互聯(lián)網(wǎng)應(yīng)急中心運行部副主任、正高級工程師嚴寒冰說，CNVD（國家信息安全漏洞共享平臺）在看到補天和烏云平臺有一些不適合的披露時候，會建議其進行修改，避免一些安全風(fēng)險。

北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心常務(wù)副主任謝永江認為漏洞要經(jīng)過處置以后才能公開。另外設(shè)施單位要主動響應(yīng)白帽子漏洞平臺，披露一些漏洞相關(guān)情況，

目前來說對于漏洞披露我國法律還未有限制性的規(guī)定，但是可不可以披露，披露到什么細節(jié)，或者到什么程度，都是可以繼續(xù)探討的問題。

公布漏洞應(yīng)該獲得獎勵嗎？

目前來講，在國內(nèi)幾家主流的漏洞提交平臺上，白帽子提交漏洞都會得到一定的獎勵。根據(jù)業(yè)內(nèi)人士的說法，360補天平臺上的獎勵普遍要高一些，而烏云等網(wǎng)站的稍低——獎勵全憑廠商，有人將金額戲稱為“若干元”。

除了接受廠商的委托進行安全測試外，平臺本身是“不接受廠商獎勵”的。周鴻祎認為，接受獎勵畢竟有“瓜田李下”之嫌，這種行為和“敲詐”的界限并沒有那么清晰。

事實上，白帽子對于整個安全行業(yè)非常重要，谷歌、微軟、蘋果、特斯拉等世界知名科技企業(yè)都推出了提供獎金鼓勵第三方白帽子協(xié)助自己挖掘漏洞的響應(yīng)行動。“最近美國五角大樓也邀請全世界的黑客去攻擊五角大樓，通過這種方式來收集自己的系統(tǒng)漏洞和黑客攻擊方法，以更好地完善自己的系統(tǒng)安全。”周鴻祎也介紹了國外的一些獎勵行為。

“發(fā)現(xiàn)系統(tǒng)漏洞是屬于個人的責(zé)任，就像是海洋學(xué)家發(fā)現(xiàn)洋流走向一樣。白帽子黑客正在保護這個世界，理應(yīng)得到應(yīng)有的尊重，但是通過這種發(fā)現(xiàn)得到賞金是錯誤的，不道德的，不能長期這樣。”McAfee在ISC（中國互聯(lián)網(wǎng)安全大會）上接受鳳凰科技采訪時說道。

公安部三所網(wǎng)絡(luò)安全法的研究中心主任黃道麗告訴鳳凰科技，企業(yè)和白帽子之間持有不同利益，白帽子發(fā)現(xiàn)的漏洞又兼?zhèn)渥陨碣Y源和攻擊雙重屬性。在這種復(fù)雜態(tài)勢下，第三方協(xié)調(diào)漏洞挖掘和報告行為，確保雙方之間能力差異和利益沖突不會防害提升網(wǎng)絡(luò)安全總體目標(biāo)。

但是無論如何，公布漏洞以求獲得獎勵仍然面臨道德上的困境。謝永江認為，白帽子獲取的漏洞可以幫助企業(yè)避免損失，這就可以將其當(dāng)成是一種商業(yè)秘密來采取合理措施保護起來，并享有一定權(quán)利。但是具體構(gòu)成何種權(quán)利，尚有待商榷。

不明朗的法規(guī)

安全漏洞法律屬性不明晰，行為邊界不明確，法律意識淡薄，都在不斷加劇白帽子和漏洞平臺目前所面臨的困境。

有關(guān)我國的白帽子法律條款沒有形成系統(tǒng)法律體系，唯一明確的就是現(xiàn)有刑法現(xiàn)有的刑法里面對于非授權(quán)訪問做了明確禁止，業(yè)內(nèi)人士認為這可能也是對于網(wǎng)絡(luò)漏洞挖掘的禁止性規(guī)定。

綜合國外對安全漏洞挖掘的立法規(guī)定，黃道麗將國外漏洞挖掘的法規(guī)特點概括為了四點。第一，關(guān)鍵基礎(chǔ)設(shè)施漏洞挖掘的絕對禁止。第二，對漏洞挖掘授權(quán)做出明確解釋。第三，在特殊目的下，給予一定程度的豁免。第四，注重對白帽子身份的認可和招募。

西安交通大學(xué)信息安全法律研究中心和360法律研究院合作研究、聯(lián)合發(fā)布的《“白帽子”安全漏洞挖掘法律風(fēng)險分析報告》對我國相關(guān)立法提出了五大的法律建議。第一是對關(guān)鍵基礎(chǔ)設(shè)施內(nèi)涵和外延給予界定，第二對白帽子身份以及政策平臺在法律上可能的法律地位給予一定確定。第三要明確白帽子的權(quán)利和義務(wù)規(guī)范。第四，資質(zhì)合理審慎。第五，根據(jù)白帽子某些行為預(yù)期，為漏洞挖掘提供一些豁免條件。

隨著萬物互聯(lián)的時代到來，網(wǎng)絡(luò)安全風(fēng)險也隨之百倍放大。白帽子在安全防御體系中起著不可替代的作用，通過法律政策將白帽子和平臺以適當(dāng)衡量標(biāo)準(zhǔn)納入到安全產(chǎn)業(yè)當(dāng)中，確實給予合法地位，也是對抗未知風(fēng)險的現(xiàn)實要求。相信隨著進一步完善基礎(chǔ)法律措施建設(shè)，“袁煒案”式的爭執(zhí)將會徹底消失。