并非第一個被抓的白帽子
“這不是第一次有白帽子被抓��,之前也有一些白帽子被捕甚至是判刑���。”趙武介紹����,之前出事的白帽子,很多時候是因為對自己身份的錯誤認(rèn)識和沖動����。白帽子在平臺上提交的漏洞,有的時候企業(yè)并不認(rèn)可���,于是會激怒一些沖動的白帽子�。“你不認(rèn)是吧��?那等著被攻擊吧�����!”有的白帽子真的利用發(fā)現(xiàn)的漏洞進行攻擊��。這種行為就背離了白帽子行業(yè)的初衷�����,一些白帽子也因此栽了進去��?���!安贿^袁煒還不是這樣的行為�,在我們看來,他的做法就是很正常的白帽子找漏洞�、提交漏洞的行為,沒有越線����。”趙武說。
世紀(jì)佳緣內(nèi)部人士向記者透露����,他們的安全團隊一直在分析漏洞攻擊者的行為是否惡意。他們認(rèn)為�,涉及到900多條有效數(shù)據(jù)被獲取,已經(jīng)完全超過了常規(guī)白帽子測試的范圍���,通常情況下��,白帽子只需要獲取少量數(shù)據(jù)甚至不獲取數(shù)據(jù)都能夠證明網(wǎng)站的漏洞���,在無法百分百確定獲取者意圖的情況下,為了保護信息安全����,公司最終還是決定報警。而在選擇報警之前�,因為存在來自國內(nèi)不同地區(qū)IP地址的攻擊,世紀(jì)佳緣并未將漏洞提交者和事發(fā)當(dāng)晚的其他攻擊者聯(lián)系到一起��。
在趙武看來��,袁煒的行為并不難解釋���。漏洞提交平臺會給白帽子提交的漏洞打分�����,證據(jù)越詳細����、危害越大的漏洞得分越高��,這也使得白帽子們習(xí)慣于多獲取一些數(shù)據(jù)����,而且以往的操作中,白帽子們獲取數(shù)據(jù)的做法并沒有遭到來自企業(yè)的反對和來自平臺的提醒�����,大家對此也習(xí)以為常�。
趙武認(rèn)為,企業(yè)內(nèi)部的安全人員是能夠分辨出是白帽子還是惡意攻擊的�,很多在企業(yè)內(nèi)做安全的人本身也是白帽子。但是決定是否報警的是企業(yè)的管理層和法務(wù)部門�,他們不懂技術(shù),這種分歧可能是造成袁煒被抓的原因�。
憤怒且自危的白帽子們
在事件被曝光后���,世紀(jì)佳緣幾乎成為了白帽子們的“公敵”。世紀(jì)佳緣內(nèi)部人士表示��,這段時間�,世紀(jì)佳緣網(wǎng)站遭遇的網(wǎng)絡(luò)攻擊數(shù)量確實比平時有所增加,短短幾天時間���,又有多個世紀(jì)佳緣的漏洞在烏云上被公布�����。被激怒的白帽子們在用自己的方式表達對世紀(jì)佳緣的不滿����。
“世紀(jì)佳緣的做法對白帽子們的傷害很大����。”白帽子方明(化名)對記者說����,白帽子的圈子里對世紀(jì)佳緣有一種同仇敵愾的心理,針對世紀(jì)佳緣的漏洞尋找��,也是民間的一種自發(fā)反擊。
知名白帽子“豬豬俠”上周在烏云提交了一個關(guān)于世紀(jì)佳緣的漏洞����,在說明中,他特意寫道“如果廠商不愿意接受來自互聯(lián)網(wǎng)的貿(mào)然測試��,可在修復(fù)本漏洞后點擊忽略該漏洞����,并在廠商回復(fù)處留下‘請不要測試本公司,本公司將采取法律手段約束你們的測試行為���,后果自負?�!笞邍H黑名單慣例��,不會再有人關(guān)注貴公司信息系統(tǒng)的安全風(fēng)險����。”諷刺意味十足��。
趙武看來�����,白帽子們的憤怒和“報復(fù)”可以理解,但并不值得提倡���。以往的經(jīng)驗也證明�,白帽子如果采取過激的報復(fù)手段��,最終結(jié)果往往南轅北轍���,也可能會招來企業(yè)的反報復(fù)�,對企業(yè)和白帽子都不是好的處理方式���。
憤怒的同時�����,自身安全也是白帽子們擔(dān)憂的問題����。因為袁煒的做法在白帽子當(dāng)中是很普遍的��,如果這一案件形成了判例�����,也意味著更多的白帽子都面臨風(fēng)險。
不受法律保護的灰色地帶
雖然白帽子的稱謂中有一個“白”字��,但他們實際處在一個灰色地帶��。曾經(jīng)在補天平臺上為白帽子們做過法律培訓(xùn)的北京富潤律師事務(wù)所黃錦深律師介紹���,按法律規(guī)定來說��,只要是沒有獲得企業(yè)的授權(quán)��,白帽子自發(fā)挖漏洞的行為都是違法的����,即便是通過漏洞平臺����,企業(yè)注冊了該平臺的賬號���,也不能算作授權(quán)��。
趙武稱�����,“只是現(xiàn)在廠商和白帽子之間形成了一種默契����,民不舉官不究而已。很多白帽子并不清楚這一點���,以為自己的行為是合理合法的�。但是企業(yè)一
旦較真����,白帽子的行為是不受法律保護的?��!?/p>
黃錦深在給白帽子做法律培訓(xùn)時建議�,白帽子找漏洞之前�,最好先和企業(yè)達成協(xié)議,獲得授權(quán)�����,但現(xiàn)實中這種方式幾乎不具備可行性。退而求其次��,黃錦深告誡白帽子�,為了自我保護,行為一定要保持在企業(yè)能接受的范圍內(nèi)���,不要越線����,比如下載保存對方的數(shù)據(jù)�����,甚至破壞對方的數(shù)據(jù)���。
通過袁煒事件���,很多白帽子也第一次知道了一個臨界點,按照我國法律規(guī)定��,構(gòu)成非法侵入計算機信息系統(tǒng)罪的認(rèn)定標(biāo)準(zhǔn)中���,有一條是獲取身份認(rèn)證信息500組以上。從這一標(biāo)準(zhǔn)來看,袁煒獲取了超過900條有效數(shù)據(jù)�,或許是檢方批捕袁煒的主要原因。
“這一次我才知道還有這樣的規(guī)定����,以前根本沒有注意過數(shù)量的問題?����!弊鳛榘酌弊拥姆矫髡f���。
對于袁煒案件��,黃錦深認(rèn)為���,雖然符合立案標(biāo)準(zhǔn),但是從目前披露的情況看�����,很難判斷袁煒是否有主觀惡意�,也沒有造成嚴(yán)重的損失,最終的判決應(yīng)該不會很重��。如果世紀(jì)佳緣能夠?qū)λ男袨楸硎菊徑猓灿锌赡軠p輕他的處罰���。
更好還是更壞的未來
“這次可能會成為白帽子史上的一個標(biāo)志性事件�����?��!壁w武認(rèn)為,袁煒事件的最終解決和后續(xù)影響��,可能左右白帽子這個群體的今后走向���,“未來白帽子的生存環(huán)境會更好或者更壞都有可能�?���!?/p>
趙武表示,以袁煒事件為契機����,國內(nèi)主要的漏洞響應(yīng)平臺應(yīng)該聯(lián)合起來,主動和執(zhí)法部門進行溝通和研究��,明確白帽子行為的界限��,有一個明確的司法界定����,把原來灰色的部分真正變成白色。
這樣既能讓真正的白帽子的工作有了保障��,也能預(yù)防白帽子“涉黑”���。
“這是更好的可能性����。當(dāng)然也有更壞的�����?��!壁w武說��,如果白帽子和企業(yè)之間的對抗加深�����,矛盾加劇����,那么從執(zhí)法部門的角度考慮,很可能就會對白帽子的管理更加嚴(yán)苛�,白帽子的活動空間就會被壓縮,面臨更多個人安全上的威脅��。那樣對白帽子整體打擊會很大�����。
“不管未來如何��,眼下起碼有一點需要改進���,那就是漏洞平臺的作用����?����!壁w武認(rèn)為����,像烏云這樣的平臺�,應(yīng)該為白帽子們提供更好的法律支持����,而不是把白帽子推出去��,讓他們自己去打官司��。
記者也了解到�,將于下月召開的中國互聯(lián)網(wǎng)安全大會上的網(wǎng)絡(luò)安全與法治分論壇,將邀請國內(nèi)���、國外的相關(guān)專家就白帽子的法律邊界問題進行探討�。
京華時報記者古曉宇
(責(zé)任編輯:盧相?。?br />
晉公網(wǎng)安備 14090202000008號 
