通常理解下,“白帽子”是发现互联网企业安全漏洞,反馈给企业而不恶意利用的人。
“白帽子”可以帮助发现安全漏洞,帮助互联网企业完善安全体系。不过,如果“白帽子”对用户的数据产生侵犯,就可能触碰互联网企业的底线。
一些“白帽子”对法律不了解,不知道行为界限在哪里;另一些“白帽子”了解法律,但管不住自己的好奇心,他们获得数据并不是出于违法目的,而是自律出了问题
近日,多起精准诈骗连续受到公众关注,人们的注意力转向个人信息安全保护。在互联网上有这样三个主体,他们共同的关注点是互联网安全,他们既是“同盟”又保留着一定程度的戒备,他们是“白帽子”、漏洞披露平台和互联网企业。
8月15日至21日国家信息安全漏洞共享平台发布信息安全漏洞周报——互联网漏洞披露平台、互联网安全众测平台及其他个人“白帽子”,共向国家信息安全漏洞共享平台提交了36个以事件型漏洞为主的原创漏洞。而此前一周,这一数量更高达1568个。
尽管三方正共同对维护互联网信息安全作出努力,但围绕“白帽子”,仍存在一些争议。如何解决围绕“白帽子”的争议,促进“白帽子”、漏洞披露平台与企业在互联网安全领域的合作?记者就此采访了互联网安全业内人士和互联网法律专家。
“白帽子”是群怎样的人
“白帽子”是什么样的人?互联网法律专家告诉记者,法律上并没有“白帽子”这个概念。
“这个称谓是一个行业——网络安全为主的安全行业,对从业人员以及安全技术爱好者的一个称呼。”互联网法律专家赵占领告诉记者,即便在行业内,“白帽子”也没有严格的概念。通常理解下,“白帽子”是发现互联网企业安全漏洞,反馈给企业而不恶意利用的人。
“‘白帽子’对网络安全技术提升有建设性作用。”赵占领这样认为。
“能而不欲的人。”这是中国政法大学副教授朱巍对“白帽子”的形容。他认为,“白帽子”虽然有破坏网络或利用获得的信息赚钱的能力,但他们不做这样的事情。“白帽子”挖掘安全漏洞是为了堵住漏洞,或者单纯地为了“炫技”。
谁戴着“白帽子”?朱巍告诉记者,互联网上活跃着大量的“白帽子”,他们有可能在政府部门、互联网技术企业、科研院校等单位工作。
“互联网安全是一种动态的平衡。”朱巍说,技术每时每刻都在进步,今天是安全的,明天可能就不再安全。“‘白帽子’的存在是件好事。‘白帽子’发现漏洞并把漏洞展现出来,起到了预警效果”。
江苏公安机关网络安全部门童姓民警说,目前,在WEB安全领域的“白帽子”比较多,原因是WEB安全领域入门比其他领域相对低一些,教材容易获得,测试环境也容易接触到。当然,在WEB安全领域存在的问题也更多一些。
记者了解到,除了关注WEB安全领域的“白帽子”之外,还有一些“白帽子”会将注意力放在硬件安全或操作系统安全等方面。
“黑”与“白”在一念之间
既然“白帽子”是做好事的好人,为何引发关注和争议?记者了解到,“白帽子”与“黑客”的区别往往就在一念之差;并且,即使“白帽子”是善意的漏洞挖掘,也可能给企业带来困扰。
“本公司求贤,年薪百万……”2016年7月,在一场“白帽子”交流大会上,一块大屏幕显示着参会者发布的弹幕。
“相比‘白帽子’的能力而言,年薪百万真的不算多。”参会的“白帽子”张某告诉记者,他们若是做“黑客”,那些技术带来的利益可能会是上千万元。
“与‘白帽子’相对应的是‘黑帽子’‘黑客’。”赵占领说,“黑客”发现安全漏洞后,利用漏洞从事破坏活动或非法谋取利益(行业内也称为“做黑产”——记者注)。
在朱巍看来,“黑客”与“白帽子”的行为看起来有相似性,但目的却截然相反。“黑客”的目的是为了赚钱,或是为了破坏网络安全。
某互联网企业安全部门负责人陈某,在多年前也是一个“白帽子”。他告诉记者,当时还没有“白帽子”“黑帽子”的说法,他喜欢研究互联网安全技术,发现了互联网企业的一些安全问题,当时没有什么途径通知厂商,只好自己想办法联系。他看到通讯录后,联系了对方公司的CEO。从那之后,他进入了互联网安全这个行业。
站在“白帽子”和厂商的角度,陈某有一些体会。陈某告诉记者,“白帽子”一开始大都是技术驱使,他们进行学习、发现问题、练习技术。很多时候,“白帽子”好奇是不是可以发现更多的问题,但很容易收不住手,一步步走下去就可能越走越远。
童姓民警讲述了一个案例,一个技术人员通过渗透入侵的方式进入一家网站并获取到了数据。此后,这些数据被他人加以利用,盗窃数百万元。
“成功进入某公司网络或者成功测试漏洞后,‘白帽子’可能看到很多东西。人都是有好奇心的,我再进一步看看,我再多获取一点儿数据。”童姓网警说,“白帽子”在进行漏洞挖掘时,首先要做到的就是自律。
赵占领认为,一些“白帽子”对法律不了解,不知道行为界限在哪里;另一些“白帽子”了解法律,但管不住自己的好奇心,他们获得数据并不是出于违法目的,而是自律出了问题。
倚重与防备之间尴尬生存
“互联网企业和‘白帽子’是相辅相成的,特别是互联网企业的安全部门非常倚重‘白帽子’。”陈某这样评价互联网企业与“白帽子”之间的关系,互联网企业有一项很重要的职责,就是保护好用户的信息安全。基于这一职责,互联网企业自身用各种各样的方法不断发现问题、解决问题,同时也欢迎“白帽子”做一些善意的测试,发现盲点,帮助厂商完善安全体系。
“白帽子”提升了行业和厂商对安全的重视程度,但陈某也坦言,互联网企业也有害怕“白帽子”的时候。有些“白帽子”经意不经意的测试行为,可能导致数据被破坏,甚至一些打着“白帽子”旗号的人会贩卖数据。“白帽子”对用户的数据产生侵犯,就可能触碰互联网企业的底线。
“白帽子”除了与互联网企业打交道,还会与漏洞披露平台产生联系。
赵占领说,“白帽子”和漏洞披露平台之间有两种关系。第一种是平台提供信息发布服务,平台是信息存储空间,“白帽子”把发现的漏洞信息提交给平台,平台按照自己的流程把信息提供给互联网企业,该公开的时候公开。在这种情况下,两者之间就是信息发布服务者和用户的关系。
中科院软件研究所研究员丁丽萍认为,目前漏洞披露平台大多采取用户自由提交漏洞信息的模式,在这种模式下,“白帽子”怎么定义、怎么审核这些提交漏洞的人?这些问题成为关键。漏洞披露平台很难保证每个用户没有在利益驱动下做违法的事情。
“白帽子”与漏洞披露平台之间的另一种关系,来自于一个商业模式,安全“众测”或称“众包”的模式。漏洞披露平台接受一些互联网企业的安全外包任务,平台将任务发布给平台上的技术高手完成项目。
专家告诉记者,在这种情况下,企业的安全意识成为关键因素。丁丽萍说,企业分成两类,一类是欢迎挖漏洞的;另一类的态度是“我有漏洞你管得着吗?你公布试试,你攻进来试试”。后一种态度虽然不讲理,但也不是不合法的。刑法修正案(九)在第二百八十六条中增加了企业责任条款。丁丽萍认为,法律对企业提出了要求,由于企业不注重信息安全防护而导致用户数据大量泄露,需要承担刑事责任。因此,企业可能会更欢迎“白帽子”来挖漏洞。
“白帽子”面临法律风险
法律专家告诉记者,“白帽子”自发进行测试时,面临着多层次的法律风险。
有些“白帽子”对网站进行测试时,并不十分了解他们使用的软件,测试一开始就蕴藏着风险。赵占领告诉记者,有一些针对常见漏洞的检测工具软件在网上很容易找到;比较特殊或复杂的漏洞检测工具软件,则来自“技术社区(论坛)”分享,仅在技术爱好者圈子中流传;还有些“白帽子”自己写检测程序。“白帽子”使用的软件可能有自动缓存功能。“白帽子”在检测过程中,主观上没有获取数据的想法,但测试软件可能会把数据存储在电脑上。这种行为是否属于刑法所定义的获取数据,目前还没有类似案例,最终还要看司法机关怎么认定。
赵占领告诉记者,互联网企业认为“白帽子”发现的漏洞有价值时,可能会给予精神上的感谢或者物质上的奖励,但这不是必须给予的。不过,如果“白帽子”拿着找到的漏洞,以公开漏洞、透露给别人或攻击漏洞相要挟,要求互联网企业支付一定的金钱,则有可能构成敲诈勒索。
赵占领说,“白帽子”了解最多的法律是刑法第二百八十五条、第二百八十六条关于网络安全的规定,但他们常常忽略了即便没有构成刑事犯罪,也有可能触犯治安管理处罚法。
“白帽子”常忽视的,还有侵犯隐私权、知识产权等民事法律风险。朱巍说,“白帽子”使用插件、外挂的方式,或嵌入式的方式,把自己想要的功能加入别人的软件之中达到他们的目的,这可能侵犯了他人的知识产权,严重的还会涉及到知识产权相关刑事责任。
“我们是搞技术的,钻研安全漏洞,我们并不钻研法律漏洞,对法律也是一知半解。”“白帽子”张某坦言,“白帽子”对法律的了解程度不深。不过,对于与互联网企业的沟通模式,张某也有自己的想法。
现有的模式是企业发出授权,然后“白帽子”参与测试。能不能有所变化?张某给出一个模型:“白帽子”在测试前,先向企业发出申请,这个申请带上明确个人信息。当企业认为“白帽子”的测试有问题时,马上联系“白帽子”终止测试。这种模式可以保护“白帽子”的主动参与积极性,同时也给互联网企业保留了主动权。
丁丽萍建议,漏洞披露平台和一些官方的机构合作,在获得授权的情况下进行漏洞挖掘和披露,从而降低法律风险。在授权合作模式下,漏洞披露平台将获得的漏洞信息提交给公安部门,由公安部门介入处理;或提交给国家互联网应急中心,由国家互联网应急中心向对方发出通知,告知对方系统有漏洞以及可能造成大量数据泄露、国家财产或者群众利益的损失等后果。
□ 本报记者 张昊
看浙江新闻,关注浙江在线微信
凡注有"浙江在线"或电头为"浙江在线"的稿件,均为浙江在线独家版权所有,未经许可不得转载或镜像;授权转载必须注明来源为"浙江在线",并保留"浙江在线"的电头。