白帽子黑客“挖洞”被抓 法律边界成焦点

白帽子黑客挖掘厂商漏洞提交第三方平台,审核后提醒厂商修复,厂商通过第三方平台表示感谢,这是当前安全行业的通行做法。但日前一封“白帽子挖洞被抓不公平”的公开信在网络安全圈引起强烈反响,白帽子挖漏洞的法律边界问题成为关注焦点。

白帽子黑客“挖洞”被抓

6月24日,杭州袁先生发出一封公开信,袁先生自称是白帽子黑客袁炜的父亲,他的儿子在2015年12月4日向第三方漏洞响应平台“乌云”提交来了关于世纪佳缘网站存在的一个漏洞信息,乌云平台对漏洞予以审核发布,世纪佳缘网站也确认了漏洞的存在,并对乌云平台和白帽子进行了致谢。

但是,一个多月后,事情突然出现大翻转,世纪佳缘网站报警,袁炜因非法入侵网站被警方逮捕。

在公开信中,袁先生介绍,袁炜是一名小家电公司的信息安全运维主管,当时刚刚在乌云注册两个月,还是一名实习白帽子,袁炜在2015年12月3日下午4时使用某软件对世纪佳缘网站进行漏洞监测,发现存在漏洞,由于袁炜担心技术不过关导致误报,回到家后又使用SQL软件对世纪佳缘网站进行监测,读取了900多条数据。

袁炜的父亲认为,袁炜本身并非窃取数据,而是在帮助世纪佳缘测试漏洞,被抓捕不公平,请求各方帮助。

世纪佳缘网站在接受媒体采访时表示,当晚就发现部分攻击,后来通过服务器的分析,世纪佳缘发现大概一共有900多条数据被人获取。世纪佳缘无法确定攻击者拿这个数据会做何种用途,一旦做一些非法的利用,后果对网站来说损失可能无法估量。所以经过讨论了之后,1月18号世纪佳缘选择了报警。在2016年3月份,警方通知世纪佳缘公司找到了嫌疑人,然后还告诉我们这个攻击人和在乌云上提交漏洞的白帽子是同一个人。

公开信随即在网络安全圈里引起了广泛的关注,有人认为白帽子只是检测,没有恶意,也没有造成损失,不应该被抓,有人则认为凡是未经允许的检测都是非法入侵,一概应该抓捕,厂商报警理所当然。

白帽子是天使还是魔鬼?

白帽子是随着互联网兴起出现的群体,特指正面黑客,可以识别计算机系统或网络系统中的安全漏洞,但不会去恶意利用,而是公布其漏洞,提醒厂商及时修复,避免损失,一般的检测都是点到为止。

白帽子已经成为网络安全领域不可或缺的补充力量。即使微软、谷歌、苹果这样的大公司也不能完全避免漏洞的产生,他们每年会聘请白帽子黑客对网站进行“众测”查找漏洞,白帽子发现并提交漏洞后,这些大型公司会对白帽子公开致谢。发现大型漏洞获得公开致谢,对于白帽子来说是难得的荣誉也是高技术的体现。

同样,也有一些白帽子没有经过厂商特别授权就使用各种互联网安全技术大队网站进行检测,寻找漏洞,然后提交到乌云、补天等大型漏洞响应平台,这些平台将漏洞信息报送给国家信息安全漏洞共享平台和相关部委等。

据媒体公开报道,国家信息安全漏洞共享平台对漏洞信息报送和处置突出贡献单位进行表彰,补天漏洞平台、乌云平台都获得了“漏洞报送突出单位”称号。

白帽子也为中国网络安全做出了不小的贡献。中国最大的漏洞响应平台补天平台数据显示,2015全年,白帽子向补天平台提交有效漏洞40000多条。不完全统计,这些漏洞信息可能涉及到的个人信息和企业信息高达55.3亿条,白帽子提交漏洞后,补天通知厂商及早修补漏洞,避免信息泄露。

很多厂商对发现漏洞的白帽子会致谢甚至会送上礼物和奖金。但同样,也有白帽子法律意识不强,检测漏洞时抓取了让厂商的数据,有的在各种漏洞响应平台夸大漏洞危害,以获取奖励和圈内认可。甚至业内专家认为,也不排除有白帽子转成“黑帽子”检测漏洞时候对数据库“拖库”,给厂商造成严重损失。有些厂商对白帽子极为反感,报警成为“撒手锏”。

“白帽子罪与罚”成行业焦点

世纪佳缘在接受媒体采访时候表示世纪佳缘网站非常尊重白帽子。这个案件不会改变我们对白帽子的认可,也不会改变和白帽子的合作。此事件比较特殊,网站没有料想到这个人既是白帽子,又拿了网站的数据。世纪佳缘也希望积极的和各个安全厂商、白帽子来共同维护网络安全的秩序。

记者查询,刑法第二百八十五条对“非法获取计算机信息系统数据犯罪”是这样规定的:“违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取计算机信息系统中存储、处理或者传输的数据”。

不过,袁炜的父亲认为,袁炜没有意图下载或者主动下载世纪佳缘的任何数据”,他只是普通白帽子一员,没有谋取任何私利,只是义务检测漏洞,发现漏洞后告知厂家。

360网络安全专家林伟认为,做安全测试时候,大家遵循一个公认原则,点到为止。一般数据也就是截屏作为漏洞存在的证据使用就可以了,如果白帽子通过漏洞去获取用户的数据就属于“踩线”。白帽子的善意一般都会得到企业的认可和感谢。如果获取的数据多了,这个问题恐怕就难以说清了。

北京富润律师事务所黄锦深律师介绍,原则上来说,白帽子获得厂商授权才能对网站进行检测,白帽子挖漏洞构成犯罪要同时具备三个条件:侵入计算机系统;获取计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制;情节严重的。只有这三个条件同时具备才构成犯罪,要受到刑罚。也就是说,仅仅是侵入计算机系统,但没有获取数据,或者侵入了,也获取了数据,但情节不严重的,也不构成犯罪,不受刑法处罚。另外,白帽子法律边界是最近几年的新问题,属于新问题,法律上确实存在一些模糊地带。

中国互联网安全大会网络安全与法治分论坛筹委会工作人员介绍,中国互联网安全大会将在8月15日——17日召开,将邀请西安交通大学信息安全法律研究中心主任马民虎教授、美国伯克利大学教授,前国防部办公室首席战略官瑞伯教授以及等其他国家地区的专家将就白帽子的法律边界问题进行探讨。(安国华)

分享到:
抽奖 App 北京时间客户端 签到 已签到 反馈