通常理解下,“白帽子”是發現互聯網企業安全漏洞,反饋給企業而不惡意利用的人。
“白帽子”可以幫助發現安全漏洞,幫助互聯網企業完善安全體系。不過,如果“白帽子”對用戶的數據產生侵犯,就可能觸碰互聯網企業的底線。
一些“白帽子”對法律不了解,不知道行為界限在哪里;另一些“白帽子”了解法律,但管不住自己的好奇心,他們獲得數據并不是出于違法目的,而是自律出了問題。
近日,多起精準詐騙連續受到公眾關注,人們的注意力轉向個人信息安全保護。在互聯網上有這樣三個主體,他們共同的關注點是互聯網安全,他們既是“同盟”又保留著一定程度的戒備,他們是“白帽子”、漏洞披露平臺和互聯網企業。
8月15日至21日國家信息安全漏洞共享平臺發布信息安全漏洞周報——互聯網漏洞披露平臺、互聯網安全眾測平臺及其他個人“白帽子”,共向國家信息安全漏洞共享平臺提交了36個以事件型漏洞為主的原創漏洞。而此前一周,這一數量更高達1568個。
盡管三方正共同對維護互聯網信息安全作出努力,但圍繞“白帽子”,仍存在一些爭議。如何解決圍繞“白帽子”的爭議,促進“白帽子”、漏洞披露平臺與企業在互聯網安全領域的合作?記者就此采訪了互聯網安全業內人士和互聯網法律專家。
“白帽子”是群怎樣的人
“白帽子”是什么樣的人?互聯網法律專家告訴記者,法律上并沒有“白帽子”這個概念。
“這個稱謂是一個行業——網絡安全為主的安全行業,對從業人員以及安全技術愛好者的一個稱呼。”互聯網法律專家趙占領告訴記者,即便在行業內,“白帽子”也沒有嚴格的概念。通常理解下,“白帽子”是發現互聯網企業安全漏洞,反饋給企業而不惡意利用的人。
“‘白帽子’對網絡安全技術提升有建設性作用。”趙占領這樣認為。
“能而不欲的人。”這是中國政法大學副教授朱巍對“白帽子”的形容。他認為,“白帽子”雖然有破壞網絡或利用獲得的信息賺錢的能力,但他們不做這樣的事情。“白帽子”挖掘安全漏洞是為了堵住漏洞,或者單純地為了“炫技”。
誰戴著“白帽子”?朱巍告訴記者,互聯網上活躍著大量的“白帽子”,他們有可能在政府部門、互聯網技術企業、科研院校等單位工作。
“互聯網安全是一種動態的平衡。”朱巍說,技術每時每刻都在進步,今天是安全的,明天可能就不再安全。“‘白帽子’的存在是件好事。‘白帽子’發現漏洞并把漏洞展現出來,起到了預警效果”。
江蘇公安機關網絡安全部門童姓民警說,目前,在WEB安全領域的“白帽子”比較多,原因是WEB安全領域入門比其他領域相對低一些,教材容易獲得,測試環境也容易接觸到。當然,在WEB安全領域存在的問題也更多一些。
記者了解到,除了關注WEB安全領域的“白帽子”之外,還有一些“白帽子”會將注意力放在硬件安全或操作系統安全等方面。
“黑”與“白”在一念之間
既然“白帽子”是做好事的好人,為何引發關注和爭議?記者了解到,“白帽子”與“黑客”的區別往往就在一念之差;并且,即使“白帽子”是善意的漏洞挖掘,也可能給企業帶來困擾。
“本公司求賢,年薪百萬……”2016年7月,在一場“白帽子”交流大會上,一塊大屏幕顯示著參會者發布的彈幕。
“相比‘白帽子’的能力而言,年薪百萬真的不算多。”參會的“白帽子”張某告訴記者,他們若是做“黑客”,那些技術帶來的利益可能會是上千萬元。
“與‘白帽子’相對應的是‘黑帽子’‘黑客’。”趙占領說,“黑客”發現安全漏洞后,利用漏洞從事破壞活動或非法謀取利益(行業內也稱為“做黑產”——記者注)。
在朱巍看來,“黑客”與“白帽子”的行為看起來有相似性,但目的卻截然相反。“黑客”的目的是為了賺錢,或是為了破壞網絡安全。
某互聯網企業安全部門負責人陳某,在多年前也是一個“白帽子”。他告訴記者,當時還沒有“白帽子”“黑帽子”的說法,他喜歡研究互聯網安全技術,發現了互聯網企業的一些安全問題,當時沒有什么途徑通知廠商,只好自己想辦法聯系。他看到通訊錄后,聯系了對方公司的CEO。從那之后,他進入了互聯網安全這個行業。
站在“白帽子”和廠商的角度,陳某有一些體會。陳某告訴記者,“白帽子”一開始大都是技術驅使,他們進行學習、發現問題、練習技術。很多時候,“白帽子”好奇是不是可以發現更多的問題,但很容易收不住手,一步步走下去就可能越走越遠。
童姓民警講述了一個案例,一個技術人員通過滲透入侵的方式進入一家網站并獲取到了數據。此后,這些數據被他人加以利用,盜竊數百萬元。
“成功進入某公司網絡或者成功測試漏洞后,‘白帽子’可能看到很多東西。人都是有好奇心的,我再進一步看看,我再多獲取一點兒數據。”童姓網警說,“白帽子”在進行漏洞挖掘時,首先要做到的就是自律。
趙占領認為,一些“白帽子”對法律不了解,不知道行為界限在哪里;另一些“白帽子”了解法律,但管不住自己的好奇心,他們獲得數據并不是出于違法目的,而是自律出了問題。
倚重與防備之間尷尬生存
“互聯網企業和‘白帽子’是相輔相成的,特別是互聯網企業的安全部門非常倚重‘白帽子’。”陳某這樣評價互聯網企業與“白帽子”之間的關系,互聯網企業有一項很重要的職責,就是保護好用戶的信息安全?;谶@一職責,互聯網企業自身用各種各樣的方法不斷發現問題、解決問題,同時也歡迎“白帽子”做一些善意的測試,發現盲點,幫助廠商完善安全體系。
“白帽子”提升了行業和廠商對安全的重視程度,但陳某也坦言,互聯網企業也有害怕“白帽子”的時候。有些“白帽子”經意不經意的測試行為,可能導致數據被破壞,甚至一些打著“白帽子”旗號的人會販賣數據。“白帽子”對用戶的數據產生侵犯,就可能觸碰互聯網企業的底線。
“白帽子”除了與互聯網企業打交道,還會與漏洞披露平臺產生聯系。
趙占領說,“白帽子”和漏洞披露平臺之間有兩種關系。第一種是平臺提供信息發布服務,平臺是信息存儲空間,“白帽子”把發現的漏洞信息提交給平臺,平臺按照自己的流程把信息提供給互聯網企業,該公開的時候公開。在這種情況下,兩者之間就是信息發布服務者和用戶的關系。
中科院軟件研究所研究員丁麗萍認為,目前漏洞披露平臺大多采取用戶自由提交漏洞信息的模式,在這種模式下,“白帽子”怎么定義、怎么審核這些提交漏洞的人?這些問題成為關鍵。漏洞披露平臺很難保證每個用戶沒有在利益驅動下做違法的事情。
“白帽子”與漏洞披露平臺之間的另一種關系,來自于一個商業模式,安全“眾測”或稱“眾包”的模式。漏洞披露平臺接受一些互聯網企業的安全外包任務,平臺將任務發布給平臺上的技術高手完成項目。
專家告訴記者,在這種情況下,企業的安全意識成為關鍵因素。丁麗萍說,企業分成兩類,一類是歡迎挖漏洞的;另一類的態度是“我有漏洞你管得著嗎?你公布試試,你攻進來試試”。后一種態度雖然不講理,但也不是不合法的。刑法修正案(九)在第二百八十六條中增加了企業責任條款。丁麗萍認為,法律對企業提出了要求,由于企業不注重信息安全防護而導致用戶數據大量泄露,需要承擔刑事責任。因此,企業可能會更歡迎“白帽子”來挖漏洞。
“白帽子”面臨法律風險
法律專家告訴記者,“白帽子”自發進行測試時,面臨著多層次的法律風險。
有些“白帽子”對網站進行測試時,并不十分了解他們使用的軟件,測試一開始就蘊藏著風險。趙占領告訴記者,有一些針對常見漏洞的檢測工具軟件在網上很容易找到;比較特殊或復雜的漏洞檢測工具軟件,則來自“技術社區(論壇)”分享,僅在技術愛好者圈子中流傳;還有些“白帽子”自己寫檢測程序。“白帽子”使用的軟件可能有自動緩存功能。“白帽子”在檢測過程中,主觀上沒有獲取數據的想法,但測試軟件可能會把數據存儲在電腦上。這種行為是否屬于刑法所定義的獲取數據,目前還沒有類似案例,最終還要看司法機關怎么認定。
趙占領告訴記者,互聯網企業認為“白帽子”發現的漏洞有價值時,可能會給予精神上的感謝或者物質上的獎勵,但這不是必須給予的。不過,如果“白帽子”拿著找到的漏洞,以公開漏洞、透露給別人或攻擊漏洞相要挾,要求互聯網企業支付一定的金錢,則有可能構成敲詐勒索。
趙占領說,“白帽子”了解最多的法律是刑法第二百八十五條、第二百八十六條關于網絡安全的規定,但他們常常忽略了即便沒有構成刑事犯罪,也有可能觸犯治安管理處罰法。
“白帽子”常忽視的,還有侵犯隱私權、知識產權等民事法律風險。朱巍說,“白帽子”使用插件、外掛的方式,或嵌入式的方式,把自己想要的功能加入別人的軟件之中達到他們的目的,這可能侵犯了他人的知識產權,嚴重的還會涉及到知識產權相關刑事責任。
“我們是搞技術的,鉆研安全漏洞,我們并不鉆研法律漏洞,對法律也是一知半解。”“白帽子”張某坦言,“白帽子”對法律的了解程度不深。不過,對于與互聯網企業的溝通模式,張某也有自己的想法。
現有的模式是企業發出授權,然后“白帽子”參與測試。能不能有所變化?張某給出一個模型:“白帽子”在測試前,先向企業發出申請,這個申請帶上明確個人信息。當企業認為“白帽子”的測試有問題時,馬上聯系“白帽子”終止測試。這種模式可以保護“白帽子”的主動參與積極性,同時也給互聯網企業保留了主動權。
丁麗萍建議,漏洞披露平臺和一些官方的機構合作,在獲得授權的情況下進行漏洞挖掘和披露,從而降低法律風險。在授權合作模式下,漏洞披露平臺將獲得的漏洞信息提交給公安部門,由公安部門介入處理;或提交給國家互聯網應急中心,由國家互聯網應急中心向對方發出通知,告知對方系統有漏洞以及可能造成大量數據泄露、國家財產或者群眾利益的損失等后果。