網(wǎng)絡安全“白帽子”深陷法律漩渦 應該如何規(guī)范?
發(fā)布時間:2016-11-19酒店開房記錄被泄露、第三方支付網(wǎng)站漏洞被曝光……在安全事件層出不窮的網(wǎng)絡上,有一群志愿抗擊黑客攻擊、幫助企業(yè)修復安全漏洞的網(wǎng)絡安全專家。這些被稱為“白帽子”的專業(yè)人士,在維護網(wǎng)絡安全的同時,自身也面臨著法律風險――
“我兒子袁煒檢測出‘世紀佳緣’的漏洞讓對方修復,‘世紀佳緣’卻報警抓了他。從3月8日被抓進去,至今已有半年,我們家人到今天還弄不清楚,袁煒到底犯了什么罪?”雙鬢斑白的袁冠陽近日在接受記者采訪時連連嘆息。
今年64歲的袁冠陽,原本對互聯(lián)網(wǎng)一竅不通,兒子袁煒出事后,他多方請教專家,想弄明白兒子究竟犯了多大的事。袁冠陽告訴記者,袁煒是互聯(lián)網(wǎng)漏洞報告平臺――“烏云網(wǎng)”上的一名“白帽子”,2015年12月,袁煒檢測發(fā)現(xiàn)了婚戀交友網(wǎng)站――“世紀佳緣”的系統(tǒng)漏洞,并在烏云網(wǎng)上提交了系統(tǒng)漏洞?!笆兰o佳緣”先是確認、修復了漏洞,并向烏云網(wǎng)和袁煒致謝。但在“世紀佳緣”以“網(wǎng)站數(shù)據(jù)被非法竊取”報警之后,警方經(jīng)調查拘留了袁煒。
所謂“白帽子”,是指識別計算機系統(tǒng)或網(wǎng)絡系統(tǒng)中安全漏洞的網(wǎng)絡安全技術人員。他們活躍在漏洞披露平臺、企業(yè)應急安全響應平臺上。與出售安全漏洞、盜取他人信息的網(wǎng)絡黑客不同的是,他們只是檢測漏洞,并不惡意去利用漏洞?!鞍酌弊印蓖ㄟ^向相關平臺或者廠家反饋、發(fā)布漏洞,以敦促廠家在漏洞被黑客攻擊利用之前將其修復完善,維護計算機和互聯(lián)網(wǎng)安全。在生活中,他們是普通的網(wǎng)絡工程師、安全實驗室的程序員,甚至僅僅是大學計算機專業(yè)的學生。
“白帽子”袁煒檢測并提交了“世紀佳緣”的漏洞;而“世紀佳緣”出于保護用戶隱私安全考慮,報警抓人。其中孰是孰非,目前司法尚無定論,但多位網(wǎng)絡安全業(yè)內人士和法律專家在接受記者采訪時均認為,袁煒事件或將成為互聯(lián)網(wǎng)安全史上一個標志性的“分水嶺”。
“白帽子”袁煒被抓事件發(fā)生后,引起了公眾尤其是程序員們的熱烈關注。如何定義“白帽子”?在進行網(wǎng)絡安全測試時要遵循哪些規(guī)范?漏洞平臺是否有權公布企業(yè)安全漏洞?這些問題也引起法學專家的關注。
“目前‘白帽子’的定義很少出現(xiàn)在各國的法律和標準中,一則因為‘白帽子’是最近十幾年才盛行起來的,二則因為‘白帽子’還屬于尚未擁有法律地位的民間技術團體。實踐中普遍將‘白帽子’與‘灰帽子’‘黑帽子’聯(lián)系在一起,認為‘白帽子’是黑客的一種。與之相近的概念稱為‘道德黑客’,即模擬黑客攻擊,幫助客戶了解自己網(wǎng)絡的弱點,并為客戶提出改進建議的網(wǎng)絡安全專家?!惫膊康谌芯克?、信息網(wǎng)絡安全公安部重點實驗室二級警督黃道麗副研究員告訴記者。
“一般所理解的‘白帽子’不以挖掘漏洞為生,其對各個網(wǎng)站進行安全測試的動機主要是維護網(wǎng)絡安全。但是如何在法律上界定‘白帽子’,如何認定挖掘行為的法律性質,如何判斷發(fā)布漏洞細節(jié)的危險性,目前在法律上還處于模糊地帶?!北本┼]電大學互聯(lián)網(wǎng)治理與法律研究中心常務副主任謝永江說。
檢測漏洞的法律邊界在哪
在袁煒案中,獲取網(wǎng)站信息成為其被捕的重要原因?!笆兰o佳緣”一方委托了一家司法鑒定所對其服務器日志進行鑒定,鑒定意見顯示,“世紀佳緣”網(wǎng)在2015年12月3日17時許至2015年12月4日10時許,被“124.160.67.131”等11個IP地址非法訪問,入侵者對網(wǎng)站數(shù)據(jù)庫進行了讀取操作,涉及讀取操作的數(shù)據(jù)庫數(shù)據(jù)信息為932條。
在袁煒案引發(fā)的討論中,很多程序員認為“白帽子”挖掘漏洞涉及讀取信息,善意獲取不違法。對此,黃道麗表示,“我國刑法規(guī)范的是所有未經(jīng)授權訪問計算機信息系統(tǒng)的行為,這些并非直接針對漏洞挖掘行為的規(guī)定。任何主體若利用系統(tǒng)安全漏洞實施了入侵行為,均可能觸犯刑法規(guī)定,都可能被追責。未經(jīng)授權侵入計算機信息系統(tǒng)也是各國刑事立法共同打擊的行為?!痹谡J定標準上,黃道麗解釋道,根據(jù)兩高司法解釋,獲取網(wǎng)絡金融服務的身份認證信息以外的其他身份認證信息500組以上就構成刑法所規(guī)定的“情節(jié)嚴重”,入侵者將面臨三年以下有期徒刑或者拘役,并處或者單處罰金?!斑@一量化標準在制定過程中經(jīng)過了大量的實證檢驗和研討論證,規(guī)定本身沒有問題。有人認為袁煒作為‘白帽子’當中的‘新人’多獲取了一些數(shù)據(jù)無可厚非,但這不是定罪應當考慮的因素?!?
實踐中,還存在“白帽子”使用和黑客相同的軟件進行漏洞測試的情況,比如袁煒就使用了一款名為SQLmap的安全測試軟件,這個軟件自帶緩存功能,會自動將測試信息存儲到本地的一個隱藏文件夾。
“如果‘白帽子’在挖掘漏洞過程中使用的自動化工具導致獲取的數(shù)據(jù)量觸犯刑法,他們應考慮調整功能或使用其他規(guī)范化工具?!秉S道麗告訴記者,實踐中,“白帽子”作為技術人員,對法律知識知之甚少,當前較為迫切的問題是立法規(guī)范、引導“白帽子”,為其創(chuàng)造合適的法律環(huán)境。
“當前,并沒有法律對挖掘漏洞行為進行具體規(guī)范,刑法主要從行為的角度進行規(guī)制。在認定‘白帽子’是否善意破解、測試漏洞時,主要強調結果。因為當事人當時的主觀意志無法客觀鑒定,既有可能是測試的疏忽,也可能是一念之差,故意留存了數(shù)據(jù)?!敝x永江表示,在法律不明確的情況下,“白帽子”挖掘漏洞行為本身帶有風險,而現(xiàn)有的法律規(guī)范傾向于保護企業(yè)利益。如果袁煒的行為確實構成了法律規(guī)定的獲取信息的定罪標準,仍然需要承擔相應的法律責任。
目前我國對“白帽子”善意挖掘漏洞的法律規(guī)范并沒有形成系統(tǒng)的法律體系,比較零散地體現(xiàn)在一些法律法規(guī)以及部門規(guī)章里,例如保守國家秘密法、治安管理處罰法、刑法等,這些法律并沒有明確劃定“白帽子”的行為邊界。黃道麗強調,在新的法律和配套規(guī)定出臺前,現(xiàn)有法律和司法解釋的規(guī)定,應成為“白帽子”實施挖掘行為必須接受和前置考慮的一個客觀要求。
應盡快制定行業(yè)標準
“法律永遠滯后于技術發(fā)展。”作為中國網(wǎng)絡空間安全協(xié)會理事的謝永江表示,召集專業(yè)人士通過行業(yè)協(xié)會制定“白帽子”挖掘漏洞、提交漏洞的行業(yè)標準更為快捷。行業(yè)準則可以制定“白帽子”的注冊標準,規(guī)范使用工具,對挖掘行為的邊界形成行業(yè)共識,統(tǒng)一挖掘漏洞的授權規(guī)則。黃道麗也認為,法律規(guī)范需要進一步完善并合理化,具體的技術規(guī)范則可以交給市場優(yōu)化解決。
對比烏云網(wǎng)的對公眾強制披露制度、只對廠商內部披露的補天模式以及國家信息安全漏洞共享平臺模式,謝永江認為,漏洞平臺對公眾強制披露漏洞,存在著現(xiàn)實和法律風險:首先,公眾對漏洞細節(jié)不一定了解,遑論采取相對應的防范措施;其次,披露漏洞細節(jié)可能引來“黑帽子”的攻擊,加重漏洞的危害。不過,如果廠商在接到漏洞報告后不修復漏洞,導致用戶信息因該漏洞泄露,“白帽子”的漏洞報告就可以成為廠商不履行網(wǎng)絡安全管理義務、在用戶信息泄露事件上存在過失的證據(jù),用戶因此產(chǎn)生的損失就可以索賠。
西安交通大學法學院與360公司曾就“白帽子”挖掘漏洞的獎勵模式進行了專題研究,并發(fā)布了《白帽子安全漏洞挖掘風險報告》。當前多種漏洞披露平臺具有一定的嘗試和探索意義?!皬哪壳皣鴥韧饴┒雌脚_的發(fā)展階段看,似乎也不存在一種單一的模式?!眳⑴c撰寫該報告的黃道麗告訴記者。
報告顯示,“臉書”(Facebook)僅在2015年就給210名“白帽子”發(fā)放了93.6萬美元的漏洞獎勵。漏洞賞金計劃、漏洞購買計劃(VPPs)以及漏洞獎勵計劃吸引更多“白帽子”加入安全防護研究,已經(jīng)成為網(wǎng)絡安全領域司空見慣的事情。
在國外漏洞眾測平臺“第一黑客”(HackerOne)上,由眾測企業(yè)向黑客支付發(fā)現(xiàn)漏洞的獎勵,“第一黑客”則從企業(yè)獎勵中抽取20%的費用?!暗谝缓诳汀边€向企業(yè)提供付費服務模式,如漏洞訂閱服務、漏洞披露指導、安全咨詢等。目前,“第一黑客”已幫助500多家企業(yè)找出2萬多個漏洞,向3200多名獨立安全研究員發(fā)放了600多萬美元的獎勵,單個漏洞獎勵最多達到3萬美元。從國際實踐來看,相比目前我國企業(yè)較低的漏洞獎勵金額,黑市交易的高額回報顯然更具誘惑力,這也是黑市產(chǎn)業(yè)鏈形成和發(fā)展的關鍵因素。黃道麗表示,“‘白帽子’是一群崇尚自由的群體,憑借自身對技術的追求或對網(wǎng)絡安全的維護之心等挖掘漏洞,期望從中實現(xiàn)不同的價值,所以‘白帽子’不會因為商業(yè)化而消失。因此,建立長效高額的安全漏洞獎勵機制是支持和鼓勵‘白帽子’的最佳方式?!?
國外“白帽子”如何免責
實際上,國內外都有大量的數(shù)據(jù)泄露安全事件發(fā)生。只不過,一方面,知曉漏洞曝光或數(shù)據(jù)泄露需要用戶本身具有一定的技術能力,另一方面,是否采取法律行動需要相應法律能力和成本。黃道麗表示,目前“白帽子”單純因為漏洞挖掘被立案的新聞并不多,但并不表示違反法律的挖掘行為沒有或較少發(fā)生。如何通過法律規(guī)范“白帽子”行為,成為一項值得研究的重要課題。
從各國法律來看,對于挖掘安全漏洞的行為,一般會根據(jù)主體與行為動機規(guī)定不同的法律后果。比如美國,早在1998年《數(shù)字千年版權法》中就規(guī)定了安全測試(包括“白帽子”)的界限:安全漏洞信息的獲取和利用,僅以保障被測試計算機系統(tǒng)的所有人或運營人的安全為目的。
對于“白帽子”等團隊或個人合法獲取的漏洞信息,美國《網(wǎng)絡安全法》還規(guī)定了未取得廠商授權時的披露規(guī)則:首先,披露者應采取適當措施,保護所掌握的漏洞信息;其次,披露時應當去除可以用于識別特定人的信息;第三,不得使用漏洞信息獲得不公平的競爭優(yōu)勢。同時,“白帽子”可以以“善意辯護”豁免挖掘漏洞的法律責任。
在漏洞檢測和披露問題上,11月7日剛剛公布的《中華人民共和國網(wǎng)絡安全法》規(guī)定:“開展網(wǎng)絡安全認證、檢測、風險評估等活動,向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等網(wǎng)絡安全信息,應當遵守國家有關規(guī)定?!秉S道麗表示,網(wǎng)絡安全法的出臺,為可能涉及民間自發(fā)的漏洞挖掘和公布內容的下位法的制定做了鋪墊。
漏洞信息或成戰(zhàn)略資源
《中國互聯(lián)網(wǎng)站發(fā)展狀況及其安全報告(2016)》顯示:截至2015年12月底,中國網(wǎng)站總量達到426.7萬余個;而由于各種各樣安全漏洞的存在,網(wǎng)站面臨著黑客以癱瘓目標業(yè)務系統(tǒng)、竊取用戶有價值信息等為主要目的的攻擊威脅,公共互聯(lián)網(wǎng)環(huán)境仍面臨較為嚴峻的安全態(tài)勢。
“信息技術的迅速發(fā)展促進了計算機規(guī)模的膨脹,增加了個人、企業(yè)乃至社會和國家對網(wǎng)絡安全的需求。‘黑帽子’‘灰帽子’等利用漏洞進行攻擊的事件層出不窮,且手段愈發(fā)多樣化和高明,網(wǎng)絡風險的泛在性使得安全成為普遍性的問題,‘白帽子’因其道德和倫理偏向成為企業(yè)甚至政府機構獲取漏洞、升級系統(tǒng)的重要途徑,在維護信息系統(tǒng)方面的作用不可替代。”黃道麗說。
國家互聯(lián)網(wǎng)應急中心運行部副主任嚴寒冰也表示,2009年以后,多家漏洞報告平臺的陸續(xù)成立,如補天平臺、烏云網(wǎng)、漏洞盒子,“白帽子”發(fā)現(xiàn)并上報漏洞已經(jīng)成為整個漏洞發(fā)現(xiàn)處置體系中的重要環(huán)節(jié)。
網(wǎng)絡安全漏洞關系到企業(yè)和個人的信息安全,甚至涉及國家安全。“發(fā)達國家早已把漏洞信息當作一種戰(zhàn)略資源?!敝x永江表示。
比如2013年,世界主要工業(yè)設備和武器制造國在常規(guī)武器及其民用技術協(xié)定《瓦森納協(xié)定》中規(guī)定,零日(0day)漏洞(指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞)也屬于危險武器出口條約的規(guī)范對象。不僅漏洞信息本身被禁止用于犯罪或出口至“專制政權”,相應的用于入侵計算機系統(tǒng)的軟件、硬件設備和組件也受到同等限制。2015年5月20日,美國工業(yè)與安全局發(fā)布一份《瓦森納協(xié)定》的落實草案,其中就規(guī)定,禁止在不同的國家之間互通漏洞信息。據(jù)此,美國企業(yè)或個人向境外廠商報告漏洞情況被視為一種出口行為,需預先申請政府許可,否則將被視為非法。
“漏洞信息本身具有一定的應用價值,我認為,可以在國家層面建立漏洞信息庫,收購企業(yè)以及包括’白帽子‘在內的個人發(fā)現(xiàn)的漏洞,在網(wǎng)絡戰(zhàn)爭日益成為現(xiàn)實的情況下,未雨綢繆,做好技術儲備工作?!敝x永江建議。
漏洞信息的挖掘與保護也得到了我國政府的關注。4月19日,國家主席習近平在網(wǎng)絡安全和信息化工作座談會上強調,“要建立統(tǒng)一高效的網(wǎng)絡安全風險報告機制、情報共享機制、研判處置機制,準確把握網(wǎng)絡安全風險發(fā)生的規(guī)律、動向、趨勢。要建立政府和企業(yè)網(wǎng)絡安全信息共享機制,把企業(yè)掌握的大量網(wǎng)絡安全信息用起來,龍頭企業(yè)要帶頭參加這個機制?!甭┒窗l(fā)現(xiàn)還被作為“提升全天候全方位感知網(wǎng)絡安全態(tài)勢能力”的重要內容,寫入我國《國家信息化發(fā)展戰(zhàn)略綱要》。
謝永江透露,中國網(wǎng)絡空間安全協(xié)會目前正在籌建中,將來也會成立分會,對包括“白帽子”問題、安全漏洞的法律定位等進行專門研究。(來源:檢察日報)