“袁煒事件”可能成為中國“白帽子”黑客江湖的轉折點��。
7月20日凌晨���,中國最大漏洞報告平臺烏云網(wǎng)(WooYun)突然無法訪問。網(wǎng)站公告稱���,烏云及相關服務將升級��,并稱將在最短時間內(nèi)回歸�����。
漏洞報告平臺烏云網(wǎng)暫時關閉升級����。
與 此同時�,澎湃新聞(www.thepaper.cn)發(fā)現(xiàn),7月19日���,企業(yè)級互聯(lián)網(wǎng)測試平臺漏洞盒子宣布��,暫停接受互聯(lián)網(wǎng)漏洞與威脅情報����。“白帽子”黑 客報告漏洞的頁面已經(jīng)無法查看�。(編注:在IT界,“白帽子”指的是正面黑客���,他們發(fā)現(xiàn)系統(tǒng)安全漏洞����,不會惡意去利用��,而是公布漏洞�����,讓系統(tǒng)所有方提前修 補漏洞��。)
烏云網(wǎng)和漏洞盒子均是國家信息安全漏洞共享平臺的合作方(一共3個)�����。后者是由國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心,聯(lián)合國內(nèi)重要信息系統(tǒng)單位�����、基礎電信運營商�、網(wǎng)絡安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識庫�。
對于這次漏洞報告平臺的關閉原因,可以從漏洞盒子管理團隊的公告中看出端倪����。公告稱:“近期,漏洞盒子管理團隊將對互聯(lián)網(wǎng)漏洞與威脅情報項目中的流程制度、規(guī)范等進行梳理���。在改進的過程中����,暫停該項目相關漏洞與威脅情報接受����,新的流程將于近期上線。相信能夠幫助‘白帽子’與企業(yè)之間建立真正信任的關系���。”
烏云和漏洞盒子的整治行動��,可能與國內(nèi)“白帽子”黑客圈子里關注度最高的“袁煒事件”有關聯(lián)����。
被逮捕的“白帽子”黑客袁煒父親的公開信《白帽子檢測漏洞到底是不是犯罪?》內(nèi)文。
據(jù)京華時報報道��,袁煒是烏云上的一名白帽子���。2015年12月���,他在烏云提交了其發(fā)現(xiàn)的婚戀交友網(wǎng)站世紀佳緣的系統(tǒng)漏洞���。在世紀佳緣確認��、修復了漏洞并按烏云平臺慣例向漏洞提交者致謝后�,事情突然發(fā)生轉折。世紀佳緣在一個多月后以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報警���,4月份����,袁煒被司法機關逮捕���。在不久前的第四屆網(wǎng)絡安全大會上�,袁煒的父親發(fā)出公開信為兒子鳴冤�,讓袁煒的遭遇成為網(wǎng)絡安全圈的熱門事件。
世紀佳緣CEO吳琳光對此事也高度關注�,并親自回應稱:“在警方披露調(diào)查結果前,世紀佳緣并不了解網(wǎng)站攻擊者與漏洞提交者有何種關聯(lián)��。世紀佳緣報警是出于對用戶隱私和公民信息安全的考慮,并不針對任何個人或組織��。”
“袁煒事件”引發(fā)了IT業(yè)內(nèi)關于“白帽子”黑客行為邊界的大討論����。
國內(nèi)黑客界教父級人物、騰訊玄武實驗室總監(jiān)于旸在微博寫道:“可能很多人不知道:按《刑法》285條第2款及相關司法解釋��,入侵獲取金融證券系統(tǒng)身份認證信息10條以上�����、一般系統(tǒng)500條以上����,就可以判刑。”
“正邪的分界線也絕沒有那么清晰:'白帽子'在未授權情況下對某網(wǎng)站或服務器的滲透測試����,和真正準備盜取數(shù)據(jù)的黑客所做的準備工作是一模一樣的。區(qū)別只在發(fā)現(xiàn)漏洞后的處置上��,是報告給管理者����,還是盜走數(shù)據(jù)賣掉�。”軟件從業(yè)人員“蘇莉安”認為����。
相關人士認為,如果烏云無法為“白帽子”提供相應的保護����、輔導、支持����、規(guī)范�����、自律等措施���,“白帽子”黑客被捕之后也沒有提供法律支援等措施���,那么烏云只是保留作為漏洞報告平臺的工具屬性,但其社群屬性就被淡化了����。
“如果最終判定構成犯罪����,將對整個‘白帽子’群體造成極大的震懾����,沒有‘白帽子’還敢去給網(wǎng)站尋找、發(fā)現(xiàn)漏洞���,這對于企業(yè)的商業(yè)利益以及用戶的信息安全都是非常不利的����。”長期研究IT行業(yè)的律師趙占領說���。
國家信息安全漏洞共享平臺的另一合作方——補天漏洞響應平臺尚未受到影響�����。截至7月20日凌晨2時���,澎湃新聞還能在網(wǎng)上看到“白帽子”黑客發(fā)現(xiàn)并報告的漏洞。記者注意到��,該平臺為奇虎360公司旗下���,并寫有《白帽子行為規(guī)范》��,“對于在補天漏洞響應平臺發(fā)布的漏洞���,白帽子需要保證研究漏洞的方法�����、方式���、工具及手段的合法性,補天漏洞響應平臺對此不承擔任何法律責任���。”
烏云是中國最早的漏洞報告平臺,成立于2010年5月��,主要創(chuàng)始人之一為百度前安全專家方小頓——這位1987年出生的國內(nèi)知名黑客“劍心”����,因在2010年2月和百度創(chuàng)始人兼董事長李彥宏一道參加湖南衛(wèi)視《天天向上》節(jié)目,因為女友高歌一首而為人所知�。
烏云網(wǎng)聚集了一群愛好安全技術的“宅男”,他們也被稱作“白帽子”黑客�����,為計算機廠商和安全研究者提供技術上的各種參考以及漏洞bug的修復。他們在烏云上分享漏洞�,只有得到核實并已經(jīng)采取防范措施解決問題后才會被公開漏洞詳情。
如家酒店等開房信息泄露�����、13萬條鐵路售票網(wǎng)站網(wǎng)站12306用戶數(shù)據(jù)泄露�、騰訊7000萬QQ群用戶數(shù)據(jù)泄露等一系列曾經(jīng)轟動社會的泄漏事件,均最早在烏云網(wǎng)上由白帽子報告并引起平臺方的重視��。
對于“白帽子”找到的網(wǎng)絡安全漏洞��,中國廠商的回應并不算熱情�。頂尖“白帽子”黑客團隊KEEN負責人王琦曾告訴澎湃新聞,中國廠商有時候會給予酬金�,但大多數(shù)時候僅僅表示感謝。
京公網(wǎng)安備 11010502041587號