世纪佳缘白帽子事件后 黑客又引起了舆论关注
世纪佳缘袁炜事件形成三大阵营
据搜狐科技了解,世纪佳缘袁炜事件发生后,安全圈内部引起了广泛的讨论,并形成了三大阵营。
一大阵营认为,目前绝大多数测试行动都是在没有得到厂商授权的情况下进行的,因此,以后的所有安全渗透测试,都需要提前得到厂商的授权。但这只是理想状态,如果厂商不授权,也就意味着白帽黑客的探测,都涉嫌违法犯罪。
另一阵营认为,世纪佳缘的做法属于“钓鱼”,恩将仇报。以后如果再发现相关厂商的漏洞,就不再给其提交,而是转入黑产,进行拖库。这种想法明显是在与相关厂商赌气,因为如果发现漏洞后进一步获取更多数据,甚至拖库、交易数据的行为,已经触犯刑法285、286条文规定。
再有就是中间派,这一阵营占了大多数。中间派别认为,这一事件中,各方的做法都有欠妥的地方。企业的做法不像是一个公司对付安全漏洞正确的态度,只会让事情走向反面;黑客测试过程中由于各种原因可能下载了较多的数据,需要相关部门评判;乌云等平台方一般与企业之间也有商业合作关系,也应该规范白帽子的行为。
在这类事件中,平台方出于自身的利益,可能也较难处理与厂商的关系。平台方弱势的话对自身不利,强势的话又像是在利用漏洞进行勒索。
但不管如何,各方在这个过程中,不能违法是底线。江苏省公安厅网安总队科长、公安部网络安全专家童瀛就表示,网警在执法过程中,会根据法律规定严格执法。白帽黑客也要牢记相关条文中限定的数字,千万不要跨过这些线。童瀛表示,WEB安全的入门教程比较多,入门门槛较低,安全问题也较多。从以往相关案件的处理情况来看,执行渗透入侵的当事人会是“主犯”,要负责主要责任,因此,白帽黑客在做测试时一定要自律。在突破屏障后,多数人都是有好奇心的,只要越线,就会受到法律的处罚。
行走在法律边缘需明确边界
庞大的网络用户群体,成为网络违法犯罪行为的温床。根据此前腾讯发布的《网络黑色产业链年度报告》显示,公安部2014年11月公布的网络犯罪十大典型案例中,仅辽宁网安部门瓦解掉的一个非法入侵韩国网站盗取韩国网民银行存款的特大团伙,涉案金额折合人民币就超过了1000万元。DDoS攻击已形成了一条高度成熟的黑色产业链。腾讯研究院2015年11月对外披露了另一份数据,据称,在网络黑色产业链中,相关黑产从业人员或已达到38万余人,涉及6000多个大大小小的黑产团伙。其中,专职于DDoS黑产的人员高达13万,如果以人均月收入4000元计算,年产值超过100亿元。
据搜狐科技了解,在安全测试领域,对于测试行为有各种称呼,如网络渗透测试、安全审计、网络或风险评估等等。而进行测试的工具也多种多样,绝大多数测试工具在“白帽”黑客手中是发现漏洞并提升业界安全水平的利器,但在“黑帽”或黑产人员手中,却是获取个人或企业隐私信息,为已获利的帮凶。“黑客”到底是白是黑,完全在于一念之间。
一位黑客对搜狐科技透露,世纪佳缘袁炜这一事件,折射出安全行业普遍存在的一个问题,多数从业人员法律意识淡薄。在乌云白帽大会上,搜狐科技从与“黑客”的交流中也感受到,有些黑客在测试或者验证一些网络漏洞时,对入侵过程、入侵行为夸夸其谈,但从不提及这其中涉及的法律问题。
IT与知识产权律师,中国互联网协会信用评价中心法律顾问赵占领表示,从法律角度,国家已经为网络安全行为界定了明确的“边界”。在从业过程中,需要严格按照相关法律法规条文及司法解释规范自己的行为,在这个“边界”之内就可以保护自己的权益。
据了解,目前刑法第285条、286条、287条及刑法修正案(9)对网络安全行为有明确的规定,触犯这些条文会受到法律的严惩。2011年8月,最高人民法院、最高人民检察院针对刑法285、286条专门发布了司法解释,以达到“严惩危害计算机信息系统安全犯罪,保障互联网的运行安全与信息安全”的目的。
2015年6月,《中华人民共和国网络安全法(草案)》发布并公开向社会征集意见,在网络安全法草案中,对入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动,以及为这些活动提供支持、帮助等行为都进行了禁止。同时,草案也要求网络运营者要保护用户数据的安全。
白帽黑客使用检测工具测试网络安全的过程中,也可能会涉及到软件自动缓存的问题。这种情况下,白帽黑客没有主观想获取数据,但程序自动缓存了。从目前的情况来看,相关法律机关可能更倾向于黑客已经获取了数据。因此,在使用检测工具前,白帽黑客或安全从业人员要尽可能了解检测工具的工作原理,测试时要谨慎。
赵占领同时强调,从刑法角度来说,司法解释明确规定了非法获取用户信息的量刑数量,但白帽黑客绝对不要简单地认为,只要其获取的数据低于某个数量,其行为就是安全的,可以不受惩处。比如获取普通用户身份认证信息不到五百组,虽然不用负刑事责任,但根据后果,当事人可能会受治安管理处罚法第29条的规定,受到相应处罚。
腾讯玄武实验室总监于旸(TK教主)认为,这个行业游走在法律边缘是一种情绪化的说法,只有知道了边界在哪里,才能做到“常在河边走也不湿鞋”。每个行业都有相应的法律限制,网络安全从业人员更应搞清楚这些法律条文,才能在从业过程中做到没有后顾之忧。在行侠仗义的时候,顺便调戏妇女,在安全测试的时候,顺便拖库倒卖,都不是英雄和白帽的正确姿势。