今年4月12日,“白帽子”袁炜因涉嫌非法获取计算机信息系统数据犯罪批捕,随后其父亲的一封公开信引起了轩然大波。在信中,这名父亲提出了一个令业内人士都感到难以解答的问题:“白帽子检测漏洞到底是不是犯罪?”
这封信发布后的不到一个月的时间,7月20日,袁炜上传漏洞的平台“乌云”(WooYu)突然无法访问。网站公告称,乌云及相关服务将升级,并将在最短的时间内以最好的姿态回归。
另外,网传乌云和包括创始人方小顿在内的乌云网数名团队成员7月19日被警方带走。
与此同时,另外一个业内知名的互联网那个测试平台漏洞盒子发布升级公告称管理团队对其网站进行例行维护。维护期间,暂停互联网漏洞与威胁情报接收。
从“停服”开始截至今天刚好一个月的时间,乌云仍然“升级中”,而漏洞盒子已经恢复正常。
虽然还不知道乌云网出事的确切原因,但是与袁炜事件有关是业内人士讨论最多的一种说法。在袁炜被抓后,乌云平台成为了白帽子宣泄“愤怒”的地方,一连几天袁炜所举报的网站又有多个漏洞被公布在乌云上。但也有人持有其他观点,比如怀疑可能是由于乌云平台上的白帽测试了相关政府部门的网络系统,而平台遭到牵连。
漏洞披露机制存疑
按照此前乌云的流程,在漏洞被提交至平台后,一般10天向核心白帽子公开其漏洞细节,20天向普通白帽子公开,30天向实习白帽子公开。直到45天之后,企业仍未主动认领漏洞,则会向公众公开其细节。
相比乌云上白帽子主动提交漏洞的做法,漏洞盒子的机制是让厂商主动提交项目要求白帽子寻找bug:“为了保护厂商,互联网漏洞报告不向漏洞盒子外部用户公开,但保留对关系民生、影响大众的安全问题进行披露的权利。我们建议厂商可以在我们建议的时间范围修复漏洞。”
而360旗下与乌云、漏洞盒子齐名的补天平台上,白帽子提交了漏洞报告后,即使企业不认领,补天也不会主动公开。在周鸿祎看来,这是因为补天“并不利用漏洞去牟利”的缘故。
今年7月9日的时候,在乌云白帽大会上,方小顿仍然对漏洞披露坚信不疑:“相较于企业,用户往往是弱势的。而乌云一个更重要的使命就是去做一个生态,从白帽子、企业、用户三方的角度考虑,最后漏洞一定会公开,但相信这一切是在法律框架内。”但他也表示,如果企业有困难,乌云也会协助解决,防止造成损失。
国家互联网应急中心运行部副主任、正高级工程师严寒冰说,CNVD(国家信息安全漏洞共享平台)在看到补天和乌云平台有一些不适合的披露时候,会建议其进行修改,避免一些安全风险。
北京邮电大学互联网治理与法律研究中心常务副主任谢永江认为漏洞要经过处置以后才能公开。另外设施单位要主动响应白帽子漏洞平台,披露一些漏洞相关情况,
目前来说对于漏洞披露我国法律还未有限制性的规定,但是可不可以披露,披露到什么细节,或者到什么程度,都是可以继续探讨的问题。
公布漏洞应该获得奖励吗?
目前来讲,在国内几家主流的漏洞提交平台上,白帽子提交漏洞都会得到一定的奖励。根据业内人士的说法,360补天平台上的奖励普遍要高一些,而乌云等网站的稍低——奖励全凭厂商,有人将金额戏称为“若干元”。
除了接受厂商的委托进行安全测试外,平台本身是“不接受厂商奖励”的。周鸿祎认为,接受奖励毕竟有“瓜田李下”之嫌,这种行为和“敲诈”的界限并没有那么清晰。
事实上,白帽子对于整个安全行业非常重要,谷歌、微软、苹果、特斯拉等世界知名科技企业都推出了提供奖金鼓励第三方白帽子协助自己挖掘漏洞的响应行动。“最近美国五角大楼也邀请全世界的黑客去攻击五角大楼,通过这种方式来收集自己的系统漏洞和黑客攻击方法,以更好地完善自己的系统安全。”周鸿祎也介绍了国外的一些奖励行为。
“发现系统漏洞是属于个人的责任,就像是海洋学家发现洋流走向一样。白帽子黑客正在保护这个世界,理应得到应有的尊重,但是通过这种发现得到赏金是错误的,不道德的,不能长期这样。”McAfee在ISC(中国互联网安全大会)上接受凤凰科技采访时说道。
公安部三所网络安全法的研究中心主任黄道丽告诉凤凰科技,企业和白帽子之间持有不同利益,白帽子发现的漏洞又兼备自身资源和攻击双重属性。在这种复杂态势下,第三方协调漏洞挖掘和报告行为,确保双方之间能力差异和利益冲突不会防害提升网络安全总体目标。
但是无论如何,公布漏洞以求获得奖励仍然面临道德上的困境。谢永江认为,白帽子获取的漏洞可以帮助企业避免损失,这就可以将其当成是一种商业秘密来采取合理措施保护起来,并享有一定权利。但是具体构成何种权利,尚有待商榷。
不明朗的法规
安全漏洞法律属性不明晰,行为边界不明确,法律意识淡薄,都在不断加剧白帽子和漏洞平台目前所面临的困境。
有关我国的白帽子法律条款没有形成系统法律体系,唯一明确的就是现有刑法现有的刑法里面对于非授权访问做了明确禁止,业内人士认为这可能也是对于网络漏洞挖掘的禁止性规定。
综合国外对安全漏洞挖掘的立法规定,黄道丽将国外漏洞挖掘的法规特点概括为了四点。第一,关键基础设施漏洞挖掘的绝对禁止。第二,对漏洞挖掘授权做出明确解释。第三,在特殊目的下,给予一定程度的豁免。第四,注重对白帽子身份的认可和招募。
西安交通大学信息安全法律研究中心和360法律研究院合作研究、联合发布的《“白帽子”安全漏洞挖掘法律风险分析报告》对我国相关立法提出了五大的法律建议。第一是对关键基础设施内涵和外延给予界定,第二对白帽子身份以及政策平台在法律上可能的法律地位给予一定确定。第三要明确白帽子的权利和义务规范。第四,资质合理审慎。第五,根据白帽子某些行为预期,为漏洞挖掘提供一些豁免条件。
随着物互联的时代到来,网络安全风险也随之百倍放大。白帽子在安全防御体系中起着不可替代的作用,通过法律政策将白帽子和平台以适当衡量标准纳入到安全产业当中,确实给予合法地位,也是对抗未知风险的现实要求。相信随着进一步完善基础法律措施建设,“袁炜案”式的争执将会彻底消失。