信息來源：企業(yè)網(wǎng)

國(guó)內(nèi)兩個(gè)安全漏洞平臺(tái)同一天啟動(dòng)了升級(jí)及維護(hù)動(dòng)作。

伴隨而來的，還有坊間的傳聞。

兩個(gè)安全漏洞平臺(tái)聲明辟謠

7月19日晚間，有微博大號(hào)爆料稱安全漏洞平臺(tái)烏云網(wǎng)官方網(wǎng)站無法訪問，可能出現(xiàn)狀況。烏云網(wǎng)隨后在網(wǎng)站首頁(yè)發(fā)布聲明稱，烏云網(wǎng)及相關(guān)服務(wù)進(jìn)行升級(jí)，并將在最短時(shí)間內(nèi)，以最好的姿態(tài)回歸。烏云網(wǎng)同時(shí)在聲明中稱，“與其相信謠言，不如相信烏云”。

7月19日，另一企業(yè)級(jí)安全漏洞平臺(tái)漏洞盒子發(fā)布升級(jí)公告稱，管理團(tuán)隊(duì)對(duì)其網(wǎng)站進(jìn)行例行維護(hù)。維護(hù)期間，暫?；ヂ?lián)網(wǎng)漏洞與威脅情報(bào)接收。漏洞盒子公告稱，新版本上線后，會(huì)繼續(xù)幫助白帽子與企業(yè)之間建立真正的信任連接。

烏云方面相關(guān)人士對(duì)搜狐科技表示，外界的猜測(cè)沒有根據(jù)，烏云是否出了問題，幾天后就會(huì)見分曉。漏洞盒子團(tuán)隊(duì)隨后也發(fā)布聲明，稱其業(yè)務(wù)運(yùn)營(yíng)按照年度計(jì)劃既定進(jìn)行，目前全線產(chǎn)品業(yè)務(wù)運(yùn)轉(zhuǎn)正常，與其他事件無任何關(guān)聯(lián)。

盡管如此，業(yè)界對(duì)于此次兩大平臺(tái)同時(shí)維護(hù)升級(jí)的原因仍在私下討論，認(rèn)為這一事件與之前世紀(jì)佳緣狀告白帽黑客引發(fā)的漏洞披露機(jī)制模式探討有關(guān)。

白帽黑客行走于法律邊緣

不作惡的黑客被稱為“白帽”，他們通過測(cè)試并提交相關(guān)企業(yè)、網(wǎng)站的漏洞，模式普遍得到了業(yè)界的認(rèn)可。但據(jù)搜狐科技了解，不少白帽在滲透測(cè)試過程中的動(dòng)作，會(huì)引起廠商或企業(yè)的擔(dān)心。

小米云平臺(tái)安全與隱私部首席安全官陳洋此前就在烏云白帽大會(huì)上表示，白帽黑客一些善意的測(cè)試，企業(yè)比較歡迎。但有時(shí)這些“白帽”的測(cè)試，有時(shí)會(huì)導(dǎo)致數(shù)據(jù)泄露或破壞。有的黑客甚至有些打著白帽子的旗號(hào)，去拖庫(kù)、交易這些數(shù)據(jù)。而諾亞財(cái)富安全負(fù)責(zé)人顧全民此前也稱，之前他們也收到過類似白帽提交的漏洞。這本來也是一件好事，但是后來他們企業(yè)的安全人員進(jìn)到后臺(tái)發(fā)現(xiàn)，這位“白帽”黑客做了兩件事情，但其告訴企業(yè)一件事情。這就讓企業(yè)與白帽之間很難建立信任關(guān)系。

世紀(jì)佳緣狀告白帽黑客后，安全圈不少人認(rèn)為白帽黑客與廠商地位對(duì)比中處于劣勢(shì)。早期曾經(jīng)在黑客領(lǐng)域叱咤風(fēng)云，如今已退出黑客圈的龔蔚（Goodwell）則認(rèn)為，在安全圈子里，白帽并不是綿羊，企業(yè)才是綿羊。龔蔚對(duì)白帽生態(tài)的發(fā)展也提出了相關(guān)疑問，如白帽子到底白在哪里、白帽的衡量標(biāo)準(zhǔn)、行為準(zhǔn)則、訴求等。

騰訊玄武實(shí)驗(yàn)室總監(jiān)于旸（TK教主）認(rèn)為，每個(gè)行業(yè)都有相應(yīng)的法律限制，由于Web網(wǎng)絡(luò)安全門檻較低，網(wǎng)絡(luò)安全從業(yè)人員更應(yīng)搞清楚這些法律條文，才能在從業(yè)過程中做到?jīng)]有后顧之憂。在行俠仗義的時(shí)候，順便調(diào)戲婦女，在安全測(cè)試的時(shí)候，順便拖庫(kù)倒賣，都不是英雄和白帽的正確姿勢(shì)。

IT與知識(shí)產(chǎn)權(quán)律師，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)信用評(píng)價(jià)中心法律顧問趙占領(lǐng)表示，從法律角度，國(guó)家已經(jīng)為網(wǎng)絡(luò)安全行為界定了明確的“邊界”。刑法第285、286條及相關(guān)司法解釋、正在制定的網(wǎng)絡(luò)安全法草案中，對(duì)涉及網(wǎng)絡(luò)安全的行為都有了明確的規(guī)定。但趙占領(lǐng)也同時(shí)強(qiáng)調(diào)，白帽黑客在做滲透測(cè)試的時(shí)候，絕對(duì)不要簡(jiǎn)單地認(rèn)為，只要其獲取的數(shù)據(jù)低于刑法規(guī)定的某個(gè)數(shù)量，其行為就是安全的、可以不受懲處。比如獲取普通用戶身份認(rèn)證信息不到五百組，雖然不用負(fù)刑事責(zé)任，但根據(jù)后果，當(dāng)事人可能會(huì)受治安管理處罰法第29條的規(guī)定，受到相應(yīng)處罰。

江蘇省公安廳網(wǎng)安總隊(duì)科長(zhǎng)、公安部網(wǎng)絡(luò)安全專家童瀛根據(jù)以往的案例告誡白帽黑客，在做滲透測(cè)試的時(shí)候一定要自律，千萬不要跨過這些邊界。人人都有好奇心，在入侵成功后，如果越線，追究法律責(zé)任時(shí)，滲透入侵的黑客會(huì)被定為主犯，將會(huì)受到法律的制裁。

白帽與黑帽的區(qū)別往往在一念之間。騰訊研究院2015年11月對(duì)外披露的數(shù)據(jù)顯示，在網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈中，相關(guān)黑產(chǎn)從業(yè)人員或已達(dá)到38萬余人，涉及6000多個(gè)大大小小的黑產(chǎn)團(tuán)伙。

網(wǎng)絡(luò)漏洞披露平臺(tái)或助紂為虐

業(yè)界對(duì)于軟件漏洞有一種看法，認(rèn)為只要是人制造的東西，不可避免就會(huì)存在缺陷。為了提升自身系統(tǒng)的安全性，Google、Facebook、微軟、戴爾等公司都有比較完善的漏洞披露機(jī)制。

但凡事都有兩面性，漏洞披露這件事情既有利也有弊。好的地方在于，漏洞披露能夠促進(jìn)企業(yè)及行業(yè)安全水平的提升。壞的地方是，企業(yè)在得知這一漏洞時(shí)，心懷不軌的黑客也能看到。對(duì)于技術(shù)高手來說，可能一個(gè)細(xì)微的提示，就能為其提供突破漏洞的思路。在廠商還沒有修復(fù)漏洞前，黑客也很可能會(huì)利用披露的信息入侵成功。

2011年底，包括CSDN、天涯在內(nèi)的多家知名網(wǎng)站被暴用戶數(shù)據(jù)庫(kù)被拖庫(kù)。這個(gè)里程碑式的事件也讓公眾第一次知道了“拖庫(kù)”這個(gè)概念。其實(shí)，在這一事件之前，拖庫(kù)已經(jīng)存在了很多年。于旸表示，漏洞不披露，不代表沒有人知道，不代表沒有人利用，不代表沒有人拿它去竊取用戶數(shù)據(jù)，不代表用戶的利益就不會(huì)受到損害。

據(jù)于旸介紹，發(fā)現(xiàn)漏洞后是否披露這一問題，業(yè)界已經(jīng)討論了一二十年的時(shí)間。目前全世界對(duì)漏洞的披露有一個(gè)共識(shí)，就是發(fā)現(xiàn)漏洞后需要披露。在美國(guó)，披露漏洞被認(rèn)為是言論自由的一部分，會(huì)受憲法修正案的保護(hù)。從法律角度講，無論什么時(shí)候，怎么披露漏洞，都是合法的。

雖然在美國(guó)披露安全漏洞在法律面前沒有問題，但從道義責(zé)任的角度，不少?gòu)S商認(rèn)為，黑客披露漏洞時(shí)，要負(fù)責(zé)任地披露，要考慮用戶的利益。但業(yè)界也有另一種聲音，認(rèn)為黑客在披露漏洞時(shí)考慮用戶的利益，但廠商更需要考慮用戶利益，如果黑客給廠商報(bào)告漏洞后，廠商置之不理，不及時(shí)修復(fù)漏洞，同樣是無視用戶利益的表現(xiàn)。

于旸表示，目前業(yè)界普遍的做法是，漏洞披露時(shí)間有時(shí)限，是對(duì)廠商的一種督促和壓力。現(xiàn)在國(guó)內(nèi)一般漏洞披露時(shí)間是90天。而美國(guó)CERT（美國(guó)計(jì)算機(jī)緊急響應(yīng)中心）規(guī)定披露漏洞的時(shí)間是45天。據(jù)稱，漏洞披露時(shí)間有時(shí)間限制，是多方討論妥協(xié)的結(jié)果。但具體來講，安全漏洞披露的方式方法不當(dāng)、時(shí)間不當(dāng)，都可能會(huì)影響用戶利益，但不披露，同樣也會(huì)影響用戶利益。

匡恩網(wǎng)絡(luò)總裁孫一桉對(duì)搜狐科技表示，安全漏洞的披露同時(shí)還要考慮具體的行業(yè)，涉及到軍工、核電、國(guó)家安全的基礎(chǔ)設(shè)施漏洞披露時(shí)更要有責(zé)任感。任何一個(gè)負(fù)責(zé)任的研究機(jī)構(gòu)或個(gè)人，遇到這類漏洞時(shí)，都不會(huì)以公開化的方式披露。對(duì)于這一類漏洞攻擊手段的管理是每個(gè)國(guó)家面臨的挑戰(zhàn)，目前的趨勢(shì)是不少國(guó)家甚至?xí)堰@種漏洞列入戰(zhàn)略武器的一部分。目前國(guó)家網(wǎng)絡(luò)安全領(lǐng)域也在逐漸立法，敏感領(lǐng)域的安全漏洞一定不太可能會(huì)向公眾披露。

據(jù)搜狐科技了解，國(guó)內(nèi)某安全漏洞披露平臺(tái)就曾出現(xiàn)過披露國(guó)家重要部門應(yīng)用程序漏洞的例子，可能會(huì)造成敏感信息泄露。此前，烏云也曾披露過網(wǎng)易郵箱被拖庫(kù)的案例，但后來中國(guó)CERT（國(guó)家互聯(lián)網(wǎng)應(yīng)急中心）驗(yàn)證稱，根據(jù)已披露的數(shù)據(jù)無法支持“過億數(shù)據(jù)泄露”這一判斷。

漏洞披露平臺(tái)要找婆家？

趙占領(lǐng)律師認(rèn)為，安全漏洞平臺(tái)在披露相關(guān)漏洞時(shí)，需要特別注意法律風(fēng)險(xiǎn)。如果平臺(tái)方及白帽黑客發(fā)布的漏洞信息不實(shí)，雙方都需要承擔(dān)相應(yīng)的法律責(zé)任。

中科院軟件研究所研究員、中國(guó)電子學(xué)會(huì)計(jì)算機(jī)取證專委會(huì)主任委員、公安部三局特聘專家丁麗萍稱，國(guó)內(nèi)安全漏洞平臺(tái)有的在奉行“法不禁止即可為”的做法，但法律是一直在更改、完善的，建議漏洞平臺(tái)改進(jìn)目前的漏洞披露模式。公開披露漏洞的情況，等于是在昭告天下，告訴大家某家企業(yè)或網(wǎng)站的大門鑰匙藏在哪里，用什么辦法能進(jìn)到他家里。

丁麗萍建議，國(guó)內(nèi)的漏洞披露平臺(tái)能夠與國(guó)家相關(guān)部門合作，或有授權(quán)的機(jī)構(gòu)合作，如中國(guó)CERT或公安部國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心。通過與這些有披露權(quán)限的部門合作，漏洞披露平臺(tái)能夠得到相應(yīng)的授權(quán)，并且有統(tǒng)一的漏洞披露出口，在做漏洞披露時(shí)會(huì)更安全、更保險(xiǎn)。目前部分漏洞披露平臺(tái)采取的由白帽黑客自由提交漏洞的方式，很難保證中間環(huán)節(jié)不出紕漏。

據(jù)搜狐科技了解，目前國(guó)內(nèi)漏洞披露平臺(tái)普遍與中國(guó)CERT等部門有合作關(guān)系，有重大安全漏洞時(shí)，平臺(tái)方也會(huì)主動(dòng)向相關(guān)部門提交漏洞。但從實(shí)際操作來看，一般信息提交給相關(guān)部門時(shí)，平臺(tái)方也會(huì)同步在其平臺(tái)發(fā)布漏洞信息。

截止搜狐科技發(fā)稿時(shí)止，烏云平臺(tái)及漏洞盒子的“漏洞黑板報(bào)”欄目仍然無法正常訪問。不可否認(rèn)的是，隨著國(guó)家在網(wǎng)絡(luò)安全方面重視程度的提升及相關(guān)法律法規(guī)的完善，網(wǎng)絡(luò)漏洞檢測(cè)及披露這一敏感領(lǐng)域的工作也會(huì)更加規(guī)范。