在白帽子們看來(lái),這就是一次普通得不能再普通的找漏洞行為;在世紀(jì)佳緣公司看來(lái),這是在保護(hù)用戶數(shù)據(jù)上做了一個(gè)正常的決定。但是當(dāng)這兩者碰到一起,就演變成了白帽子圈子裏不亞於一場(chǎng)地震的抓人事件。誰(shuí)對(duì)誰(shuí)錯(cuò)?現(xiàn)在很難説清,或許在多年以後,袁煒的遭遇,會(huì)成為安全行業(yè)發(fā)展歷史上的一個(gè)標(biāo)誌性事件。
先獲感謝後被舉報(bào)
白帽子行業(yè)的傳奇人物、補(bǔ)天漏洞平臺(tái)前負(fù)責(zé)人趙武這段時(shí)間接到了很多白帽子打來(lái)的電話,或憤怒,或擔(dān)憂,這些白帽子和他説的都是一件事,即現(xiàn)在國(guó)內(nèi)白帽子圈子裏關(guān)注度最高的“袁煒事件”。
袁煒是網(wǎng)際網(wǎng)路漏洞報(bào)告平臺(tái)“烏雲(yún)”上的一名白帽子。去年12月份,他在烏雲(yún)提交了其發(fā)現(xiàn)的婚戀交友網(wǎng)站世紀(jì)佳緣的系統(tǒng)漏洞。在世紀(jì)佳緣確認(rèn)、修復(fù)了漏洞並按烏雲(yún)平臺(tái)慣例向漏洞提交者致謝後,事情突然發(fā)生轉(zhuǎn)折。世紀(jì)佳緣在一個(gè)多月後以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報(bào)警,4月份,袁煒被司法機(jī)關(guān)逮捕。在不久前的第四屆網(wǎng)路安全大會(huì)上,袁煒的父親發(fā)出公開信為兒子鳴冤,讓袁煒的遭遇成為網(wǎng)路安全圈的熱門事件。
關(guān)於袁煒被抓,坊間傳出世紀(jì)佳緣“釣魚”的説法,有人質(zhì)疑為何世紀(jì)佳緣在向?yàn)蹼?yún)和漏洞提交者致謝後的一個(gè)多月又突然報(bào)警。對(duì)此,世紀(jì)佳緣方面給出了回應(yīng):“自烏雲(yún)通知公司網(wǎng)站存在漏洞至今,世紀(jì)佳緣從未獲得過(guò)漏洞提交人的聯(lián)繫方式並與之取得聯(lián)繫。在警方披露調(diào)查結(jié)果前,世紀(jì)佳緣並不了解網(wǎng)站攻擊者與漏洞提交者有何種關(guān)聯(lián)。世紀(jì)佳緣報(bào)警是出於對(duì)用戶隱私和公民資訊安全的考慮,並不針對(duì)任何個(gè)人或組織?!?/p>
按照袁煒父親在公開信中的描述,袁煒于去年12月3日下午發(fā)現(xiàn)世紀(jì)佳緣網(wǎng)站漏洞;當(dāng)天晚上,他為了驗(yàn)證漏洞,又通過(guò)發(fā)現(xiàn)的漏洞瀏覽了世紀(jì)佳緣的部分?jǐn)?shù)據(jù),確認(rèn)漏洞存在;次日上午,袁煒向?yàn)蹼?yún)提交該漏洞,同一天烏雲(yún)通知世紀(jì)佳緣;12月7日,在完成漏洞修復(fù)後,世紀(jì)佳緣在烏雲(yún)平臺(tái)確認(rèn)漏洞的頁(yè)面向該漏洞提交者表示感謝。今年1月18日,世紀(jì)佳緣向北京市公安局朝陽(yáng)分局報(bào)案稱數(shù)據(jù)被竊取;3月8日,袁煒被刑事拘留;4月12日,北京朝陽(yáng)檢察院以涉嫌非法獲取電腦資訊系統(tǒng)數(shù)據(jù)犯罪,批捕袁煒。
世紀(jì)佳緣向記者介紹的事件時(shí)間順序,與袁父所説基本相同,而世紀(jì)佳緣的內(nèi)部人士則向記者補(bǔ)充了一些內(nèi)情:去年12月3日晚,世紀(jì)佳緣安全維護(hù)人員發(fā)現(xiàn)有多個(gè)來(lái)自國(guó)內(nèi)不同省市的IP地址向其網(wǎng)站發(fā)起了攻擊;12月7日,在完成漏洞修復(fù)後,世紀(jì)佳緣向?yàn)蹼?yún)和漏洞提交者表示感謝?!罢沁@次表示感謝的舉動(dòng),被人傳成了‘釣魚’?!笔兰o(jì)佳緣相關(guān)人士説道。至於為何在表示感謝一個(gè)月後又突然報(bào)警,世紀(jì)佳緣CEO吳琳光則在知乎上解釋稱:“在漏洞修復(fù)過(guò)程中,我們發(fā)現(xiàn)有900多條有效數(shù)據(jù)被攻擊者獲取,出於對(duì)用戶數(shù)據(jù)和資訊安全的擔(dān)憂,我們選擇了報(bào)警?!彼瑫r(shí)表示,“在警方披露調(diào)查結(jié)果之前,我們並不知道提交漏洞的白帽子和攻擊者是同一個(gè)人?!?/p>
並非第一個(gè)被抓的白帽子
“這不是第一次有白帽子被抓,之前也有一些白帽子被捕甚至是判刑。”趙武介紹,之前出事的白帽子,很多時(shí)候是因?yàn)閷?duì)自己身份的錯(cuò)誤認(rèn)識(shí)和衝動(dòng)。白帽子在平臺(tái)上提交的漏洞,有的時(shí)候企業(yè)並不認(rèn)可,於是會(huì)激怒一些衝動(dòng)的白帽子。“你不認(rèn)是吧?那等著被攻擊吧!”有的白帽子真的利用發(fā)現(xiàn)的漏洞進(jìn)行攻擊。這種行為就背離了白帽子行業(yè)的初衷,一些白帽子也因此栽了進(jìn)去?!安贿^(guò)袁煒還不是這樣的行為,在我們看來(lái),他的做法就是很正常的白帽子找漏洞、提交漏洞的行為,沒(méi)有越線?!壁w武説。
世紀(jì)佳緣內(nèi)部人士向記者透露,他們的安全團(tuán)隊(duì)一直在分析漏洞攻擊者的行為是否惡意。他們認(rèn)為,涉及到900多條有效數(shù)據(jù)被獲取,已經(jīng)完全超過(guò)了常規(guī)白帽子測(cè)試的範(fàn)圍,通常情況下,白帽子只需要獲取少量數(shù)據(jù)甚至不獲取數(shù)據(jù)都能夠證明網(wǎng)站的漏洞,在無(wú)法百分百確定獲取者意圖的情況下,為了保護(hù)資訊安全,公司最終還是決定報(bào)警。而在選擇報(bào)警之前,因?yàn)榇嬖趤?lái)自國(guó)內(nèi)不同地區(qū)IP地址的攻擊,世紀(jì)佳緣並未將漏洞提交者和事發(fā)當(dāng)晚的其他攻擊者聯(lián)繫到一起。
在趙武看來(lái),袁煒的行為並不難解釋。漏洞提交平臺(tái)會(huì)給白帽子提交的漏洞打分,證據(jù)越詳細(xì)、危害越大的漏洞得分越高,這也使得白帽子們習(xí)慣於多獲取一些數(shù)據(jù),而且以往的操作中,白帽子們獲取數(shù)據(jù)的做法並沒(méi)有遭到來(lái)自企業(yè)的反對(duì)和來(lái)自平臺(tái)的提醒,大家對(duì)此也習(xí)以為常。
趙武認(rèn)為,企業(yè)內(nèi)部的安全人員是能夠分辨出是白帽子還是惡意攻擊的,很多在企業(yè)內(nèi)做安全的人本身也是白帽子。但是決定是否報(bào)警的是企業(yè)的管理層和法務(wù)部門,他們不懂技術(shù),這種分歧可能是造成袁煒被抓的原因。
憤怒且自危的白帽子們
在事件被曝光後,世紀(jì)佳緣幾乎成為了白帽子們的“公敵”。世紀(jì)佳緣內(nèi)部人士表示,這段時(shí)間,世紀(jì)佳緣網(wǎng)站遭遇的網(wǎng)路攻擊數(shù)量確實(shí)比平時(shí)有所增加,短短幾天時(shí)間,又有多個(gè)世紀(jì)佳緣的漏洞在烏雲(yún)上被公佈。被激怒的白帽子們?cè)谟米约旱姆绞奖磉_(dá)對(duì)世紀(jì)佳緣的不滿。
“世紀(jì)佳緣的做法對(duì)白帽子們的傷害很大?!卑酌弊臃矫鳎ɑ?duì)記者説,白帽子的圈子裏對(duì)世紀(jì)佳緣有一種同仇敵愾的心理,針對(duì)世紀(jì)佳緣的漏洞尋找,也是民間的一種自發(fā)反擊。
知名白帽子“豬豬俠”上周在烏雲(yún)提交了一個(gè)關(guān)於世紀(jì)佳緣的漏洞,在説明中,他特意寫道“如果廠商不願(yuàn)意接受來(lái)自網(wǎng)際網(wǎng)路的貿(mào)然測(cè)試,可在修復(fù)本漏洞後點(diǎn)擊忽略該漏洞,並在廠商回復(fù)處留下‘請(qǐng)不要測(cè)試本公司,本公司將採(cǎi)取法律手段約束你們的測(cè)試行為,後果自負(fù)?!嶙邍?guó)際黑名單慣例,不會(huì)再有人關(guān)注貴公司資訊系統(tǒng)的安全風(fēng)險(xiǎn)。”諷刺意味十足。
趙武看來(lái),白帽子們的憤怒和“報(bào)復(fù)”可以理解,但並不值得提倡。以往的經(jīng)驗(yàn)也證明,白帽子如果採(cǎi)取過(guò)激的報(bào)復(fù)手段,最終結(jié)果往往南轅北轍,也可能會(huì)招來(lái)企業(yè)的反報(bào)復(fù),對(duì)企業(yè)和白帽子都不是好的處理方式。
憤怒的同時(shí),自身安全也是白帽子們擔(dān)憂的問(wèn)題。因?yàn)樵瑹樀淖龇ㄔ诎酌弊赢?dāng)中是很普遍的,如果這一案件形成了判例,也意味著更多的白帽子都面臨風(fēng)險(xiǎn)。
不受法律保護(hù)的灰色地帶
雖然白帽子的稱謂中有一個(gè)“白”字,但他們實(shí)際處在一個(gè)灰色地帶。曾經(jīng)在補(bǔ)天平臺(tái)上為白帽子們做過(guò)法律培訓(xùn)的北京富潤(rùn)律師事務(wù)所黃錦深律師介紹,按法律規(guī)定來(lái)説,只要是沒(méi)有獲得企業(yè)的授權(quán),白帽子自發(fā)挖漏洞的行為都是違法的,即便是通過(guò)漏洞平臺(tái),企業(yè)註冊(cè)了該平臺(tái)的賬號(hào),也不能算作授權(quán)。
趙武稱,“只是現(xiàn)在廠商和白帽子之間形成了一種默契,民不舉官不究而已。很多白帽子並不清楚這一點(diǎn),以為自己的行為是合理合法的。但是企業(yè)一
旦較真,白帽子的行為是不受法律保護(hù)的?!?/p>
黃錦深在給白帽子做法律培訓(xùn)時(shí)建議,白帽子找漏洞之前,最好先和企業(yè)達(dá)成協(xié)定,獲得授權(quán),但現(xiàn)實(shí)中這種方式幾乎不具備可行性。退而求其次,黃錦深告誡白帽子,為了自我保護(hù),行為一定要保持在企業(yè)能接受的範(fàn)圍內(nèi),不要越線,比如下載保存對(duì)方的數(shù)據(jù),甚至破壞對(duì)方的數(shù)據(jù)。
通過(guò)袁煒事件,很多白帽子也第一次知道了一個(gè)臨界點(diǎn),按照我國(guó)法律規(guī)定,構(gòu)成非法侵入電腦資訊系統(tǒng)罪的認(rèn)定標(biāo)準(zhǔn)中,有一條是獲取身份認(rèn)證資訊500組以上。從這一標(biāo)準(zhǔn)來(lái)看,袁煒獲取了超過(guò)900條有效數(shù)據(jù),或許是檢方批捕袁煒的主要原因。
“這一次我才知道還有這樣的規(guī)定,以前根本沒(méi)有注意過(guò)數(shù)量的問(wèn)題?!弊鳛榘酌弊拥姆矫髡h。
對(duì)於袁煒案件,黃錦深認(rèn)為,雖然符合立案標(biāo)準(zhǔn),但是從目前披露的情況看,很難判斷袁煒是否有主觀惡意,也沒(méi)有造成嚴(yán)重的損失,最終的判決應(yīng)該不會(huì)很重。如果世紀(jì)佳緣能夠?qū)λ男袨楸硎菊徑?,也有可能減輕他的處罰。
更好還是更壞的未來(lái)
“這次可能會(huì)成為白帽子史上的一個(gè)標(biāo)誌性事件?!壁w武認(rèn)為,袁煒事件的最終解決和後續(xù)影響,可能左右白帽子這個(gè)群體的今後走向,“未來(lái)白帽子的生存環(huán)境會(huì)更好或者更壞都有可能?!?/p>
趙武表示,以袁煒事件為契機(jī),國(guó)內(nèi)主要的漏洞響應(yīng)平臺(tái)應(yīng)該聯(lián)合起來(lái),主動(dòng)和執(zhí)法部門進(jìn)行溝通和研究,明確白帽子行為的界限,有一個(gè)明確的司法界定,把原來(lái)灰色的部分真正變成白色。
這樣既能讓真正的白帽子的工作有了保障,也能預(yù)防白帽子“涉黑”。
“這是更好的可能性。當(dāng)然也有更壞的?!壁w武説,如果白帽子和企業(yè)之間的對(duì)抗加深,矛盾加劇,那麼從執(zhí)法部門的角度考慮,很可能就會(huì)對(duì)白帽子的管理更加嚴(yán)苛,白帽子的活動(dòng)空間就會(huì)被壓縮,面臨更多個(gè)人安全上的威脅。那樣對(duì)白帽子整體打擊會(huì)很大。
“不管未來(lái)如何,眼下起碼有一點(diǎn)需要改進(jìn),那就是漏洞平臺(tái)的作用?!壁w武認(rèn)為,像烏雲(yún)這樣的平臺(tái),應(yīng)該為白帽子們提供更好的法律支援,而不是把白帽子推出去,讓他們自己去打官司。
記者也了解到,將於下月召開的中國(guó)網(wǎng)際網(wǎng)路安全大會(huì)上的網(wǎng)路安全與法治分論壇,將邀請(qǐng)國(guó)內(nèi)、國(guó)外的相關(guān)專家就白帽子的法律邊界問(wèn)題進(jìn)行探討。
京華時(shí)報(bào)記者古曉宇
[責(zé)任編輯:李帥](méi)