在網(wǎng)絡(luò)安全領(lǐng)域���,白帽子是一個特殊的群體。他們挖掘漏洞提交給企業(yè)修復(fù)����,確實保護了用戶安全;但是以黑客技術(shù)挖漏洞,又引發(fā)不少爭議甚至法律風(fēng)險�����。
在2月23日360安全應(yīng)急響應(yīng)中心(簡稱360SRC)的三周年慶典活動上,360董事長周鴻祎態(tài)度鮮明地表示,對于善意的白帽子�,企業(yè)應(yīng)給予支持和理解的態(tài)度����,呼吁政府出臺政策對白帽子這類安全人才進行保護和鼓勵�����。360還特別邀請了資深律師講解“白帽子的行為邊界”�����,為白帽子保護自身利益提供法律援助。
未知攻�,焉知防
白帽子是隨著網(wǎng)絡(luò)安全發(fā)展而出現(xiàn)的一個技術(shù)群體����,他們以推動企業(yè)修復(fù)漏洞為目的�����,運用黑客技術(shù)對企業(yè)網(wǎng)絡(luò)和產(chǎn)品進行滲透測試����。
360董事長周鴻祎認為,“很多系統(tǒng)漏洞都是未知的��,你根本不知道它存在����,怎么防御?常用的方式就是我通過模擬攻擊����,就像演習(xí)一樣,也要有紅軍和藍軍�,只有假想的對抗�����,才能把漏洞找出來���。這個角色��,除了企業(yè)自己的安全人員,只有白帽子能扮演��。”
在國外�,谷歌�����、Facebook等互聯(lián)網(wǎng)巨頭率先開始為報告漏洞的白帽子提供資金獎勵�,去年美國國防部還專門舉辦了“攻擊五角大樓網(wǎng)絡(luò)”的黑客比賽,吸引白帽子給自己找漏洞���。中國互聯(lián)網(wǎng)行業(yè)近年來也興起了SRC模式,就是由企業(yè)授權(quán)白帽子進行漏洞挖掘����,并根據(jù)漏洞的危害程度、影響范圍提供對應(yīng)的獎金����。在過去一年,360SRC為白帽子發(fā)放漏洞獎金達到上百萬元�����。
白帽子的“雙刃劍”
黑客挖掘漏洞具有雙面性��,既可能造成網(wǎng)絡(luò)攻擊��,也有利于預(yù)防網(wǎng)絡(luò)攻擊��。白帽子使用黑客攻擊技術(shù)��,和非法入侵之間界限模糊���,加之國內(nèi)并沒有專門針對白帽子的相關(guān)政策,這也讓白帽子常常處在法律風(fēng)險中���。之前有白帽子向某交友網(wǎng)站提交漏洞��,卻被報警抓捕����,這也讓很多白帽子對于給企業(yè)報告漏洞心存忌憚��。
周鴻祎認為����,白帽子檢測一個系統(tǒng)是不是安全的過程��,本身應(yīng)該說都是灰色的�,如果沒有法律保護����,理論上會沒有人再愿意做白帽子����,這樣會掩蓋很多安全問題,反而傷害到用戶利益����。
360SRC三周年活動慶典上,在網(wǎng)絡(luò)安全法領(lǐng)域有著深入研究的陳圣律師提出“白帽子的行為邊界”,詳細解讀了我國現(xiàn)行法律法規(guī)中對白帽子挖掘安全漏洞的多重限制���。從現(xiàn)行法律層面����,對白帽子行為加以引導(dǎo)和規(guī)范��,從而更好地保護白帽子的人身安全。
周鴻祎說��,挖掘和修復(fù)漏洞對于建設(shè)網(wǎng)絡(luò)強國有戰(zhàn)略意義���,如果不能保護安全人才�����,就沒有安全技術(shù)的發(fā)展�,更談不上網(wǎng)絡(luò)安全。
京公網(wǎng)安備 11010502041587號