漏洞披露模式的法理與價值:記烏云白帽大會圓桌論壇
前不久,一名白帽子因在第三方漏洞平臺提交世紀佳緣網(wǎng)漏洞涉案一事,在業(yè)內(nèi)引起軒然大波,各方面相關(guān)人士對事件的看法不盡相同,爭議四起。
在近日舉行的烏云白帽大會上,包括法律、安全、公安、互聯(lián)網(wǎng)公司、電子取證、漏洞收集平臺、白帽子、媒體等8位不同領(lǐng)域的專家就世紀佳緣事件涉及的相關(guān)法律問題進行了深入探討。現(xiàn)將此次討論的內(nèi)容編輯整理如下:
論壇主持:安全牛主編李少鵬
論壇嘉賓:
電子取證專家——中科院軟件研究所研究員,中國電子學(xué)會計算機取證專委會主任委員,公安部三局特聘專家丁麗萍;
公安網(wǎng)監(jiān)——江蘇省公安廳網(wǎng)安總隊科長,公安部網(wǎng)絡(luò)安全專家童瀛;
漏洞研究大牛——騰訊玄武實驗室負責(zé)人于旸(TK);
漏洞平臺——烏云創(chuàng)始人方小頓(劍心);
法律專家——知名 IT 與知識產(chǎn)權(quán)律師,中國互聯(lián)網(wǎng)協(xié)會信用評價中心法律顧問趙占領(lǐng);
互聯(lián)網(wǎng)公司代表——某知名互聯(lián)網(wǎng)公司CSO陳洋;
白帽子——烏云核心白帽子張瑞東(only_guest)。
左起:丁麗萍、童瀛、于旸、方小頓、趙占領(lǐng)、陳洋、李少鵬、張瑞東
李少鵬(以下簡稱“李”):之前的世紀佳緣事件,相信大家都很了解了,這件事情的結(jié)果最終將由警方和司法機關(guān)最終判定。我們今天更想討論的是,如何規(guī)范白帽子的漏洞測試行為?漏洞測試的法律邊界又在哪里?
希望在座的各位代表和專家,能為白帽子們指出比較實際的邊界,在做安全測試的同時,提升對相關(guān)法律的認識,保護好自身,并更好的進行漏洞測試這項工作,為互聯(lián)網(wǎng)安全做出更大的貢獻。
一、企業(yè)感謝白帽子的貢獻 但行為要規(guī)范
陳洋(以下簡稱“陳”):我從互聯(lián)網(wǎng)公司,也就是從廠商這個角度來談一下這個問題。
首先廠商有很重要的職責(zé),就是要保護好我們用戶數(shù)據(jù)的安全。保護數(shù)據(jù)一方面要求廠商自己的努力去不斷地發(fā)現(xiàn)并解決問題,另一方面白帽子也為此做出了很多貢獻,幫助我們發(fā)現(xiàn)了很多自己很難發(fā)現(xiàn)的盲點,并且提升了大部分廠商對安全的重視程度。如果沒有這么多白帽子辛勤的付出,可能現(xiàn)在互聯(lián)網(wǎng)整體的安全狀況會比現(xiàn)在落后若干年,可能大家看到的就不是現(xiàn)在的這個樣子,可能有更多的個人信息和數(shù)據(jù)在網(wǎng)上流傳。
但從另外一個角度講,廠商也比較害怕這些白帽子。一些很好的、善意的測試我們都非常的歡迎,因為他們能夠幫我們完善安全體系。但是有時候可能有一些經(jīng)意或者不經(jīng)意的一些行為,可能會導(dǎo)致數(shù)據(jù)的破壞。甚至還有一些打著白帽子旗號的人拖庫,拖完庫還到處去賣,做一些不好的事情。這個時候從廠商來講,我們也必須要為自己的用戶負責(zé),所以發(fā)生這種情況的時候我們可能需要考慮一些其它的途徑。
總體來講,我們還是希望廠商跟白帽子可以達成一個共同促進的關(guān)系,白帽子一方面幫助廠商提高安全能力,另外一方面廠商也可以給白帽子一些物質(zhì)方面的獎勵和一些精神方面的支持。當(dāng)然,也可以共同推進一些安全標準方面的內(nèi)容。
李:也就是說從互聯(lián)網(wǎng)公司或者廠商的角度來看,還是挺希望白帽子幫忙做這些事情的。態(tài)度也是積極的。只不過一些不良行為,要去規(guī)范。
陳:對,只要不去觸碰用戶的數(shù)據(jù),幫我們指出我們的安全問題,我們是很歡迎的。但是如果你對用戶的數(shù)據(jù)有接觸行為,這個時候可能就觸碰了那條底線。
二、漏洞測試的界線在哪里?
李:好的,下面有請趙律師,從法律的角度來談一談這個事情。
趙占領(lǐng)(以下簡稱“趙”):這個案子,因為具體的情況也不是非常的清楚,而現(xiàn)在也已經(jīng)進入法律程序,所以我這里更多是談一些共性的問題,特別是白帽子的滲透測試,這個事情法律的邊界到底在哪里。
我給大家做一個簡單的介紹,這塊可能涉及到刑法的幾個罪名。一個是非法侵入計算機系統(tǒng)罪,這個是有要求的,被入侵對象必須是國家事務(wù)或國防系統(tǒng)。但一般情況下,如果不是政府網(wǎng)站的話,這個白帽子一般不會涉及。
第二個,非法獲取計算機信息數(shù)據(jù)罪,這個罪名成立需要有三個條件。第一是必須要有入侵,通過其他方法獲取數(shù)據(jù),而且情節(jié)嚴重。這個“情節(jié)嚴重”也是有具體規(guī)定,包括幾種情況,一種是金融機構(gòu)的金融身份認證信息,是在十組以上,其他的身份認證信息是在500組以上;或者是非法控制計算機系統(tǒng),這個前提是要有控制行為存在,20臺以上;還有一個是造成經(jīng)濟損失的,具體有一個數(shù)額。
還有一個就是破壞計算機信息系統(tǒng)罪,這個要有幾種行為,一個是對于計算機的程序有增加、刪除、修改、干擾,或者是對數(shù)據(jù)有相應(yīng)的刪除行為。
最后一個是使用或者傳播計算機病毒等破壞性程序,并造成影響。當(dāng)然有些走的更遠,可能涉及到獲取之后再把數(shù)據(jù)倒賣出去,那是其他的罪名,而且這個是明確違法的行為。
像今天這個我們現(xiàn)在關(guān)注的案例,主要涉及到非法獲取計算機信息系統(tǒng)數(shù)據(jù)。這里面白帽子在安全檢測的時候,其邊界是比較有原則性的。具體怎么操作,這個邊界在哪兒?
我個人的理解,首先有入侵的問題,只是入侵而不符合其他兩個條件的話,這種可能現(xiàn)在還不是一個犯罪,不屬于違法行為,不屬于治安管理處罰法。但現(xiàn)在正在修訂的網(wǎng)絡(luò)安全法草案,里面對這個則有新的規(guī)定,即使你沒有造成危害,也不符合刑法285規(guī)定的三個條件,有可能也違反了網(wǎng)絡(luò)安全法,雖然現(xiàn)在這個只是草案。所以這是一個要注意的一個地方。
另外在入侵之后,獲取數(shù)據(jù)這方面,實際上需要重點把握的是身份認證信息。無論是金融機構(gòu)的,還是其他系統(tǒng)的,都是指這個。所謂身份認證信息,包括帳號、密碼、口令、數(shù)字證書等。但是我們可能在檢測過程中,在觸碰這個信息之前,可能不清楚這個數(shù)據(jù)到底它是不是身份認證信息,可能只有你接觸之后才能判斷。但是一旦接觸之后,違法的風(fēng)險可能就已經(jīng)存在了。特別是達到500組以上。所以在白帽子在檢測的時候,只要涉及數(shù)據(jù)這塊,實際上無論它是不是身份認證信息,從規(guī)避自身風(fēng)險的角度來講還是不要觸碰的為好。因為你不確定這里面的信息到底屬于不屬于身份認證信息。所以從法律的角度講,我覺得應(yīng)該就到此為止了。
另外,涉及到一個問題,就是我們很多檢測工具在檢測過程中,可能會涉及到自動緩存數(shù)據(jù)的問題。從白帽子角度講,我可能沒有想獲取這個數(shù)據(jù),但是檢測過程中,工具有可能把數(shù)據(jù)存儲在電腦上。這個情況下,它屬不屬于非法獲取數(shù)據(jù),現(xiàn)在也沒有類似的案例可以參考,也不確定我們公安部門和司法機構(gòu)的態(tài)度和做法。但從我個人角度講,我覺得可能他們會更傾向于認為這也是獲取數(shù)據(jù)。
除非你能提供其他的證據(jù),比如說我檢測過程中,只是從行為上來判斷,我只是進行檢測,而且這個存在我電腦上的數(shù)據(jù),我沒有進行任何的修改刪除,甚至沒有接觸。但是,這是一種在有爭議情況下的觀點,最終怎么認定,現(xiàn)在也是一個非常有爭議的事情。
我個人理解就是從規(guī)避這個風(fēng)險角度來講,你使用的檢測工具,你要盡可能確定它是沒有問題的。大家關(guān)心這個案子,這個是可以理解,因為大家很多都是白帽子,或者對安全比較感興趣的朋友,包括我本人也非常關(guān)注。但是通過這個案子,我們也希望它能成為對這個行業(yè)、對白帽子行為的規(guī)范的一個機會,也希望安全行業(yè),白帽子,還有類似于烏云的漏洞收集平臺,能夠更好的發(fā)揮其價值。
李:趙律師,你的意思是說,雖然法律這方面的規(guī)定可能不是那么詳細,但是對于白帽子來說,在進行測試的時候,要盡量謹慎和小心?
趙:對,要盡量謹慎。其中最核心的一點就是不要去接觸這些數(shù)據(jù),另外使用的檢測工具也要確認不要有問題。
李:500組數(shù)據(jù)這個問題,如果是499組呢?是不是就沒問題?
趙:499組可能從刑法角度講是不構(gòu)成的犯罪的,但是499組獲取的數(shù)據(jù),并同時造成危害的,即使不構(gòu)成刑法,也可以按《治安管理處罰法》去處罰。
李:我明白了,雖然不到那個程度,但仍然是違法的。小頓,你作為烏云社區(qū)的創(chuàng)始人,此次事件發(fā)生后烏云一直沒有發(fā)聲,現(xiàn)在請你來談一談。
方小頓(以下簡稱“小頓”):其實我本人一直是說話比較少的,很多人問為什么烏云一直沒有出來發(fā)聲,因為我本人更喜歡做事情,而不是去說。
事情發(fā)生后,我們其實也和家屬一直在一起面對這個事情,我們會一起往下走。其實好多事情,我覺得背后有很多的因素和原因。但是這個案子本身還在處理中,所以我們現(xiàn)在也沒有辦法去多講。
但是從烏云平臺的角度,從我們一直在構(gòu)建的白帽子和企業(yè)關(guān)系的角度,這個案子如此受關(guān)注是有道理的,這也是烏云運營這么多年來,我本人認為唯一一個不是很嚴重的行為而導(dǎo)致這么嚴重的后果的個案。所以烏云把各方專家邀請過來,請大家一起具體的來談一談,談一談我們有哪些能做的事情,有哪些我們能幫助家屬,以及幫助更多白帽子的事情。
還有一點我覺得也很重要,就是烏云將來能做什么事情?怎么樣能夠從平臺的角度,從整個行業(yè)的角度,把白帽子漏洞測試這個事情做好?而不能說因為一個個案,就把很多年積累的東西全部推翻。
現(xiàn)在的事情,法律也好,我相信它一定有一個明確的邊界,有一些明確的東西。我覺得對于將來來說,這個東西更需要我們的關(guān)注。
李:TK,我之前看過你寫的一篇關(guān)于這個事件的文章,我感覺你又跨了一個界,跨到了法律界(笑)。那么你就結(jié)合法律和安全技術(shù),來談一談吧。
于旸(以下簡稱“TK”):我確實是比較關(guān)注和信息安全相關(guān)的法律,因為我本身從事這個行業(yè)。實際上從刑法修正案,剛開始針對這塊有約束,我就一直在很仔細地看這個法條,包括后來出的司法解釋等內(nèi)容。
為什么呢?因為你做這行你就需要去看法律,因為跟你有關(guān)系,你必須要知道,知道這個邊界在哪里,你才能“在河邊走而不濕鞋”,你得知道這個河堤的邊沿在什么地方。如果你根本不知道這個邊沿在哪兒,你跑到河邊走,你就容易濕鞋;可能今天不濕,明天也會濕。但是你如果就在河堤上,在一個很明確的線上,你在這上面走,那就可以保證你的安全。
我們做這個行業(yè),很多人會在類似的案件出來之后,有一種看法,覺得你做這個行業(yè),就是游走在法律邊緣。我覺得這個看法是一種情緒化。因為法律的邊界,你如果很清晰地知道這一點的話,你就可以達到一個比較安全的狀態(tài)。
一般安全會議的圓桌論壇,嘉賓都是搞技術(shù)或者搞管理的,但是你看今天咱們的會場,有三位法律相關(guān)人士。所以我覺得咱們今天應(yīng)該把這個“邊界”搞清楚。可能在座的各位之前很多對這塊沒有特別關(guān)注,但是實際上開公司的人,他需要對公司法清楚,搞建筑的人則需要對建設(shè)方面的政策了解清晰,才能保證所做的事情是可以放心的,沒有后顧之憂。同理,搞安全技術(shù)的也一樣。
我剛才說到這個情緒化,我也看到現(xiàn)在網(wǎng)上的討論,有兩個方向不同的情緒化。一方面有些人覺得,我早就說你們白帽子是違法的,你看現(xiàn)在終于被抓了,但其實你去問他讓他說一下,到底違了什么法,他不一定能說上來,因為他是出于某種情緒才這樣說的。還有另外一頭的情緒,這些人覺得白帽子是好心好意為你這個網(wǎng)站提交漏洞,你卻“狗咬呂洞賓”。但其實這也是一種情緒,就是說我們既然談法律,那就說法律到底是怎么規(guī)定的,不要扯到道德上。
另外,人一旦陷入情緒化之后,對概念不太容易講清楚,我們剛才談了半天白帽子,其實談的就是白帽子的行為。但是我看到有些討論,他把這個白帽子的行為泛化,有些白帽子一邊做測試,一邊轉(zhuǎn)手就把這個數(shù)據(jù)拿去賣了。這個明顯也是一種情緒化了,你既然都賣數(shù)據(jù)了,那這個行為還是我們說的白帽子的行為么?明顯不是!打個可能不太恰當(dāng)?shù)谋确剑髠b客行俠仗義的時候順便調(diào)戲一下婦女,那就不是大俠而是“淫賊”了。要是有人說這些大俠都不是什么好東西,這個說法當(dāng)然就是有問題的,這完全是一種情緒的宣泄,而不是理性的討論。
李:童隊,您從監(jiān)管從公安的角度給我們談一談?
童瀛(以下簡稱“童”):在這個問題上,我不談具體的案子。但我們國家是法制社會,因此跟大家提幾個數(shù)字,希望大家可以記住。
第一個285,第二個286,之后還有10、20和500,另外還有一個5倍。因為這個從我們警方來說,其實這個界線很久之前就存在。我們國家制定了《刑法》之后,就有了第285條和286條,上面都已經(jīng)寫的很明確了。那么為什么我剛才又說到了10和20,這里有提到獲取金融類的數(shù)據(jù)是十組。另外可能在這個事情上,大家可能提到更多的是500,500組的這個事情,也是一個關(guān)鍵點,這個是我們的一個準繩。你到這個線,那我們就可以判你三年。如果超過這個,最后還提到一個5倍的概念,5倍就可能是3到7年這么一個情況。
作為執(zhí)法機關(guān)來說,我們做我們往常的一些案件當(dāng)中,很多這種案子,因為在座的更多的都是白帽子,大部分做Web安全。我們覺得Web安全,是一個比較入門的東西,比TK他們做的系統(tǒng)安全相對門檻要低一些。大家的入門的這種教材、環(huán)境網(wǎng)上會更多一些,但另一個角度來看,可能Web安全存在問題也就更多一些。
因為在烏云平臺上,每年漏洞提交上來的數(shù)量非常多,而且大部分都是Web安全類的,以前也有過類似的案例,所以我經(jīng)常會說,白帽子或者做相關(guān)事情的人,千萬不要跨了這個線。
可能大家都聽說過,一個WebShell的作者,當(dāng)時也是入侵了網(wǎng)站拿到了數(shù)據(jù),但是這些數(shù)據(jù)被別人加以利用,最后整個案子的涉案金額達到了400萬元。但定性的時候,第一主犯當(dāng)時定的就是這個做漏洞測試的人,因為如果你沒有進去,沒拿到數(shù)據(jù),那么之后其他人拿到數(shù)據(jù)再做的這些事情,也就不可能會發(fā)生。所以說在這個里面,大家一定是以法律為準繩,千萬不要踏過這個線。
另外白帽子在做一些事情的時候,一定要自律。可能當(dāng)你進去以后,或者說是當(dāng)你測試這個漏洞成功以后,你可能看到了一些東西。人都是有好奇心的,覺得我再進一步看一看,我再進一步把這個數(shù)據(jù)再多獲取一點,那我想這時候你可以對照一下我前面說的這些法律條文,如果你越線了,那我們只好用法律來懲罰你。
三、電子取證至關(guān)重要
李:謝謝童警官講的這幾個數(shù)字,我想大家如果一時記不住的話,可以查一查,但是也不用太關(guān)心這些數(shù)字,它到底是哪一條,具體是哪一個。因為,我們要遠離底線,而不是接近底線。這樣才能確保“不濕鞋”。接下來由電子取證的權(quán)威專家丁老師給大家普及一下電子取證方面的知識。
丁麗萍(以下簡稱“丁”):對這個案件我今天也不具體發(fā)表意見,但可以給大家普及一些取證方面的知識。
電子證據(jù)作為現(xiàn)代越來越受重視的一種證據(jù),在2013年的1月1號已經(jīng)被幾部訴訟法確定為一個獨立的證據(jù)。所以如果你犯了法,電子取證的證據(jù)是可以給你定罪的。當(dāng)然它還是在追求一個證明鏈,但是這已經(jīng)是一個比較重要的證據(jù)。人證、物證、下一代就是電子證據(jù),所以這個證據(jù)非常重要。但大家要搞清楚,什么樣的證據(jù)法庭上能夠采用?怎么樣取到的什么樣的證據(jù)?由誰來取?
實際上只有符合三性的證據(jù)法庭上能夠采用。哪三性?就是真實性、相關(guān)性、合法性。真實性是什么?你要證明你提交的證據(jù),從你采集到提交到法庭是沒改過。這是警察在整個的取證流程中非常注意的一點。而電子證據(jù)的特性又決定其實十分容易偽造且極易損毀的。一個圖片可以PS,一個聲音也可以偽造,一個視頻也是可以偽造的。
這些都是電子取證面臨的很多困境,你刪除了怎么辦,修改了怎么辦,你一個美圖秀秀就可以把這個丑女變成一個美女,那我怎么把它恢復(fù)成原來的狀態(tài),這都很難。
現(xiàn)在電子取證有很多的技術(shù)難點,比如說我拿到一個硬盤,你把數(shù)據(jù)都刪除了,而且又覆蓋掉了,那就真是恢復(fù)不了的,沒有辦法。所以現(xiàn)在有很多困境,有些案子就是真的是辦不下去,證據(jù)真實性很難保障的。有的人說我能夠證明我怎么怎么樣,但是事實上你很難證明你怎么怎么樣,這是第一個真實性。
相關(guān)性是什么呢,我們經(jīng)常看法庭上審理的時候說這件事情與本案無關(guān),無關(guān)事情你不要拿出來,所以電子證據(jù)一定要和你這件事情相關(guān)的。比如說咱們最近發(fā)生的一個案子,如果你拿出來的數(shù)據(jù)是無關(guān)的,法庭也不會用。
最后一點是合法性。合法性很重要,它會要求你“主體合法”而且“過程合法”。主體是什么?主體合法,就是說誰來取證,誰拿的證據(jù)法庭能采用。這個很重要,你不要說我違法了我自己提交證據(jù)證明我沒罪。不行,因為你的主體不合法。我們國家的三部訴訟法分別規(guī)定了誰來獲取證據(jù),比如說刑事訴訟法就是警察取證。你比如說警察抓我,我要證明我沒罪那不行,都是警察來取證的。你機器里的東西也是警察帶走回去取證,不是你自己去提取。
刑事案件的主體一定是警察取證,民事是誰主張誰取證,咱倆是個平等的法律主體。你告我你要拿出證據(jù),我告你我要拿出證據(jù),原告要拿出證據(jù)來,誰主張誰舉證。行政訴訟就是民告官的案子,就是行政機關(guān)要負舉證責(zé)任。你告了工商局,工商局要拿出證據(jù)來證明自己沒事,我的執(zhí)法合法的,這是舉證責(zé)任倒置的情況。所以,你要弄清楚主體,誰是合法的。
然后過程要合法,取證的主體在取證過程中,是要遵循一定的法律和技術(shù)規(guī)范的。像警察有執(zhí)法規(guī)范,取證的時候,要怎么操作,都是有規(guī)定的。而且拿走的東西要怎么包裝,怎么交接一個單子,這些都是要規(guī)范的,而且處理規(guī)范是非常嚴格的。而且拿過去的證據(jù)要克隆,原始證據(jù)是不能動的,取證分析也都是在備份的數(shù)據(jù)上來做。
整個的三性,它在整個過程中是要有保障的。警察取證的工具也是要經(jīng)過認證。你作為一個白帽子隨意的用一個工具去滲透測試人家,那你說這個工具,他獲取了對方的數(shù)據(jù),但你卻說不是我獲取的,是工具自帶的功能。如果你了解有這個功能的話,你就不能用。
當(dāng)然,你也可以通過了解這些取證的工具及手段,警察怎么取證,自己也在測試的過程中留存一些證據(jù)。萬一警察認為你的證據(jù)是有效的,這也是可以的。因為他是主體,你協(xié)助他做一些取證,然后他認定了,你這個證據(jù)確實是無懈可擊的話也是可以的。所以在整個的滲透測試過程中,你可以逐步的留下一些自己認為能證明自己清白東西。
總結(jié)一下,兩點,首先,你不要心存僥幸,取證還是很厲害的,不要心存僥幸說我這次拿點數(shù)據(jù)誰都不知道,神不知鬼不覺,實際上要想知道,是一定能夠知道的。第二,白帽一定要保護自己。有可能的話,為自己留存一些證據(jù)。我們可以截個屏,截完屏之后把這個圖片打上哈希。或者說我可以證明我用的工具是一個什么樣的功能,根本沒有獲取數(shù)據(jù)的功能,或者說沒有緩存的功能,只是一個掃描的工具。
大部分的白帽子應(yīng)該都是好心的。我曾經(jīng)跟一個退役的警察辯論,我說人家就是活雷鋒,活雷鋒違法嗎?人家就是想著幫助你企業(yè)發(fā)現(xiàn)漏洞,讓你補漏洞做的更安全。那你能說我違法嗎?當(dāng)然,也會有很多人認為你這種行為本身就違法,你憑什么去人家家看看人家鎖沒鎖門,一看見沒鎖門,又告訴所有人說張家沒鎖門,大家都知道張家在哪兒住。他認為這個行為就違法。其實法律上,大家看看TK的文章就會知道,這個行為不違法。但是如果說你知道他沒鎖門又進去看了看,進去轉(zhuǎn)了一圈又拿了點東西,這就不行了。
四、如何看待白帽群體及其相關(guān)行為
李:大家怎么去看待白帽子的身份和他們做安全測試,這個行為意味著什么?TK,你能不能從你自己的技術(shù)身份解讀一下如何看待這種職業(yè)和他們的行為?白帽們的行為動機又有哪些?
TK:我的研究方向與Web安全還不太一樣,我研究的是系統(tǒng)漏洞。系統(tǒng)漏洞研究的東西是你自己電腦上的,無論是研究軟件漏洞還是硬件漏洞。軟件是我自己電腦上的軟件,硬件也是我買回來的。別說你研究他的漏洞了,你拿錘子砸了都不犯法,自己花錢買的,想怎么樣就怎么樣。
但是研究這個網(wǎng)站或者探測這個網(wǎng)站是否存在漏洞這個事情,法律條文是很清晰的。而且無論從道理上講,它的價值、意義,以及從社會角度,從整個信息安全的產(chǎn)業(yè),或者說去做好這個信息安全的角度來看,至少在現(xiàn)階段,這個肯定是一件非常有價值的事情。
有一個很明確的實例,不管是中國,還是外國,很多的公司都建立了自己的漏洞獎勵計劃,鼓勵大家對自己的網(wǎng)站做安全測試,而且還會給你獎金。Facebook、AT&T公司,甚至是一些傳統(tǒng)的企業(yè)也都推出漏洞獎勵計劃。我們可以去想,為什么這些企業(yè)都這么搞?為什么他們都要借助互聯(lián)網(wǎng)上他根本都不認識的人而不是自己公司的雇員?因為他們覺得,完全依賴自己的力量,不能夠很好的去完成這件事情。而借助整個互聯(lián)網(wǎng)上這些技術(shù)人員的力量可能是一種更好方式。首先這一點應(yīng)該是是明確的。
至于說研究技術(shù)的動機,每個人有每個人的動機,我覺得最根本的是出于對技術(shù)的熱愛。但有的人就是為了拿獎金,比如今天在座的各位,有一些可能是為了換門票,所以也是一種動機。而有的人就是愛顯擺,可能有的人就這樣,我是為了愛顯擺,我就是為了把漏洞曝出去讓大家看我技術(shù)很牛。但是愛顯擺不犯法,你只要搞清楚法律邊界,你可以在安全的地方“跳來跳去”,做各種各樣高難度的體操動作都沒關(guān)系。但最關(guān)鍵的是,你的行為一定是在一個法律邊界內(nèi)的,在安全的地方。當(dāng)然如果你能夠友善一些,在顯擺自己的時候不要刺激別人,或者說不要去刺激廠商,這樣當(dāng)然更好,這就和諧了(觀眾大笑)。
李:童警官,您作為公安部門,您怎么看待白帽子這個身份?您是希望白帽子多一些好一點,還是覺得這個數(shù)量應(yīng)該控制一下?
童:我站在我們公安這個角度上談,因為跟我們成天打交道的大部分都是犯罪嫌疑人之類的,他們從的動機上和興趣出發(fā)點上是跟普通的白帽不一樣的,有的是為了掙錢,有的單純是為了破壞。這種興趣愛好,從他們的出發(fā)點上就已經(jīng)錯了,在之后做的每一件事情也都是錯誤的。像我們看的比較多的,在黑產(chǎn)鏈里面,當(dāng)他獲取數(shù)據(jù)時,法律上明文已經(jīng)有這么一個條款放在那兒了,他還要去觸碰這個條款,那肯定就是到了法律邊界以外,我們肯定要把這個人給抓了。
他做這個事情,出發(fā)點是為了掙錢,他可能把數(shù)據(jù)散到整個黑產(chǎn)鏈里。比如很多的撞庫,最終都是為了掙錢。如果是這種行為的話,我們還是希望在坐的最好不要進入。
我們還遇到過一些人,他做漏洞研究的出發(fā)點一開始也是為了提升安全,但是他在做的過程當(dāng)中可能看到了一些數(shù)據(jù),他就覺得我把數(shù)據(jù)拿回來神不會鬼不覺,或者說這個網(wǎng)站不知道,我掛了代理,我有各種各樣的安全措施,我把這個拿回來以后,就可以把這些數(shù)據(jù)變現(xiàn)掙錢。在這種情況下,我們始終想給大家提醒,慎獨,自己的內(nèi)心一定要自律。千萬不要在法律上越走越遠,走遠了就拉不回來了,就是拉回來,可能也要經(jīng)過刑事程序。
另外,我要再強調(diào)一個事情,剛才所說的數(shù)據(jù)標準的多少,我們所說的是刑事案件,是刑法的285和286,那不足這個的情況是不是就不叫犯罪?我們國家還有一個叫治安管理處罰法,在里面的第29條,這個不是犯罪,但是算違法。
最后,我們也是希望看到這樣白帽子這樣的群體起到積極的作用,但在做這個事情的時候,多和執(zhí)法機構(gòu),包括網(wǎng)絡(luò)安全的管理機關(guān),多一些溝通,效果可能會好更一點。
李:陳總,您作為廠商代表,白帽子最終是跟廠商提交漏洞,也是直接影響白帽子行為的一方,您怎么看待白帽子?
陳:雖然我現(xiàn)在代表廠商,但是幾年前我也是白帽。當(dāng)時還沒有白帽子、黑帽子這么一說,我也是一個喜歡研究安全的技術(shù)愛好者。然后發(fā)現(xiàn)了一些問題,當(dāng)時沒有什么途徑能夠去告訴廠商,怎么辦,只好去想辦法聯(lián)系,于是就這樣進入了安全行業(yè)。所以,從白帽子和廠商這兩個角度,我都會有一些體會。
從白帽子的角度來講,最開始都是純粹的一個技術(shù)愛好,我很好奇,我想學(xué)習(xí),我想知道,但是我需要一些練習(xí)的環(huán)境。這時候就開始出現(xiàn)了問題,我們看了書,想嘗試一下,可能要去找一個地方,然后很多時候很容易就收不住手,會覺得我是不是可以發(fā)現(xiàn)更多的問題。這個時候,就一定要把握住自己的好奇心和好勝心,一不小心走出去,很可能就越走越遠了。
另外,從廠商的角度來講,前面也說到了,攻與防永遠是互相促進的,有攻有防,安全才會做的越來越安全。所以從廠商的角度來講,如果說一個公司長期都沒有任何安全問題,這個公司就不會再對安全有什么投入,會覺得你花這么多錢,啥事都沒有,天天找我說要做這個,做那個。我為什么要聽你忽悠?所以如果不請白帽子來幫我們發(fā)現(xiàn)問題的話,企業(yè)在安全上的實際投入也會越來越少。
這個帶來的客觀現(xiàn)象就是,企業(yè)的安全水平會越來越低。看不見不代表不發(fā)生。如果沒有這些白帽子來告訴我們問題的話,實際上我們可能已經(jīng)被黑產(chǎn)的搞了好幾輪,廠商自己都還不知道。所以從這個角度來講,其實廠商跟白帽子是相輔相成的,特別廠商的安全部門,是非常倚重白帽子的。這也是現(xiàn)在SRC也特別多的原因之一。
五、漏洞披露機制的探討
李:小頓,烏云除了漏洞收集提交外,還有自己的漏洞披露機制。它實際上在某種程度上成就了現(xiàn)在的烏云,并給全社會帶來很大的影響。而這個機制一直都是有爭議的,尤其是世紀佳緣事件的出現(xiàn)。你是否可以借這次機會談一下你的想法?
小頓:每個人有自己的角度,企業(yè)有企業(yè)的角度,律師也有律師的,白帽子也白帽子的角度。但對于一個擁有大量普通用戶的公司來講,是不是也要聽聽用戶的意見?比如對于Uber的用戶來講,他們希望知道放在Uber的錢會不會莫名其妙地丟失,安全做的好不好,該不該綁定信用卡等等。
好多人討論漏洞披露的問題,但是他們卻忽略了用戶本身的意愿和態(tài)度。我們今天在這里討論法律,但是用戶對自己數(shù)據(jù)的安全性是否要有知情權(quán)?如何更好的保護好用戶的數(shù)據(jù)?相比于企業(yè),用戶往往是弱勢的。而烏云一個更重要的使命就是去做一個生態(tài),從白帽子、企業(yè)、用戶三方的角度考慮,最后漏洞一定會公開,但相信這一切是在法律框架之內(nèi)。
烏云的漏洞披露期很早就已經(jīng)不再是90天了,我們也早已經(jīng)加入了一個披露機制,如果企業(yè)有困難,我們會協(xié)助解決,實在解決不了,還是會盡量去理解企業(yè)難處,防止造成損失。但是這次的事件,讓我意識到一個問題,就是我們之前的邊界是模糊的。因此我們要在以后,幫助白帽子去知道如何才能更好的保護自己。
很多時候,特別是在中國,行業(yè)有很多東西是走在法律前面的。但不管怎樣,烏云做的事情都會在法律框架之內(nèi)。我們也希望新的法律能盡早頒布,希望這個法律能更多考慮到企業(yè)考慮到企業(yè)的用戶,甚至考慮到白帽子這個群體本身。
我們未來的期望是這樣的,之后烏云的機制會不斷的優(yōu)化,而我們也會明確邊界,不會不斷地做漏洞相關(guān)的事情,同時我們也會成立一個類似于“白帽子法律援助中心”,也會跟一些行業(yè)內(nèi)的專家合作做這件事情。我們希望白帽子和企業(yè)在合理的法律框架之內(nèi)一樣受到法律保護,同時用戶的權(quán)益應(yīng)該也得到保障,這就是我們的期望。
李:請TK也來談一談漏洞披露機制的問題。
TK:漏洞披露機制不是什么新鮮事,早在一二十年前就開始討論,遠遠在Web漏洞被關(guān)注之前,就已經(jīng)有過這種“真理”大討論。到了今天,全世界對于漏洞披露機制都有一個共識,那就是“要披露”。為什么?這些在之前都已經(jīng)討論的很清晰了,尤其在美國是非常清晰的,他們認為漏洞披露是言論自由的一部分,受憲法的修正案保護,從法律角度講,你無論什么時候,怎么披露漏洞,都是合法的。不等90天也合法。這個從法理角度來講沒有問題。
從道義和責(zé)任角度,廠商提出要“負責(zé)任地披露”。就是說你不能光想著自己顯擺,你要考慮用戶,這在我看來是個很道貌岸然的一個說法。你說我披露漏洞影響用戶,那么如果我考慮用戶,你要不要考慮用戶?我漏洞報給你你十年也不補是考慮用戶?
為什么會有一個披露時間期?這個時間其實是妥協(xié)出來的,也是一種壓力。而且這個時間也不是說只在中國這樣,大家如果去看美國的cert,他們的披露時間是45天。45天之后不管廠商怎樣,都會公開。這是一個雙方或者多方需要討論的事情,需要一定的妥協(xié),但是肯定會落在中間的某個點,不會說讓某一方完全按照自己想的來。
這里面核心的還是企業(yè)用戶的利益問題。我們說披露的方式方法或時間不當(dāng)可能會影響企業(yè)的用戶,但是不披露問題也會影響企業(yè)用戶這一點,這點有誰也考慮到了?
安全與用戶隱私的關(guān)系,有一個里程碑式事件。前幾年曝出的拖庫,令許多人第一次知道有拖庫這件事情。但是在大家知道這件事情之間,拖庫已經(jīng)拖了很多年了。這個漏洞不披露,不代表沒有人知道,更不代表沒有人會利用,沒有人用它竊取用戶信息,不代表用戶的利益就不受損害了。漏洞披露的方式方法可以探討,可以采取一種最合適的方式,也許現(xiàn)在披露的方式方法并不一定對,但不披露一定不對!這個是我們討論了幾十年,已經(jīng)有共識的事情,這也是為什么全世界,對漏洞的態(tài)度都是披露。
丁:這個問題比較敏感,一直以來大家討論就是烏云有沒有權(quán)限公開人家的漏洞,90天之后你有沒有權(quán)力給人家公開。包括警方,官方,大家都有一些質(zhì)疑和爭議。雖然法律不禁止我們這樣做,但是我覺得網(wǎng)絡(luò)安全法和刑法一直在改,將來法律會越來越完善。
我自己的觀點是建議烏云改進漏洞披露的模式。有些廠商是非常歡迎白帽子發(fā)現(xiàn)漏洞,既然發(fā)現(xiàn)我們網(wǎng)站有漏洞,告訴我們做的更安全,更好。有的也有這樣的情況,我就有漏洞,你管的著嗎?喜歡有漏洞,用不著你管,這種情況也有,而且也無可厚非,他也合法。
大家可以關(guān)注一下新頒布刑法的286條,加了一條企業(yè)責(zé)任,如果由于企業(yè)不注重信息安全防護,導(dǎo)致用戶信息安全泄露,如果他要求提供證據(jù),要存證,如果說有一個案子找你提供證據(jù),對烏云提出了要求,可能更多的企業(yè)會歡迎你來挖漏洞,抵觸的會越來越少,但是你也不能指望自己一直走在“法不禁止即可為”的情況下。
大量數(shù)據(jù)泄露,會造成國家財產(chǎn),人民利益的損失,建議烏云跟法律授權(quán)的機構(gòu)提供合作,提供漏洞披露的建議。我建議要改進一些,獲得合法授權(quán)來做披露,公安部也有一個信息披露中心,如果和通告中心合作,你們既然有這么好的平臺和技術(shù),合作雙贏也挺好。
六、價值標準衡量一切
李:今天的圓桌論壇,緣起世紀佳緣事件。但我的觀察發(fā)現(xiàn),絕大多數(shù)人都在爭論案件本身的細節(jié),行不行、對不對、改不改等等。但如果大家能把它提升一下,把它放在長遠的角度來深度思考一下,應(yīng)該可以認識到這樣一個現(xiàn)象:歷史上任何新事物的產(chǎn)生,都具有一定的破壞性。
工業(yè)革命造成污染,但沒有工業(yè)革命就沒有現(xiàn)代文明。愛因斯坦發(fā)明了相對論,原子彈給人類生存帶來威脅,但冰箱、電視、發(fā)電機、核電場、量子力學(xué),它為整個人類帶來的利大還是弊大?同樣,漏洞披露機制給整個行業(yè)帶來的價值,對全社會安全意識的影響,是破壞力大還是價值大?我想這個問題大家的心里應(yīng)該都有自己的答案。
那么,我想對這樣一個新生事物,是應(yīng)該正向的去激勵、去保護,還是應(yīng)該抵制和打壓,應(yīng)該是不言自喻的。今天的圓桌論壇就到這里。謝謝各位老師,各位專家,謝謝論壇所有聽眾的參與!
