網(wǎng)絡(luò)安全“白帽子”深陷法律漩渦 應(yīng)該如何規(guī)范?
發(fā)布時(shí)間:2016-11-19酒店開(kāi)房記錄被泄露、第三方支付網(wǎng)站漏洞被曝光……在安全事件層出不窮的網(wǎng)絡(luò)上,,有一群志愿抗擊黑客攻擊,、幫助企業(yè)修復(fù)安全漏洞的網(wǎng)絡(luò)安全專(zhuān)家。這些被稱(chēng)為“白帽子”的專(zhuān)業(yè)人士,在維護(hù)網(wǎng)絡(luò)安全的同時(shí),自身也面臨著法律風(fēng)險(xiǎn)――
“我兒子袁煒檢測(cè)出‘世紀(jì)佳緣’的漏洞讓對(duì)方修復(fù),‘世紀(jì)佳緣’卻報(bào)警抓了他,。從3月8日被抓進(jìn)去,至今已有半年,,我們家人到今天還弄不清楚,,袁煒到底犯了什么罪?”雙鬢斑白的袁冠陽(yáng)近日在接受記者采訪時(shí)連連嘆息,。
今年64歲的袁冠陽(yáng),,原本對(duì)互聯(lián)網(wǎng)一竅不通,兒子袁煒出事后,,他多方請(qǐng)教專(zhuān)家,,想弄明白兒子究竟犯了多大的事。袁冠陽(yáng)告訴記者,,袁煒是互聯(lián)網(wǎng)漏洞報(bào)告平臺(tái)――“烏云網(wǎng)”上的一名“白帽子”,,2015年12月,袁煒檢測(cè)發(fā)現(xiàn)了婚戀交友網(wǎng)站――“世紀(jì)佳緣”的系統(tǒng)漏洞,,并在烏云網(wǎng)上提交了系統(tǒng)漏洞,。“世紀(jì)佳緣”先是確認(rèn),、修復(fù)了漏洞,,并向?yàn)踉凭W(wǎng)和袁煒致謝。但在“世紀(jì)佳緣”以“網(wǎng)站數(shù)據(jù)被非法竊取”報(bào)警之后,,警方經(jīng)調(diào)查拘留了袁煒,。
所謂“白帽子”,是指識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中安全漏洞的網(wǎng)絡(luò)安全技術(shù)人員,。他們活躍在漏洞披露平臺(tái),、企業(yè)應(yīng)急安全響應(yīng)平臺(tái)上。與出售安全漏洞,、盜取他人信息的網(wǎng)絡(luò)黑客不同的是,他們只是檢測(cè)漏洞,,并不惡意去利用漏洞,?!鞍酌弊印蓖ㄟ^(guò)向相關(guān)平臺(tái)或者廠家反饋、發(fā)布漏洞,,以敦促?gòu)S家在漏洞被黑客攻擊利用之前將其修復(fù)完善,,維護(hù)計(jì)算機(jī)和互聯(lián)網(wǎng)安全。在生活中,,他們是普通的網(wǎng)絡(luò)工程師,、安全實(shí)驗(yàn)室的程序員,甚至僅僅是大學(xué)計(jì)算機(jī)專(zhuān)業(yè)的學(xué)生,。
“白帽子”袁煒檢測(cè)并提交了“世紀(jì)佳緣”的漏洞,;而“世紀(jì)佳緣”出于保護(hù)用戶(hù)隱私安全考慮,報(bào)警抓人,。其中孰是孰非,,目前司法尚無(wú)定論,但多位網(wǎng)絡(luò)安全業(yè)內(nèi)人士和法律專(zhuān)家在接受記者采訪時(shí)均認(rèn)為,,袁煒事件或?qū)⒊蔀榛ヂ?lián)網(wǎng)安全史上一個(gè)標(biāo)志性的“分水嶺”,。
“白帽子”袁煒被抓事件發(fā)生后,引起了公眾尤其是程序員們的熱烈關(guān)注,。如何定義“白帽子”,?在進(jìn)行網(wǎng)絡(luò)安全測(cè)試時(shí)要遵循哪些規(guī)范?漏洞平臺(tái)是否有權(quán)公布企業(yè)安全漏洞,?這些問(wèn)題也引起法學(xué)專(zhuān)家的關(guān)注,。
“目前‘白帽子’的定義很少出現(xiàn)在各國(guó)的法律和標(biāo)準(zhǔn)中,一則因?yàn)椤酌弊印亲罱畮啄瓴攀⑿衅饋?lái)的,,二則因?yàn)椤酌弊印€屬于尚未擁有法律地位的民間技術(shù)團(tuán)體,。實(shí)踐中普遍將‘白帽子’與‘灰帽子’‘黑帽子’聯(lián)系在一起,認(rèn)為‘白帽子’是黑客的一種,。與之相近的概念稱(chēng)為‘道德黑客’,,即模擬黑客攻擊,幫助客戶(hù)了解自己網(wǎng)絡(luò)的弱點(diǎn),,并為客戶(hù)提出改進(jìn)建議的網(wǎng)絡(luò)安全專(zhuān)家,。”公安部第三研究所,、信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室二級(jí)警督黃道麗副研究員告訴記者,。
“一般所理解的‘白帽子’不以挖掘漏洞為生,其對(duì)各個(gè)網(wǎng)站進(jìn)行安全測(cè)試的動(dòng)機(jī)主要是維護(hù)網(wǎng)絡(luò)安全,。但是如何在法律上界定‘白帽子’,,如何認(rèn)定挖掘行為的法律性質(zhì),如何判斷發(fā)布漏洞細(xì)節(jié)的危險(xiǎn)性,,目前在法律上還處于模糊地帶,?!北本┼]電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心常務(wù)副主任謝永江說(shuō)。
檢測(cè)漏洞的法律邊界在哪
在袁煒案中,,獲取網(wǎng)站信息成為其被捕的重要原因,。“世紀(jì)佳緣”一方委托了一家司法鑒定所對(duì)其服務(wù)器日志進(jìn)行鑒定,,鑒定意見(jiàn)顯示,,“世紀(jì)佳緣”網(wǎng)在2015年12月3日17時(shí)許至2015年12月4日10時(shí)許,被“124.160.67.131”等11個(gè)IP地址非法訪問(wèn),,入侵者對(duì)網(wǎng)站數(shù)據(jù)庫(kù)進(jìn)行了讀取操作,,涉及讀取操作的數(shù)據(jù)庫(kù)數(shù)據(jù)信息為932條。
在袁煒案引發(fā)的討論中,,很多程序員認(rèn)為“白帽子”挖掘漏洞涉及讀取信息,,善意獲取不違法。對(duì)此,,黃道麗表示,,“我國(guó)刑法規(guī)范的是所有未經(jīng)授權(quán)訪問(wèn)計(jì)算機(jī)信息系統(tǒng)的行為,這些并非直接針對(duì)漏洞挖掘行為的規(guī)定,。任何主體若利用系統(tǒng)安全漏洞實(shí)施了入侵行為,,均可能觸犯刑法規(guī)定,都可能被追責(zé),。未經(jīng)授權(quán)侵入計(jì)算機(jī)信息系統(tǒng)也是各國(guó)刑事立法共同打擊的行為,。”在認(rèn)定標(biāo)準(zhǔn)上,,黃道麗解釋道,,根據(jù)兩高司法解釋?zhuān)@取網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息以外的其他身份認(rèn)證信息500組以上就構(gòu)成刑法所規(guī)定的“情節(jié)嚴(yán)重”,入侵者將面臨三年以下有期徒刑或者拘役,,并處或者單處罰金,。“這一量化標(biāo)準(zhǔn)在制定過(guò)程中經(jīng)過(guò)了大量的實(shí)證檢驗(yàn)和研討論證,,規(guī)定本身沒(méi)有問(wèn)題,。有人認(rèn)為袁煒作為‘白帽子’當(dāng)中的‘新人’多獲取了一些數(shù)據(jù)無(wú)可厚非,但這不是定罪應(yīng)當(dāng)考慮的因素,?!?
實(shí)踐中,還存在“白帽子”使用和黑客相同的軟件進(jìn)行漏洞測(cè)試的情況,,比如袁煒就使用了一款名為SQLmap的安全測(cè)試軟件,,這個(gè)軟件自帶緩存功能,會(huì)自動(dòng)將測(cè)試信息存儲(chǔ)到本地的一個(gè)隱藏文件夾。
“如果‘白帽子’在挖掘漏洞過(guò)程中使用的自動(dòng)化工具導(dǎo)致獲取的數(shù)據(jù)量觸犯刑法,,他們應(yīng)考慮調(diào)整功能或使用其他規(guī)范化工具,。”黃道麗告訴記者,,實(shí)踐中,“白帽子”作為技術(shù)人員,,對(duì)法律知識(shí)知之甚少,,當(dāng)前較為迫切的問(wèn)題是立法規(guī)范、引導(dǎo)“白帽子”,,為其創(chuàng)造合適的法律環(huán)境,。
“當(dāng)前,并沒(méi)有法律對(duì)挖掘漏洞行為進(jìn)行具體規(guī)范,,刑法主要從行為的角度進(jìn)行規(guī)制,。在認(rèn)定‘白帽子’是否善意破解、測(cè)試漏洞時(shí),,主要強(qiáng)調(diào)結(jié)果,。因?yàn)楫?dāng)事人當(dāng)時(shí)的主觀意志無(wú)法客觀鑒定,既有可能是測(cè)試的疏忽,,也可能是一念之差,,故意留存了數(shù)據(jù)?!敝x永江表示,,在法律不明確的情況下,“白帽子”挖掘漏洞行為本身帶有風(fēng)險(xiǎn),,而現(xiàn)有的法律規(guī)范傾向于保護(hù)企業(yè)利益,。如果袁煒的行為確實(shí)構(gòu)成了法律規(guī)定的獲取信息的定罪標(biāo)準(zhǔn),仍然需要承擔(dān)相應(yīng)的法律責(zé)任,。
目前我國(guó)對(duì)“白帽子”善意挖掘漏洞的法律規(guī)范并沒(méi)有形成系統(tǒng)的法律體系,,比較零散地體現(xiàn)在一些法律法規(guī)以及部門(mén)規(guī)章里,例如保守國(guó)家秘密法,、治安管理處罰法,、刑法等,這些法律并沒(méi)有明確劃定“白帽子”的行為邊界,。黃道麗強(qiáng)調(diào),,在新的法律和配套規(guī)定出臺(tái)前,現(xiàn)有法律和司法解釋的規(guī)定,,應(yīng)成為“白帽子”實(shí)施挖掘行為必須接受和前置考慮的一個(gè)客觀要求,。
應(yīng)盡快制定行業(yè)標(biāo)準(zhǔn)
“法律永遠(yuǎn)滯后于技術(shù)發(fā)展。”作為中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)理事的謝永江表示,,召集專(zhuān)業(yè)人士通過(guò)行業(yè)協(xié)會(huì)制定“白帽子”挖掘漏洞,、提交漏洞的行業(yè)標(biāo)準(zhǔn)更為快捷。行業(yè)準(zhǔn)則可以制定“白帽子”的注冊(cè)標(biāo)準(zhǔn),,規(guī)范使用工具,,對(duì)挖掘行為的邊界形成行業(yè)共識(shí),統(tǒng)一挖掘漏洞的授權(quán)規(guī)則,。黃道麗也認(rèn)為,,法律規(guī)范需要進(jìn)一步完善并合理化,具體的技術(shù)規(guī)范則可以交給市場(chǎng)優(yōu)化解決,。
對(duì)比烏云網(wǎng)的對(duì)公眾強(qiáng)制披露制度,、只對(duì)廠商內(nèi)部披露的補(bǔ)天模式以及國(guó)家信息安全漏洞共享平臺(tái)模式,謝永江認(rèn)為,,漏洞平臺(tái)對(duì)公眾強(qiáng)制披露漏洞,,存在著現(xiàn)實(shí)和法律風(fēng)險(xiǎn):首先,公眾對(duì)漏洞細(xì)節(jié)不一定了解,,遑論采取相對(duì)應(yīng)的防范措施,;其次,披露漏洞細(xì)節(jié)可能引來(lái)“黑帽子”的攻擊,,加重漏洞的危害,。不過(guò),如果廠商在接到漏洞報(bào)告后不修復(fù)漏洞,,導(dǎo)致用戶(hù)信息因該漏洞泄露,,“白帽子”的漏洞報(bào)告就可以成為廠商不履行網(wǎng)絡(luò)安全管理義務(wù)、在用戶(hù)信息泄露事件上存在過(guò)失的證據(jù),,用戶(hù)因此產(chǎn)生的損失就可以索賠,。
西安交通大學(xué)法學(xué)院與360公司曾就“白帽子”挖掘漏洞的獎(jiǎng)勵(lì)模式進(jìn)行了專(zhuān)題研究,并發(fā)布了《白帽子安全漏洞挖掘風(fēng)險(xiǎn)報(bào)告》,。當(dāng)前多種漏洞披露平臺(tái)具有一定的嘗試和探索意義,。“從目前國(guó)內(nèi)外漏洞平臺(tái)的發(fā)展階段看,,似乎也不存在一種單一的模式,。”參與撰寫(xiě)該報(bào)告的黃道麗告訴記者,。
報(bào)告顯示,,“臉書(shū)”(Facebook)僅在2015年就給210名“白帽子”發(fā)放了93.6萬(wàn)美元的漏洞獎(jiǎng)勵(lì)。漏洞賞金計(jì)劃,、漏洞購(gòu)買(mǎi)計(jì)劃(VPPs)以及漏洞獎(jiǎng)勵(lì)計(jì)劃吸引更多“白帽子”加入安全防護(hù)研究,,已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域司空見(jiàn)慣的事情。
在國(guó)外漏洞眾測(cè)平臺(tái)“第一黑客”(HackerOne)上,由眾測(cè)企業(yè)向黑客支付發(fā)現(xiàn)漏洞的獎(jiǎng)勵(lì),,“第一黑客”則從企業(yè)獎(jiǎng)勵(lì)中抽取20%的費(fèi)用,。“第一黑客”還向企業(yè)提供付費(fèi)服務(wù)模式,,如漏洞訂閱服務(wù),、漏洞披露指導(dǎo)、安全咨詢(xún)等,。目前,,“第一黑客”已幫助500多家企業(yè)找出2萬(wàn)多個(gè)漏洞,向3200多名獨(dú)立安全研究員發(fā)放了600多萬(wàn)美元的獎(jiǎng)勵(lì),,單個(gè)漏洞獎(jiǎng)勵(lì)最多達(dá)到3萬(wàn)美元。從國(guó)際實(shí)踐來(lái)看,,相比目前我國(guó)企業(yè)較低的漏洞獎(jiǎng)勵(lì)金額,,黑市交易的高額回報(bào)顯然更具誘惑力,這也是黑市產(chǎn)業(yè)鏈形成和發(fā)展的關(guān)鍵因素,。黃道麗表示,,“‘白帽子’是一群崇尚自由的群體,憑借自身對(duì)技術(shù)的追求或?qū)W(wǎng)絡(luò)安全的維護(hù)之心等挖掘漏洞,,期望從中實(shí)現(xiàn)不同的價(jià)值,,所以‘白帽子’不會(huì)因?yàn)樯虡I(yè)化而消失。因此,,建立長(zhǎng)效高額的安全漏洞獎(jiǎng)勵(lì)機(jī)制是支持和鼓勵(lì)‘白帽子’的最佳方式,。”
國(guó)外“白帽子”如何免責(zé)
實(shí)際上,,國(guó)內(nèi)外都有大量的數(shù)據(jù)泄露安全事件發(fā)生,。只不過(guò),一方面,,知曉漏洞曝光或數(shù)據(jù)泄露需要用戶(hù)本身具有一定的技術(shù)能力,,另一方面,是否采取法律行動(dòng)需要相應(yīng)法律能力和成本,。黃道麗表示,,目前“白帽子”單純因?yàn)槁┒赐诰虮涣傅男侣劜⒉欢啵⒉槐硎具`反法律的挖掘行為沒(méi)有或較少發(fā)生,。如何通過(guò)法律規(guī)范“白帽子”行為,,成為一項(xiàng)值得研究的重要課題。
從各國(guó)法律來(lái)看,,對(duì)于挖掘安全漏洞的行為,,一般會(huì)根據(jù)主體與行為動(dòng)機(jī)規(guī)定不同的法律后果。比如美國(guó),早在1998年《數(shù)字千年版權(quán)法》中就規(guī)定了安全測(cè)試(包括“白帽子”)的界限:安全漏洞信息的獲取和利用,,僅以保障被測(cè)試計(jì)算機(jī)系統(tǒng)的所有人或運(yùn)營(yíng)人的安全為目的,。
對(duì)于“白帽子”等團(tuán)隊(duì)或個(gè)人合法獲取的漏洞信息,美國(guó)《網(wǎng)絡(luò)安全法》還規(guī)定了未取得廠商授權(quán)時(shí)的披露規(guī)則:首先,,披露者應(yīng)采取適當(dāng)措施,,保護(hù)所掌握的漏洞信息;其次,,披露時(shí)應(yīng)當(dāng)去除可以用于識(shí)別特定人的信息,;第三,不得使用漏洞信息獲得不公平的競(jìng)爭(zhēng)優(yōu)勢(shì),。同時(shí),,“白帽子”可以以“善意辯護(hù)”豁免挖掘漏洞的法律責(zé)任。
在漏洞檢測(cè)和披露問(wèn)題上,,11月7日剛剛公布的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定:“開(kāi)展網(wǎng)絡(luò)安全認(rèn)證,、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng),,向社會(huì)發(fā)布系統(tǒng)漏洞,、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊,、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息,,應(yīng)當(dāng)遵守國(guó)家有關(guān)規(guī)定?!秉S道麗表示,,網(wǎng)絡(luò)安全法的出臺(tái),為可能涉及民間自發(fā)的漏洞挖掘和公布內(nèi)容的下位法的制定做了鋪墊,。
漏洞信息或成戰(zhàn)略資源
《中國(guó)互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告(2016)》顯示:截至2015年12月底,,中國(guó)網(wǎng)站總量達(dá)到426.7萬(wàn)余個(gè);而由于各種各樣安全漏洞的存在,,網(wǎng)站面臨著黑客以癱瘓目標(biāo)業(yè)務(wù)系統(tǒng),、竊取用戶(hù)有價(jià)值信息等為主要目的的攻擊威脅,公共互聯(lián)網(wǎng)環(huán)境仍面臨較為嚴(yán)峻的安全態(tài)勢(shì),。
“信息技術(shù)的迅速發(fā)展促進(jìn)了計(jì)算機(jī)規(guī)模的膨脹,,增加了個(gè)人、企業(yè)乃至社會(huì)和國(guó)家對(duì)網(wǎng)絡(luò)安全的需求,?!诿弊印颐弊印壤寐┒催M(jìn)行攻擊的事件層出不窮,且手段愈發(fā)多樣化和高明,,網(wǎng)絡(luò)風(fēng)險(xiǎn)的泛在性使得安全成為普遍性的問(wèn)題,,‘白帽子’因其道德和倫理偏向成為企業(yè)甚至政府機(jī)構(gòu)獲取漏洞,、升級(jí)系統(tǒng)的重要途徑,在維護(hù)信息系統(tǒng)方面的作用不可替代,?!秉S道麗說(shuō)。
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部副主任嚴(yán)寒冰也表示,,2009年以后,,多家漏洞報(bào)告平臺(tái)的陸續(xù)成立,如補(bǔ)天平臺(tái),、烏云網(wǎng),、漏洞盒子,“白帽子”發(fā)現(xiàn)并上報(bào)漏洞已經(jīng)成為整個(gè)漏洞發(fā)現(xiàn)處置體系中的重要環(huán)節(jié),。
網(wǎng)絡(luò)安全漏洞關(guān)系到企業(yè)和個(gè)人的信息安全,,甚至涉及國(guó)家安全?!鞍l(fā)達(dá)國(guó)家早已把漏洞信息當(dāng)作一種戰(zhàn)略資源,。”謝永江表示,。
比如2013年,世界主要工業(yè)設(shè)備和武器制造國(guó)在常規(guī)武器及其民用技術(shù)協(xié)定《瓦森納協(xié)定》中規(guī)定,,零日(0day)漏洞(指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞)也屬于危險(xiǎn)武器出口條約的規(guī)范對(duì)象,。不僅漏洞信息本身被禁止用于犯罪或出口至“專(zhuān)制政權(quán)”,相應(yīng)的用于入侵計(jì)算機(jī)系統(tǒng)的軟件,、硬件設(shè)備和組件也受到同等限制,。2015年5月20日,美國(guó)工業(yè)與安全局發(fā)布一份《瓦森納協(xié)定》的落實(shí)草案,,其中就規(guī)定,,禁止在不同的國(guó)家之間互通漏洞信息。據(jù)此,,美國(guó)企業(yè)或個(gè)人向境外廠商報(bào)告漏洞情況被視為一種出口行為,,需預(yù)先申請(qǐng)政府許可,否則將被視為非法,。
“漏洞信息本身具有一定的應(yīng)用價(jià)值,,我認(rèn)為,可以在國(guó)家層面建立漏洞信息庫(kù),,收購(gòu)企業(yè)以及包括’白帽子‘在內(nèi)的個(gè)人發(fā)現(xiàn)的漏洞,,在網(wǎng)絡(luò)戰(zhàn)爭(zhēng)日益成為現(xiàn)實(shí)的情況下,未雨綢繆,,做好技術(shù)儲(chǔ)備工作,?!敝x永江建議。
漏洞信息的挖掘與保護(hù)也得到了我國(guó)政府的關(guān)注,。4月19日,,國(guó)家主席習(xí)近平在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上強(qiáng)調(diào),“要建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告機(jī)制,、情報(bào)共享機(jī)制,、研判處置機(jī)制,準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的規(guī)律,、動(dòng)向,、趨勢(shì)。要建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機(jī)制,,把企業(yè)掌握的大量網(wǎng)絡(luò)安全信息用起來(lái),,龍頭企業(yè)要帶頭參加這個(gè)機(jī)制?!甭┒窗l(fā)現(xiàn)還被作為“提升全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)能力”的重要內(nèi)容,,寫(xiě)入我國(guó)《國(guó)家信息化發(fā)展戰(zhàn)略綱要》。
謝永江透露,,中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)目前正在籌建中,,將來(lái)也會(huì)成立分會(huì),對(duì)包括“白帽子”問(wèn)題,、安全漏洞的法律定位等進(jìn)行專(zhuān)門(mén)研究,。(來(lái)源:檢察日?qǐng)?bào))
