当前位置:首页乌云背后的地平线:白帽黑客的太阳何时升起? 举报文章

乌云背后的地平线:白帽黑客的太阳何时升起?

作者:admin    来源:用户投稿    时间:2016.8.22   

  今年4月12日,“白帽子”袁炜因涉嫌非法获取计算机信息系统数据犯罪批捕,随后其父亲的一封公开信引起了轩然大波。在信中,这名父亲提出了一个令业内人士都感到难以解答的问题:“白帽子检测漏洞到底是不是犯罪?”

  

  这封信发布后的不到一个月的时间,7月20日,袁炜上传漏洞的平台“乌云”(WooYu)突然无法访问。网站公告称,乌云及相关服务将升级,并将在最短的时间内以最好的姿态回归。

  另外,网传乌云和包括创始人方小顿在内的乌云网数名团队成员7月19日被警方带走。

  与此同时,另外一个业内知名的互联网那个测试平台漏洞盒子发布升级公告称管理团队对其网站进行例行维护。维护期间,暂停互联网漏洞与威胁情报接收。

  从“停服”开始截至今天刚好一个月的时间,乌云仍然“升级中”,而漏洞盒子已经恢复正常。

  虽然还不知道乌云网出事的确切原因,但是与袁炜事件有关是业内人士讨论最多的一种说法。在袁炜被抓后,乌云平台成为了白帽子宣泄“愤怒”的地方,一连几天袁炜所举报的网站又有多个漏洞被公布在乌云上。但也有人持有其他观点,比如怀疑可能是由于乌云平台上的白帽测试了相关政府部门的网络系统,而平台遭到牵连。

  漏洞披露机制存疑

  按照此前乌云的流程,在漏洞被提交至平台后,一般10天向核心白帽子公开其漏洞细节,20天向普通白帽子公开,30天向实习白帽子公开。直到45天之后,企业仍未主动认领漏洞,则会向公众公开其细节。

  相比乌云上白帽子主动提交漏洞的做法,漏洞盒子的机制是让厂商主动提交项目要求白帽子寻找bug:“为了保护厂商,互联网漏洞报告不向漏洞盒子外部用户公开,但保留对关系民生、影响大众的安全问题进行披露的权利。我们建议厂商可以在我们建议的时间范围修复漏洞。”

  而360旗下与乌云、漏洞盒子齐名的补天平台上,白帽子提交了漏洞报告后,即使企业不认领,补天也不会主动公开。在周鸿祎看来,这是因为补天“并不利用漏洞去牟利”的缘故。

  今年7月9日的时候,在乌云白帽大会上,方小顿仍然对漏洞披露坚信不疑:“相较于企业,用户往往是弱势的。而乌云一个更重要的使命就是去做一个生态,从白帽子、企业、用户三方的角度考虑,最后漏洞一定会公开,但相信这一切是在法律框架内。”但他也表示,如果企业有困难,乌云也会协助解决,防止造成损失。

  国家互联网应急中心运行部副主任、正高级工程师严寒冰说,CNVD(国家信息安全漏洞共享平台)在看到补天和乌云平台有一些不适合的披露时候,会建议其进行修改,避免一些安全风险。

  北京邮电大学互联网治理与法律研究中心常务副主任谢永江认为漏洞要经过处置以后才能公开。另外设施单位要主动响应白帽子漏洞平台,披露一些漏洞相关情况,

  目前来说对于漏洞披露我国法律还未有限制性的规定,但是可不可以披露,披露到什么细节,或者到什么程度,都是可以继续探讨的问题。

  公布漏洞应该获得奖励吗?

  目前来讲,在国内几家主流的漏洞提交平台上,白帽子提交漏洞都会得到一定的奖励。根据业内人士的说法,360补天平台上的奖励普遍要高一些,而乌云等网站的稍低——奖励全凭厂商,有人将金额戏称为“若干元”。

  除了接受厂商的委托进行安全测试外,平台本身是“不接受厂商奖励”的。周鸿祎认为,接受奖励毕竟有“瓜田李下”之嫌,这种行为和“敲诈”的界限并没有那么清晰。

  事实上,白帽子对于整个安全行业非常重要,谷歌、微软、苹果、特斯拉等世界知名科技企业都推出了提供奖金鼓励第三方白帽子协助自己挖掘漏洞的响应行动。“最近美国五角大楼也邀请全世界的黑客去攻击五角大楼,通过这种方式来收集自己的系统漏洞和黑客攻击方法,以更好地完善自己的系统安全。”周鸿祎也介绍了国外的一些奖励行为。

  “发现系统漏洞是属于个人的责任,就像是海洋学家发现洋流走向一样。白帽子黑客正在保护这个世界,理应得到应有的尊重,但是通过这种发现得到赏金是错误的,不道德的,不能长期这样。”McAfee在ISC(中国互联网安全大会)上接受凤凰科技采访时说道。

  公安部三所网络安全法的研究中心主任黄道丽告诉凤凰科技,企业和白帽子之间持有不同利益,白帽子发现的漏洞又兼备自身资源和攻击双重属性。在这种复杂态势下,第三方协调漏洞挖掘和报告行为,确保双方之间能力差异和利益冲突不会防害提升网络安全总体目标。

  但是无论如何,公布漏洞以求获得奖励仍然面临道德上的困境。谢永江认为,白帽子获取的漏洞可以帮助企业避免损失,这就可以将其当成是一种商业秘密来采取合理措施保护起来,并享有一定权利。但是具体构成何种权利,尚有待商榷。

  不明朗的法规

  安全漏洞法律属性不明晰,行为边界不明确,法律意识淡薄,都在不断加剧白帽子和漏洞平台目前所面临的困境。

  有关我国的白帽子法律条款没有形成系统法律体系,唯一明确的就是现有刑法现有的刑法里面对于非授权访问做了明确禁止,业内人士认为这可能也是对于网络漏洞挖掘的禁止性规定。

  综合国外对安全漏洞挖掘的立法规定,黄道丽将国外漏洞挖掘的法规特点概括为了四点。第一,关键基础设施漏洞挖掘的绝对禁止。第二,对漏洞挖掘授权做出明确解释。第三,在特殊目的下,给予一定程度的豁免。第四,注重对白帽子身份的认可和招募。

  西安交通大学信息安全法律研究中心和360法律研究院合作研究、联合发布的《“白帽子”安全漏洞挖掘法律风险分析报告》对我国相关立法提出了五大的法律建议。第一是对关键基础设施内涵和外延给予界定,第二对白帽子身份以及政策平台在法律上可能的法律地位给予一定确定。第三要明确白帽子的权利和义务规范。第四,资质合理审慎。第五,根据白帽子某些行为预期,为漏洞挖掘提供一些豁免条件。

  随着物互联的时代到来,网络安全风险也随之百倍放大。白帽子在安全防御体系中起着不可替代的作用,通过法律政策将白帽子和平台以适当衡量标准纳入到安全产业当中,确实给予合法地位,也是对抗未知风险的现实要求。相信随着进一步完善基础法律措施建设,“袁炜案”式的争执将会彻底消失。

好文打赏,给Ta鼓励
扫一扫用手机阅读本文
Tags:乌云  背后  地平线  黑客  太阳  何时  升起  
  • 相关搜索
图片推荐
    4款过亿美金APP的创业法则:人性至上,专注+极致

    4款过亿美金APP的创业法则:人性至上,专注+极致

    创业,两个字,一横一竖:错的,倒下;对的,站着。  自从2011年开始,我转向QQ开放平台业务,见证了中国互联网第二波最美妙的创业红利大潮,陪伴了几百个创业团队从暗淡走向光亮,或从坟墓中走向重生。时至
    盘点:网络营销常用的十五大推广形式

    盘点:网络营销常用的十五大推广形式

    摘要: 随着互联网行业的快速发展,网络营销也如火如荼的进行中。2010年06月08日的《中国互联网状况》白皮书中更是明确指出建立了电子商务系统的大型企业已超过50%,通过互联网寻找供应商的中小企业超过
    微信公众平台关于禁止发布签类测试信息的公告

    微信公众平台关于禁止发布签类测试信息的公告

    近期微信公众平台及朋友圈出现毕业签、月份签等签类测试活动的信息。此行为属于违规行为,给用户带来骚扰,破坏朋友圈的体验。即日起,一旦发现微信公众帐号有发布签类测试行为:包括但不限于发布新年签、大学测试、
    站在网络营销的角度看好声音为什么那样红

    站在网络营销的角度看好声音为什么那样红

    《中国好声音》一夜之间红遍大街小巷,用爆红来形容也毫不为过,浙江卫视也凭借好声音一举翻身,成为各大卫视之翘楚,曾经的老大湖南卫视的王牌节目《快乐大本营》也黯然失色。芒果台为了扭转颓势,重金打造《百变大
    粉丝经济背后的真相:当感情成为附加值

    粉丝经济背后的真相:当感情成为附加值

    导读:很多人都发现了:现在有点名气的人,都不拘于自己的本行,流行跨界,赚粉丝的钱。锤子手机的情怀营销做得风生水起,《小时代》也在质疑声中一路高歌猛进。  很多人都发现了:现在有点名气的人,都不拘于自己
    五个案例告诉你:大公司创新为啥那么难

    五个案例告诉你:大公司创新为啥那么难

    最近中移动宣布将成立新媒体集团,并将在2015年1月正式投入运营。10月15日晚,联想集团宣布将成立一家全新的子公司,完全基于互联网平台打造中国领先的互联网模式的智能终端和服务业务。该公司将于2015
    从消费者心理看移动互联时代如何做好APP营销

    从消费者心理看移动互联时代如何做好APP营销

    导读:随着手机从功能性向智能性发展,移动互联时代已经到来。面对移动互联时代,企业需要建立起全新的营销理念,以此捕捉未来的商业机遇与发展。  随着手机从功能性向智能性发展,移动互联时代已经到来。面对移动
    网络营销推广怎么做才能有效引流——最新方法有哪些

    网络营销推广怎么做才能有效引流——最新方法有哪些

    最近在带学员团队做项目,而从最简单的网络推广开始着手,一天下来遇到了各种问题。为什么发帖会被删除?百度知道账号被封禁?发的帖子不收录?发帖没有效果?等等。看到学员发过来的工作明细,不忍直视。如下图: 
你是怎么知道非凡网赚网的?
  •   
  • 联系QQ 邮箱:976382653@qq.com 微信:976382653
    在线留言
    发布软文
    广告自助购
    文章调用
    常见问题
    保存到桌面