中国邮箱网讯 7月3日消息,6月下旬,第四届中国网络安全大会在北京举行。其间,一封来自某“白帽黑客”父亲的公开信意外在网络信息安全圈内外掀起不小波澜。
“白帽黑客”与“黑帽黑客”相对,指正面的黑客。他们能识别出计算机或网络系统中的漏洞,将其公布给厂商修复,以免“黑帽黑客”从中盗取信息、牟利。
公开信作者、浙江杭州的袁先生称,其子袁某就是一名“白帽黑客”。2015年12月4日,袁某使用第三方漏洞报告平台乌云网账号提交了一份关于世纪佳缘网的漏洞报告,随后,世纪佳缘确认并修复了该漏洞,并致谢乌云网及袁某。
4个月后,北京警方却以涉嫌非法获取计算机信息系统数据将袁某刑事拘留。原来,世纪佳缘网今年1月报警称有4000余条实名注册信息被窃取。目前案件处于审查阶段,未有结论。袁先生在公开信中称,其子检测漏洞并无意图或主动下载数据。
“白帽黑客”检测漏洞是否构成犯罪?有业内专家指,维护网络安全的“白帽黑客”群体实则游走在法律的边缘地带。
妻子:漏洞检测为维护安全
6月26日,南都记者联系到袁某妻子戴女士,她表示公开信内容客观真实。她回忆,被警方带走前丈夫曾两次提起世纪佳缘网的漏洞。
南都记者调查发现,袁某的乌云网账号“ledoo”注册于2015年10月19日,共提交11份不同网站的漏洞报告,其中,最后提交的世纪佳缘漏洞报告时间是2015年12月4日。
戴女士称,提交完报告一段时间后,世纪佳缘曾通过乌云网联系袁某,说要馈赠礼物表达感谢,戴女士表示丈夫并没有收下礼物。她介绍,袁某热爱网络安全领域,经常看书钻研到深夜,绝非贪图礼物。
“怎么会出事呢?”戴女士认为,丈夫做“白帽黑客”以来一直未出现问题,提交漏洞报告也是为帮助世纪佳缘网维护安全。不解的戴女士联系世纪佳缘网询问,对方的回应是袁某或与该网站资料泄露事件有关。对于世纪佳缘公司的报案,戴女士称:“感觉就像被背叛,太冤屈了。”
自3月8日袁某被警方带走后,袁某家属至今未能与其见面。如今,该案已进入检方审查阶段。
世纪佳缘CEO:撰文否认“钓鱼”一说
目前“白帽黑客”提交漏洞的途径主要有两种:一是通过乌云网、360补天平台等漏洞平台;二是通过各厂商自己设立的安全应急响应中心。不过,国内厂商对网络安全的重视程度不一,也并非每家厂商都设有安全应急响应中心,仍有不少“白帽黑客”通过漏洞平台提交报告。
作为业内知名的第三方漏洞平台,乌云网拥有注册的“白帽黑客”上万人。此外,第三方漏洞平台和各企业也存在合作关系。本案涉及的世纪佳缘2012年就与乌云网建立了合作关系。
公开信引发的讨论不断发酵,但世纪佳缘官方却一直没回应。直到6月29日,世纪佳缘首席执行官(CEO)吴琳光在某论坛发文回应此事。但他表示因案件尚在公诉期间,文章内容仅代表个人观点。
吴琳光称,2015年12月3日晚,公司安全人员发现有多个IP地址对其网站进行SQ L注入攻击(注:SQ L注入攻击是黑客对数据库进行攻击的常用手段之一)。随后,安全人员通过技术手段阻断了部分攻击。次日,乌云网通知世纪佳缘其网站存在漏洞。该轮攻击持续到12月4日晚上,直至安全人员将其完全修复。事后,世纪佳缘方面统计发现,攻击总次数累计4000余次,共有900多条有效数据被攻击者获取。“出于对用户数据和信息安全的担忧,我们还是选择了报警。”吴琳光称。
吴琳光否认了“钓鱼”一说。他表示,在警方披露调查结果前,世纪佳缘并不知道提交漏洞的“白帽子”和攻击者是否同一人,“报警不针对任何个人或群体,公司也没有联系过袁某”。
IT法律律师:道义和法律不冲突
不过,吴琳光的回应并没能平息网络安全圈内的争论。南都记者了解到,早在袁案发生之前,圈内已有对此话题的激烈争论。
“白帽黑客”自行检测行为,应该“讲道义”还是“讲法律”?多名互联网法律方面的律师向南都记者表示,相关法律对于“白帽黑客”群体留有空间。中国电子商务协会政策法律委员会委员、互联网法律专家于国富介绍,我国刑法对于“非法侵入”行为构成犯罪规定了非常窄的范围,侵入“国家事务、国防建设、尖端科学技术领域的计算机信息系统”等特定信息系统的才会成立。
对于普通的厂商计算机信息系统,仅仅实施了侵入行为,没有破坏、控制、窃取数据等造成严重后果行为,不构成犯罪。这意味着,“白帽黑客”在检测漏洞时,只要不触碰系统数据,在发现漏洞后立即提交报告给厂商,就不涉及犯罪。“法律这一方面在尺度设计上是合理的,也给善意的‘白帽黑客’以一定的发挥能力和实施公益的空间。”于国富说。
游走在钢丝上的“白帽黑客”
法律给“白帽黑客”的行动划定了红线,但在现实中突破红线的现象却并不少见。一名从事网络安全10余年的专家介绍,部分“白帽黑客”不止于发现漏洞,有时会通过漏洞进入系统越界操作,随后向厂商提交漏洞报告,自称“白帽黑客”———这在圈内被戏称为“洗白”。
值得注意的是,这种“洗白”并无法律依据。于国富介绍,在犯罪行为后实施补救措施并不影响犯罪性质,而是否追究责任取决于企业的决策。
南都记者注意到,吴琳光在个人回应中提到,袁某在检测漏洞时使用的sqlmap是网络黑客工具。据一名网络安全从业人员介绍,sqlmap是安全圈内常用的工具之一,它会自动将测试信息存储到本地的一个隐藏文件夹,其中也包括一些敏感信息。另一名业内人士则透露,一直以来网络信息安全圈内并没有对安全工具和黑客工具加以区分,“其实是一套”。
根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,获取网络金融服务的身份认证信息10组以上,或其它身份认证信息500组以上的,认定为非法获取计算机信息系统数据。
这意味着,“白帽黑客”在使用诸如sqlm ap一类具有缓存功能的安全测试工具时,可能不经意间就将自己置于法律风险中。
本案中世纪佳缘网信息遭窃是否与袁某使用的sqlm ap工具有关?因案件还在审查阶段,多名网络安全圈内人士均不予置评。
文章来源:南方都市