“白帽”黑客和安全漏洞,這兩個原來有些陌生而神秘的名詞,正在被越來越多的人了解。“白帽”黑客這個群體,及其挖掘、披露漏洞的行為也正在被人們重新認識。
自從7月20日,國內最大的漏洞報告平臺烏云網突然“停擺”以來,無法恢復平靜的不僅是漏洞報告平臺,還有許多“白帽”黑客。更早之前的“袁煒事件”給很多“白帽”黑客帶來了更為直接的影響。這些“圈內事”讓不少“白帽”黑客擔心,“袁煒事件”會不會在自己身上重演。
與此同時,在更廣大的網絡安全和互聯網法律領域,對“白帽”黑客挖掘、披露網絡漏洞的行為也有了更多討論:以滲透、測試網站的方式來挖掘漏洞并披露究竟是否合適?“白帽”黑客與網絡漏洞的法律邊界在哪里?未來對“白帽”黑客和網絡漏洞的治理應該按照怎樣的原則開展?在8月16~17日舉行的第四屆中國互聯網安全大會(ISC)上,這些問題再度成為熱門話題。
網絡漏洞和“白帽”黑客的兩面性
“‘白帽子’發現漏洞并不是為了牟利,但這存在一個悖論,盡管他發現漏洞的初心是好的,但方法卻是灰色的,有的企業可能接受不了。”8月16日上午,在ISC的開幕演講中,360公司董事長周鴻的這番話或許能概括目前網絡漏洞和“白帽”黑客所面臨的灰色處境。
在“白帽”黑客群體中,模擬攻擊是嘗試發現漏洞經常采用的手段,而這種模擬攻擊大多都發生在企業并不知情的情況下。由于方法隱蔽且難以定性,過程難以監管、透明,“白帽”黑客和他們挖掘、披露網絡漏洞的行為一直備受爭議。
此外,由于“白帽”黑客與“黑帽”黑客從技術上可以互相轉化,因此在“袁煒事件”和烏云網“停擺”之后,很多人對“白帽”黑客和網絡漏洞也產生了更多的擔心。周鴻說:“最極端的情況是,如果‘白帽’黑客一直以不合法的身份做事情,那有可能他們會反而轉向黑色產業鏈。”
但在種種擔心和疑慮之外,業內對“白帽”黑客和網絡漏洞的另一面更加看重。
在ISC網絡安全與法治論壇上,公安部第三研究所網絡安全法律研究中心主任黃道麗提出,網絡安全漏洞具有很強的資源屬性,已經成為網絡空間的秘密武器。漏洞治理已經成為網絡安全保障的基礎性環節。
在北京郵電大學互聯網治理與法律研究中心常務副主任謝永江看來,網絡安全漏洞本質上是一種缺陷信息,也是威脅人身財產的危險,是當前科技水平無法消滅的。因此漏洞具有兩面性:一方面,漏洞被利用會給黑客提供攻擊的機會,會給網絡所有人以及用戶造成很大損失;另一方面,發現漏洞、彌補漏洞的過程也提高了我們的網絡安全,維護用戶的利益。
西安交通大學信息安全法律研究中心主任馬民虎也表示,漏洞已經成為各國爭先搶奪的戰略資源的博弈資本,安全漏洞攻擊構成全球最嚴重的網絡安全威脅,“白帽”黑客是網絡安全領域不可或缺的補充力量。
一個實際的案例是,今年4月18日到5月12日,美國國防部舉行了名為“來黑五角大樓”的網絡安全漏洞競賽。“白帽”黑客受邀,搶在真正黑客發動惡意攻擊之前,在五角大樓5個對外開放網站中發現并堵住網絡漏洞。比賽吸引了超過1400人參加,競賽結束后,參賽者共報告1189項薄弱點,其中138項被認定為“獨特、有效”。
漏洞的法律“漏洞”
既是網絡安全的威脅,又是網絡安全保護的重要力量,“白帽”黑客的雙重屬性讓企業和網絡安全管理部門對他們的感情十分復雜。在業內專家們看來,在“白帽”黑客群體及挖掘、披露漏洞領域內,現有的法律規定落后于實際情況,仍有許多法律“漏洞”需要彌補。
在具體實踐中,“白帽”黑客發現漏洞后大多會向烏云等漏洞平臺披露。謝永江提醒,這種漏洞披露的方式目前還沒有法律依據,如果漏洞的披露沒有得到企業授權的話,也會帶來法律風險。
黃道麗表示,我國還沒有建立與“白帽子”相關的系統法律制度,相應的規范只是零散地體現在一些法律法規以及部門規章里。從現有政策來看,“白帽子”挖掘、披露漏洞的行為很容易觸犯法律,并且對企業發展和安全防護產生負面效應。
在她看來,漏洞的挖掘和披露主要面臨著三個方面的法律風險:安全漏洞的法律屬性不明晰,“白帽”黑客的行為邊界不明確,“白帽”黑客的法律意識淡薄。而在法律遵從方面,關鍵的信息基礎設施范圍不明確,漏洞平臺以及企業的管理制度不完善等問題,也給安全漏洞的治理帶來了極大的挑戰。
在上述論壇上,西安交通大學信息安全法律研究中心和360法律研究院聯合發布了《“白帽子”安全漏洞挖掘法律風險分析報告》(簡稱《報告》)。該《報告》參考了國外漏洞挖掘、披露的實踐后認為,一些國家在立法上,對關鍵基礎設施的漏洞挖掘絕對禁止,并對合法漏洞挖掘的授權作出了擴大解釋,對出于特殊目的(比如安全)的漏洞挖掘給與一定程度的豁免,并注重對“白帽”黑客身份的認可和招募。
反觀國內,由于漏洞報告、披露機制的流程和制度不規范,烏云、漏洞盒子、補天等漏洞眾測平臺還不能夠為企業和“白帽子”之間創造有效的信任環境。由于“白帽”黑客身份隱蔽、漏洞挖掘方式不透明、擔心數據信息泄露等原因,大多數企業對“白帽”黑客挖掘、披露自身網絡安全漏洞的行為并不歡迎。
對此,《報告》建議規范“白帽”黑客的權利和義務,提出設立“白帽”黑客的注冊備案制度,以注冊平臺的運營模式為基礎規范白帽子的行為,通過行業規范強化白帽子的職業道德和職業操守,明確法律行為的邊界,并對白帽子展開相關的法律知識的培訓
《報告》指出,對于“白帽”黑客和網絡安全漏洞,政府應該實現由行政監管為主向法治監管為主的轉型,強化以法制為基礎的市場監管,建立評估監測機制,監督眾測平臺對漏洞的商業管理模式,定期進行透明度審查,并向社會不特定人群發布報告。
“政策和立法的思路應該是疏導和阻斷并行的。”黃道麗認為,法律應該給與“白帽”黑客和漏洞平臺合法地位,通過適當的衡量標準將其納入網絡安全產業中。同時,“白帽”黑客挖掘、披露漏洞的行為也要遵循現有的法律框架,“規范是必不可少的”。
“讓大家知道自己的邊界”
雖然有關安全漏洞的法律法規仍不完善,但安全漏洞市場已經起步,并且贏得了一些大型互聯網公司的垂青。
據媒體報道,美國Uber公司在今年5月推出一個“捉蟲獎勵”(bug bounty)計劃,讓世界各地“白帽”黑客查找Uber系統中的漏洞,然后報告給該公司,小型漏洞賞金在數千美元,重大的安全漏洞可以賺取高達1萬美元的獎金,發現4個以上漏洞的黑客將額外獲得10%的獎金。
事實上,“捉蟲獎勵”計劃(bug bounty)并不是一件新鮮事,不少硅谷的科技公司,如谷歌、Facebook等,對于“白帽”黑客幫忙找到漏洞都會給與一定的獎勵。
雖然漏洞市場已經有了一定的發展空間,但在更為廣大的社會范圍內,漏洞平臺仍面臨著爭議及不信任。
對此,360公司董事長周鴻認為,“白帽”黑客在中國仍屬于新生事物,或許需要一定的規范和引導,應該以一種善意的目光去看待他們。未來企業應該自己有意識地去聘請安全顧問,“白帽”黑客以后可以和企業簽訂安全服務協議,得到企業的授權和許可后再挖掘漏洞,而這種發現漏洞并提供解決方案的方式是可以收費的。
謝永江則呼吁,不能以禁止挖掘漏洞的方式來維護網絡安全,否則漏洞將無法彌補。他還提到,漏洞市場客觀存在,應該得到培育,可以通過將安全漏洞提交給企業授權的漏洞平臺,或者是國家漏洞信息庫一類政府機構的辦法,把“白帽”和企業連接起來。
但他也提醒,網絡安全漏洞的披露、交易應當受到嚴格的限制,尤其是涉及社會公共利益的更加不能隨意交易。“這需要國家盡快出臺網絡漏洞挖掘、披露、利用、交易規則,讓大家知道自己的邊界”。
京公網安備 11010502049343號