信息來源:企業(yè)網
國內兩個安全漏洞平臺同一天啟動了升級及維護動作。
伴隨而來的,還有坊間的傳聞。
兩個安全漏洞平臺聲明辟謠
7月19日晚間,有微博大號爆料稱安全漏洞平臺烏云網官方網站無法訪問,可能出現(xiàn)狀況。烏云網隨后在網站首頁發(fā)布聲明稱,烏云網及相關服務進行升級,并將在最短時間內,以最好的姿態(tài)回歸。烏云網同時在聲明中稱,“與其相信謠言,不如相信烏云”。
7月19日,另一企業(yè)級安全漏洞平臺漏洞盒子發(fā)布升級公告稱,管理團隊對其網站進行例行維護。維護期間,暫?;ヂ?lián)網漏洞與威脅情報接收。漏洞盒子公告稱,新版本上線后,會繼續(xù)幫助白帽子與企業(yè)之間建立真正的信任連接。
烏云方面相關人士對搜狐科技表示,外界的猜測沒有根據(jù),烏云是否出了問題,幾天后就會見分曉。漏洞盒子團隊隨后也發(fā)布聲明,稱其業(yè)務運營按照年度計劃既定進行,目前全線產品業(yè)務運轉正常,與其他事件無任何關聯(lián)。
盡管如此,業(yè)界對于此次兩大平臺同時維護升級的原因仍在私下討論,認為這一事件與之前世紀佳緣狀告白帽黑客引發(fā)的漏洞披露機制模式探討有關。
白帽黑客行走于法律邊緣
不作惡的黑客被稱為“白帽”,他們通過測試并提交相關企業(yè)、網站的漏洞,模式普遍得到了業(yè)界的認可。但據(jù)搜狐科技了解,不少白帽在滲透測試過程中的動作,會引起廠商或企業(yè)的擔心。
小米云平臺安全與隱私部首席安全官陳洋此前就在烏云白帽大會上表示,白帽黑客一些善意的測試,企業(yè)比較歡迎。但有時這些“白帽”的測試,有時會導致數(shù)據(jù)泄露或破壞。有的黑客甚至有些打著白帽子的旗號,去拖庫、交易這些數(shù)據(jù)。而諾亞財富安全負責人顧全民此前也稱,之前他們也收到過類似白帽提交的漏洞。這本來也是一件好事,但是后來他們企業(yè)的安全人員進到后臺發(fā)現(xiàn),這位“白帽”黑客做了兩件事情,但其告訴企業(yè)一件事情。這就讓企業(yè)與白帽之間很難建立信任關系。
世紀佳緣狀告白帽黑客后,安全圈不少人認為白帽黑客與廠商地位對比中處于劣勢。早期曾經在黑客領域叱咤風云,如今已退出黑客圈的龔蔚(Goodwell)則認為,在安全圈子里,白帽并不是綿羊,企業(yè)才是綿羊。龔蔚對白帽生態(tài)的發(fā)展也提出了相關疑問,如白帽子到底白在哪里、白帽的衡量標準、行為準則、訴求等。
騰訊玄武實驗室總監(jiān)于旸(TK教主)認為,每個行業(yè)都有相應的法律限制,由于Web網絡安全門檻較低,網絡安全從業(yè)人員更應搞清楚這些法律條文,才能在從業(yè)過程中做到沒有后顧之憂。在行俠仗義的時候,順便調戲婦女,在安全測試的時候,順便拖庫倒賣,都不是英雄和白帽的正確姿勢。
IT與知識產權律師,中國互聯(lián)網協(xié)會信用評價中心法律顧問趙占領表示,從法律角度,國家已經為網絡安全行為界定了明確的“邊界”。刑法第285、286條及相關司法解釋、正在制定的網絡安全法草案中,對涉及網絡安全的行為都有了明確的規(guī)定。但趙占領也同時強調,白帽黑客在做滲透測試的時候,絕對不要簡單地認為,只要其獲取的數(shù)據(jù)低于刑法規(guī)定的某個數(shù)量,其行為就是安全的、可以不受懲處。比如獲取普通用戶身份認證信息不到五百組,雖然不用負刑事責任,但根據(jù)后果,當事人可能會受治安管理處罰法第29條的規(guī)定,受到相應處罰。
江蘇省公安廳網安總隊科長、公安部網絡安全專家童瀛根據(jù)以往的案例告誡白帽黑客,在做滲透測試的時候一定要自律,千萬不要跨過這些邊界。人人都有好奇心,在入侵成功后,如果越線,追究法律責任時,滲透入侵的黑客會被定為主犯,將會受到法律的制裁。
白帽與黑帽的區(qū)別往往在一念之間。騰訊研究院2015年11月對外披露的數(shù)據(jù)顯示,在網絡黑色產業(yè)鏈中,相關黑產從業(yè)人員或已達到38萬余人,涉及6000多個大大小小的黑產團伙。
網絡漏洞披露平臺或助紂為虐
業(yè)界對于軟件漏洞有一種看法,認為只要是人制造的東西,不可避免就會存在缺陷。為了提升自身系統(tǒng)的安全性,Google、Facebook、微軟、戴爾等公司都有比較完善的漏洞披露機制。
但凡事都有兩面性,漏洞披露這件事情既有利也有弊。好的地方在于,漏洞披露能夠促進企業(yè)及行業(yè)安全水平的提升。壞的地方是,企業(yè)在得知這一漏洞時,心懷不軌的黑客也能看到。對于技術高手來說,可能一個細微的提示,就能為其提供突破漏洞的思路。在廠商還沒有修復漏洞前,黑客也很可能會利用披露的信息入侵成功。
2011年底,包括CSDN、天涯在內的多家知名網站被暴用戶數(shù)據(jù)庫被拖庫。這個里程碑式的事件也讓公眾第一次知道了“拖庫”這個概念。其實,在這一事件之前,拖庫已經存在了很多年。于旸表示,漏洞不披露,不代表沒有人知道,不代表沒有人利用,不代表沒有人拿它去竊取用戶數(shù)據(jù),不代表用戶的利益就不會受到損害。
據(jù)于旸介紹,發(fā)現(xiàn)漏洞后是否披露這一問題,業(yè)界已經討論了一二十年的時間。目前全世界對漏洞的披露有一個共識,就是發(fā)現(xiàn)漏洞后需要披露。在美國,披露漏洞被認為是言論自由的一部分,會受憲法修正案的保護。從法律角度講,無論什么時候,怎么披露漏洞,都是合法的。
雖然在美國披露安全漏洞在法律面前沒有問題,但從道義責任的角度,不少廠商認為,黑客披露漏洞時,要負責任地披露,要考慮用戶的利益。但業(yè)界也有另一種聲音,認為黑客在披露漏洞時考慮用戶的利益,但廠商更需要考慮用戶利益,如果黑客給廠商報告漏洞后,廠商置之不理,不及時修復漏洞,同樣是無視用戶利益的表現(xiàn)。
于旸表示,目前業(yè)界普遍的做法是,漏洞披露時間有時限,是對廠商的一種督促和壓力?,F(xiàn)在國內一般漏洞披露時間是90天。而美國CERT(美國計算機緊急響應中心)規(guī)定披露漏洞的時間是45天。據(jù)稱,漏洞披露時間有時間限制,是多方討論妥協(xié)的結果。但具體來講,安全漏洞披露的方式方法不當、時間不當,都可能會影響用戶利益,但不披露,同樣也會影響用戶利益。
匡恩網絡總裁孫一桉對搜狐科技表示,安全漏洞的披露同時還要考慮具體的行業(yè),涉及到軍工、核電、國家安全的基礎設施漏洞披露時更要有責任感。任何一個負責任的研究機構或個人,遇到這類漏洞時,都不會以公開化的方式披露。對于這一類漏洞攻擊手段的管理是每個國家面臨的挑戰(zhàn),目前的趨勢是不少國家甚至會把這種漏洞列入戰(zhàn)略武器的一部分。目前國家網絡安全領域也在逐漸立法,敏感領域的安全漏洞一定不太可能會向公眾披露。
據(jù)搜狐科技了解,國內某安全漏洞披露平臺就曾出現(xiàn)過披露國家重要部門應用程序漏洞的例子,可能會造成敏感信息泄露。此前,烏云也曾披露過網易郵箱被拖庫的案例,但后來中國CERT(國家互聯(lián)網應急中心)驗證稱,根據(jù)已披露的數(shù)據(jù)無法支持“過億數(shù)據(jù)泄露”這一判斷。
漏洞披露平臺要找婆家?
趙占領律師認為,安全漏洞平臺在披露相關漏洞時,需要特別注意法律風險。如果平臺方及白帽黑客發(fā)布的漏洞信息不實,雙方都需要承擔相應的法律責任。
中科院軟件研究所研究員、中國電子學會計算機取證專委會主任委員、公安部三局特聘專家丁麗萍稱,國內安全漏洞平臺有的在奉行“法不禁止即可為”的做法,但法律是一直在更改、完善的,建議漏洞平臺改進目前的漏洞披露模式。公開披露漏洞的情況,等于是在昭告天下,告訴大家某家企業(yè)或網站的大門鑰匙藏在哪里,用什么辦法能進到他家里。
丁麗萍建議,國內的漏洞披露平臺能夠與國家相關部門合作,或有授權的機構合作,如中國CERT或公安部國家網絡與信息安全信息通報中心。通過與這些有披露權限的部門合作,漏洞披露平臺能夠得到相應的授權,并且有統(tǒng)一的漏洞披露出口,在做漏洞披露時會更安全、更保險。目前部分漏洞披露平臺采取的由白帽黑客自由提交漏洞的方式,很難保證中間環(huán)節(jié)不出紕漏。
據(jù)搜狐科技了解,目前國內漏洞披露平臺普遍與中國CERT等部門有合作關系,有重大安全漏洞時,平臺方也會主動向相關部門提交漏洞。但從實際操作來看,一般信息提交給相關部門時,平臺方也會同步在其平臺發(fā)布漏洞信息。
截止搜狐科技發(fā)稿時止,烏云平臺及漏洞盒子的“漏洞黑板報”欄目仍然無法正常訪問。不可否認的是,隨著國家在網絡安全方面重視程度的提升及相關法律法規(guī)的完善,網絡漏洞檢測及披露這一敏感領域的工作也會更加規(guī)范。