前不久,一名白帽子因在第三方漏洞平台提交世纪佳缘网漏洞涉案一事,在业内引起轩然大波,各方面相关人士对事件的看法不尽相同,争议四起。
在近日举行的乌云白帽大会上,包括法律、安全、公安、互联网公司、电子取证、漏洞收集平台、白帽子、媒体等8位不同领域的专家就世纪佳缘事件涉及的相关法律问题进行了深入探讨。现将此次讨论的内容编辑整理如下:
论坛主持:安全牛主编李少鹏
论坛嘉宾:
电子取证专家——中科院软件研究所研究员,中国电子学会计算机取证专委会主任委员,公安部三局特聘专家丁丽萍;
公安网监——江苏省公安厅网安总队科长,公安部网络安全专家童瀛;
漏洞研究大牛——腾讯玄武实验室负责人于旸(TK);
漏洞平台——乌云创始人方小顿(剑心);
法律专家——知名 IT 与知识产权律师,中国互联网协会信用评价中心法律顾问赵占领;
互联网公司代表——某知名互联网公司CSO陈洋;
白帽子——乌云核心白帽子张瑞东(only_guest)。
左起:丁丽萍、童瀛、于旸、方小顿、赵占领、陈洋、李少鹏、张瑞东
李少鹏(以下简称“李”):之前的世纪佳缘事件,相信大家都很了解了,这件事情的结果最终将由警方和司法机关最终判定。我们今天更想讨论的是,如何规范白帽子的漏洞测试行为?漏洞测试的法律边界又在哪里?
希望在座的各位代表和专家,能为白帽子们指出比较实际的边界,在做安全测试的同时,提升对相关法律的认识,保护好自身,并更好的进行漏洞测试这项工作,为互联网安全做出更大的贡献。
一、企业感谢白帽子的贡献 但行为要规范
陈洋(以下简称“陈”):我从互联网公司,也就是从厂商这个角度来谈一下这个问题。
首先厂商有很重要的职责,就是要保护好我们用户数据的安全。保护数据一方面要求厂商自己的努力去不断地发现并解决问题,另一方面白帽子也为此做出了很多贡献,帮助我们发现了很多自己很难发现的盲点,并且提升了大部分厂商对安全的重视程度。如果没有这么多白帽子辛勤的付出,可能现在互联网整体的安全状况会比现在落后若干年,可能大家看到的就不是现在的这个样子,可能有更多的个人信息和数据在网上流传。
但从另外一个角度讲,厂商也比较害怕这些白帽子。一些很好的、善意的测试我们都非常的欢迎,因为他们能够帮我们完善安全体系。但是有时候可能有一些经意或者不经意的一些行为,可能会导致数据的破坏。甚至还有一些打着白帽子旗号的人拖库,拖完库还到处去卖,做一些不好的事情。这个时候从厂商来讲,我们也必须要为自己的用户负责,所以发生这种情况的时候我们可能需要考虑一些其它的途径。
总体来讲,我们还是希望厂商跟白帽子可以达成一个共同促进的关系,白帽子一方面帮助厂商提高安全能力,另外一方面厂商也可以给白帽子一些物质方面的奖励和一些精神方面的支持。当然,也可以共同推进一些安全标准方面的内容。
李:也就是说从互联网公司或者厂商的角度来看,还是挺希望白帽子帮忙做这些事情的。态度也是积极的。只不过一些不良行为,要去规范。
陈:对,只要不去触碰用户的数据,帮我们指出我们的安全问题,我们是很欢迎的。但是如果你对用户的数据有接触行为,这个时候可能就触碰了那条底线。
二、漏洞测试的界线在哪里?
李:好的,下面有请赵律师,从法律的角度来谈一谈这个事情。
赵占领(以下简称“赵”):这个案子,因为具体的情况也不是非常的清楚,而现在也已经进入法律程序,所以我这里更多是谈一些共性的问题,特别是白帽子的渗透测试,这个事情法律的边界到底在哪里。
我给大家做一个简单的介绍,这块可能涉及到刑法的几个罪名。一个是非法侵入计算机系统罪,这个是有要求的,被入侵对象必须是国家事务或国防系统。但一般情况下,如果不是政府网站的话,这个白帽子一般不会涉及。
第二个,非法获取计算机信息数据罪,这个罪名成立需要有三个条件。第一是必须要有入侵,通过其他方法获取数据,而且情节严重。这个“情节严重”也是有具体规定,包括几种情况,一种是金融机构的金融身份认证信息,是在十组以上,其他的身份认证信息是在500组以上;或者是非法控制计算机系统,这个前提是要有控制行为存在,20台以上;还有一个是造成经济损失的,具体有一个数额。
还有一个就是破坏计算机信息系统罪,这个要有几种行为,一个是对于计算机的程序有增加、删除、修改、干扰,或者是对数据有相应的删除行为。
最后一个是使用或者传播计算机病毒等破坏性程序,并造成影响。当然有些走的更远,可能涉及到获取之后再把数据倒卖出去,那是其他的罪名,而且这个是明确违法的行为。
像今天这个我们现在关注的案例,主要涉及到非法获取计算机信息系统数据。这里面白帽子在安全检测的时候,其边界是比较有原则性的。具体怎么操作,这个边界在哪儿?
我个人的理解,首先有入侵的问题,只是入侵而不符合其他两个条件的话,这种可能现在还不是一个犯罪,不属于违法行为,不属于治安管理处罚法。但现在正在修订的网络安全法草案,里面对这个则有新的规定,即使你没有造成危害,也不符合刑法285规定的三个条件,有可能也违反了网络安全法,虽然现在这个只是草案。所以这是一个要注意的一个地方。
另外在入侵之后,获取数据这方面,实际上需要重点把握的是身份认证信息。无论是金融机构的,还是其他系统的,都是指这个。所谓身份认证信息,包括帐号、密码、口令、数字证书等。但是我们可能在检测过程中,在触碰这个信息之前,可能不清楚这个数据到底它是不是身份认证信息,可能只有你接触之后才能判断。但是一旦接触之后,违法的风险可能就已经存在了。特别是达到500组以上。所以在白帽子在检测的时候,只要涉及数据这块,实际上无论它是不是身份认证信息,从规避自身风险的角度来讲还是不要触碰的为好。因为你不确定这里面的信息到底属于不属于身份认证信息。所以从法律的角度讲,我觉得应该就到此为止了。
另外,涉及到一个问题,就是我们很多检测工具在检测过程中,可能会涉及到自动缓存数据的问题。从白帽子角度讲,我可能没有想获取这个数据,但是检测过程中,工具有可能把数据存储在电脑上。这个情况下,它属不属于非法获取数据,现在也没有类似的案例可以参考,也不确定我们公安部门和司法机构的态度和做法。但从我个人角度讲,我觉得可能他们会更倾向于认为这也是获取数据。
除非你能提供其他的证据,比如说我检测过程中,只是从行为上来判断,我只是进行检测,而且这个存在我电脑上的数据,我没有进行任何的修改删除,甚至没有接触。但是,这是一种在有争议情况下的观点,最终怎么认定,现在也是一个非常有争议的事情。
我个人理解就是从规避这个风险角度来讲,你使用的检测工具,你要尽可能确定它是没有问题的。大家关心这个案子,这个是可以理解,因为大家很多都是白帽子,或者对安全比较感兴趣的朋友,包括我本人也非常关注。但是通过这个案子,我们也希望它能成为对这个行业、对白帽子行为的规范的一个机会,也希望安全行业,白帽子,还有类似于乌云的漏洞收集平台,能够更好的发挥其价值。
李:赵律师,你的意思是说,虽然法律这方面的规定可能不是那么详细,但是对于白帽子来说,在进行测试的时候,要尽量谨慎和小心?
赵:对,要尽量谨慎。其中最核心的一点就是不要去接触这些数据,另外使用的检测工具也要确认不要有问题。
李:500组数据这个问题,如果是499组呢?是不是就没问题?
赵:499组可能从刑法角度讲是不构成的犯罪的,但是499组获取的数据,并同时造成危害的,即使不构成刑法,也可以按《治安管理处罚法》去处罚。
李:我明白了,虽然不到那个程度,但仍然是违法的。小顿,你作为乌云社区的创始人,此次事件发生后乌云一直没有发声,现在请你来谈一谈。
方小顿(以下简称“小顿”):其实我本人一直是说话比较少的,很多人问为什么乌云一直没有出来发声,因为我本人更喜欢做事情,而不是去说。
事情发生后,我们其实也和家属一直在一起面对这个事情,我们会一起往下走。其实好多事情,我觉得背后有很多的因素和原因。但是这个案子本身还在处理中,所以我们现在也没有办法去多讲。
但是从乌云平台的角度,从我们一直在构建的白帽子和企业关系的角度,这个案子如此受关注是有道理的,这也是乌云运营这么多年来,我本人认为唯一一个不是很严重的行为而导致这么严重的后果的个案。所以乌云把各方专家邀请过来,请大家一起具体的来谈一谈,谈一谈我们有哪些能做的事情,有哪些我们能帮助家属,以及帮助更多白帽子的事情。
还有一点我觉得也很重要,就是乌云将来能做什么事情?怎么样能够从平台的角度,从整个行业的角度,把白帽子漏洞测试这个事情做好?而不能说因为一个个案,就把很多年积累的东西全部推翻。
现在的事情,法律也好,我相信它一定有一个明确的边界,有一些明确的东西。我觉得对于将来来说,这个东西更需要我们的关注。
李:TK,我之前看过你写的一篇关于这个事件的文章,我感觉你又跨了一个界,跨到了法律界(笑)。那么你就结合法律和安全技术,来谈一谈吧。
于旸(以下简称“TK”):我确实是比较关注和信息安全相关的法律,因为我本身从事这个行业。实际上从刑法修正案,刚开始针对这块有约束,我就一直在很仔细地看这个法条,包括后来出的司法解释等内容。
为什么呢?因为你做这行你就需要去看法律,因为跟你有关系,你必须要知道,知道这个边界在哪里,你才能“在河边走而不湿鞋”,你得知道这个河堤的边沿在什么地方。如果你根本不知道这个边沿在哪儿,你跑到河边走,你就容易湿鞋;可能今天不湿,明天也会湿。但是你如果就在河堤上,在一个很明确的线上,你在这上面走,那就可以保证你的安全。
我们做这个行业,很多人会在类似的案件出来之后,有一种看法,觉得你做这个行业,就是游走在法律边缘。我觉得这个看法是一种情绪化。因为法律的边界,你如果很清晰地知道这一点的话,你就可以达到一个比较安全的状态。
一般安全会议的圆桌论坛,嘉宾都是搞技术或者搞管理的,但是你看今天咱们的会场,有三位法律相关人士。所以我觉得咱们今天应该把这个“边界”搞清楚。可能在座的各位之前很多对这块没有特别关注,但是实际上开公司的人,他需要对公司法清楚,搞建筑的人则需要对建设方面的政策了解清晰,才能保证所做的事情是可以放心的,没有后顾之忧。同理,搞安全技术的也一样。
我刚才说到这个情绪化,我也看到现在网上的讨论,有两个方向不同的情绪化。一方面有些人觉得,我早就说你们白帽子是违法的,你看现在终于被抓了,但其实你去问他让他说一下,到底违了什么法,他不一定能说上来,因为他是出于某种情绪才这样说的。还有另外一头的情绪,这些人觉得白帽子是好心好意为你这个网站提交漏洞,你却“狗咬吕洞宾”。但其实这也是一种情绪,就是说我们既然谈法律,那就说法律到底是怎么规定的,不要扯到道德上。
另外,人一旦陷入情绪化之后,对概念不太容易讲清楚,我们刚才谈了半天白帽子,其实谈的就是白帽子的行为。但是我看到有些讨论,他把这个白帽子的行为泛化,有些白帽子一边做测试,一边转手就把这个数据拿去卖了。这个明显也是一种情绪化了,你既然都卖数据了,那这个行为还是我们说的白帽子的行为么?明显不是!打个可能不太恰当的比方,大侠客行侠仗义的时候顺便调戏一下妇女,那就不是大侠而是“淫贼”了。要是有人说这些大侠都不是什么好东西,这个说法当然就是有问题的,这完全是一种情绪的宣泄,而不是理性的讨论。
李:童队,您从监管从公安的角度给我们谈一谈?
童瀛(以下简称“童”):在这个问题上,我不谈具体的案子。但我们国家是法制社会,因此跟大家提几个数字,希望大家可以记住。
第一个285,第二个286,之后还有10、20和500,另外还有一个5倍。因为这个从我们警方来说,其实这个界线很久之前就存在。我们国家制定了《刑法》之后,就有了第285条和286条,上面都已经写的很明确了。那么为什么我刚才又说到了10和20,这里有提到获取金融类的数据是十组。另外可能在这个事情上,大家可能提到更多的是500,500组的这个事情,也是一个关键点,这个是我们的一个准绳。你到这个线,那我们就可以判你三年。如果超过这个,最后还提到一个5倍的概念,5倍就可能是3到7年这么一个情况。
作为执法机关来说,我们做我们往常的一些案件当中,很多这种案子,因为在座的更多的都是白帽子,大部分做Web安全。我们觉得Web安全,是一个比较入门的东西,比TK他们做的系统安全相对门槛要低一些。大家的入门的这种教材、环境网上会更多一些,但另一个角度来看,可能Web安全存在问题也就更多一些。
因为在乌云平台上,每年漏洞提交上来的数量非常多,而且大部分都是Web安全类的,以前也有过类似的案例,所以我经常会说,白帽子或者做相关事情的人,千万不要跨了这个线。
可能大家都听说过,一个WebShell的作者,当时也是入侵了网站拿到了数据,但是这些数据被别人加以利用,最后整个案子的涉案金额达到了400万元。但定性的时候,第一主犯当时定的就是这个做漏洞测试的人,因为如果你没有进去,没拿到数据,那么之后其他人拿到数据再做的这些事情,也就不可能会发生。所以说在这个里面,大家一定是以法律为准绳,千万不要踏过这个线。
另外白帽子在做一些事情的时候,一定要自律。可能当你进去以后,或者说是当你测试这个漏洞成功以后,你可能看到了一些东西。人都是有好奇心的,觉得我再进一步看一看,我再进一步把这个数据再多获取一点,那我想这时候你可以对照一下我前面说的这些法律条文,如果你越线了,那我们只好用法律来惩罚你。
三、电子取证至关重要
李:谢谢童警官讲的这几个数字,我想大家如果一时记不住的话,可以查一查,但是也不用太关心这些数字,它到底是哪一条,具体是哪一个。因为,我们要远离底线,而不是接近底线。这样才能确保“不湿鞋”。接下来由电子取证的权威专家丁老师给大家普及一下电子取证方面的知识。
丁丽萍(以下简称“丁”):对这个案件我今天也不具体发表意见,但可以给大家普及一些取证方面的知识。
电子证据作为现代越来越受重视的一种证据,在2013年的1月1号已经被几部诉讼法确定为一个独立的证据。所以如果你犯了法,电子取证的证据是可以给你定罪的。当然它还是在追求一个证明链,但是这已经是一个比较重要的证据。人证、物证、下一代就是电子证据,所以这个证据非常重要。但大家要搞清楚,什么样的证据法庭上能够采用?怎么样取到的什么样的证据?由谁来取?
实际上只有符合三性的证据法庭上能够采用。哪三性?就是真实性、相关性、合法性。真实性是什么?你要证明你提交的证据,从你采集到提交到法庭是没改过。这是警察在整个的取证流程中非常注意的一点。而电子证据的特性又决定其实十分容易伪造且极易损毁的。一个图片可以PS,一个声音也可以伪造,一个视频也是可以伪造的。
这些都是电子取证面临的很多困境,你删除了怎么办,修改了怎么办,你一个美图秀秀就可以把这个丑女变成一个美女,那我怎么把它恢复成原来的状态,这都很难。
现在电子取证有很多的技术难点,比如说我拿到一个硬盘,你把数据都删除了,而且又覆盖掉了,那就真是恢复不了的,没有办法。所以现在有很多困境,有些案子就是真的是办不下去,证据真实性很难保障的。有的人说我能够证明我怎么怎么样,但是事实上你很难证明你怎么怎么样,这是第一个真实性。
相关性是什么呢,我们经常看法庭上审理的时候说这件事情与本案无关,无关事情你不要拿出来,所以电子证据一定要和你这件事情相关的。比如说咱们最近发生的一个案子,如果你拿出来的数据是无关的,法庭也不会用。
最后一点是合法性。合法性很重要,它会要求你“主体合法”而且“过程合法”。主体是什么?主体合法,就是说谁来取证,谁拿的证据法庭能采用。这个很重要,你不要说我违法了我自己提交证据证明我没罪。不行,因为你的主体不合法。我们国家的三部诉讼法分别规定了谁来获取证据,比如说刑事诉讼法就是警察取证。你比如说警察抓我,我要证明我没罪那不行,都是警察来取证的。你机器里的东西也是警察带走回去取证,不是你自己去提取。
刑事案件的主体一定是警察取证,民事是谁主张谁取证,咱俩是个平等的法律主体。你告我你要拿出证据,我告你我要拿出证据,原告要拿出证据来,谁主张谁举证。行政诉讼就是民告官的案子,就是行政机关要负举证责任。你告了工商局,工商局要拿出证据来证明自己没事,我的执法合法的,这是举证责任倒置的情况。所以,你要弄清楚主体,谁是合法的。
然后过程要合法,取证的主体在取证过程中,是要遵循一定的法律和技术规范的。像警察有执法规范,取证的时候,要怎么操作,都是有规定的。而且拿走的东西要怎么包装,怎么交接一个单子,这些都是要规范的,而且处理规范是非常严格的。而且拿过去的证据要克隆,原始证据是不能动的,取证分析也都是在备份的数据上来做。
整个的三性,它在整个过程中是要有保障的。警察取证的工具也是要经过认证。你作为一个白帽子随意的用一个工具去渗透测试人家,那你说这个工具,他获取了对方的数据,但你却说不是我获取的,是工具自带的功能。如果你了解有这个功能的话,你就不能用。
当然,你也可以通过了解这些取证的工具及手段,警察怎么取证,自己也在测试的过程中留存一些证据。万一警察认为你的证据是有效的,这也是可以的。因为他是主体,你协助他做一些取证,然后他认定了,你这个证据确实是无懈可击的话也是可以的。所以在整个的渗透测试过程中,你可以逐步的留下一些自己认为能证明自己清白东西。
总结一下,两点,首先,你不要心存侥幸,取证还是很厉害的,不要心存侥幸说我这次拿点数据谁都不知道,神不知鬼不觉,实际上要想知道,是一定能够知道的。第二,白帽一定要保护自己。有可能的话,为自己留存一些证据。我们可以截个屏,截完屏之后把这个图片打上哈希。或者说我可以证明我用的工具是一个什么样的功能,根本没有获取数据的功能,或者说没有缓存的功能,只是一个扫描的工具。
大部分的白帽子应该都是好心的。我曾经跟一个退役的警察辩论,我说人家就是活雷锋,活雷锋违法吗?人家就是想着帮助你企业发现漏洞,让你补漏洞做的更安全。那你能说我违法吗?当然,也会有很多人认为你这种行为本身就违法,你凭什么去人家家看看人家锁没锁门,一看见没锁门,又告诉所有人说张家没锁门,大家都知道张家在哪儿住。他认为这个行为就违法。其实法律上,大家看看TK的文章就会知道,这个行为不违法。但是如果说你知道他没锁门又进去看了看,进去转了一圈又拿了点东西,这就不行了。
四、如何看待白帽群体及其相关行为
李:大家怎么去看待白帽子的身份和他们做安全测试,这个行为意味着什么?TK,你能不能从你自己的技术身份解读一下如何看待这种职业和他们的行为?白帽们的行为动机又有哪些?
TK:我的研究方向与Web安全还不太一样,我研究的是系统漏洞。系统漏洞研究的东西是你自己电脑上的,无论是研究软件漏洞还是硬件漏洞。软件是我自己电脑上的软件,硬件也是我买回来的。别说你研究他的漏洞了,你拿锤子砸了都不犯法,自己花钱买的,想怎么样就怎么样。
但是研究这个网站或者探测这个网站是否存在漏洞这个事情,法律条文是很清晰的。而且无论从道理上讲,它的价值、意义,以及从社会角度,从整个信息安全的产业,或者说去做好这个信息安全的角度来看,至少在现阶段,这个肯定是一件非常有价值的事情。
有一个很明确的实例,不管是中国,还是外国,很多的公司都建立了自己的漏洞奖励计划,鼓励大家对自己的网站做安全测试,而且还会给你奖金。Facebook、AT&T公司,甚至是一些传统的企业也都推出漏洞奖励计划。我们可以去想,为什么这些企业都这么搞?为什么他们都要借助互联网上他根本都不认识的人而不是自己公司的雇员?因为他们觉得,完全依赖自己的力量,不能够很好的去完成这件事情。而借助整个互联网上这些技术人员的力量可能是一种更好方式。首先这一点应该是是明确的。
至于说研究技术的动机,每个人有每个人的动机,我觉得最根本的是出于对技术的热爱。但有的人就是为了拿奖金,比如今天在座的各位,有一些可能是为了换门票,所以也是一种动机。而有的人就是爱显摆,可能有的人就这样,我是为了爱显摆,我就是为了把漏洞曝出去让大家看我技术很牛。但是爱显摆不犯法,你只要搞清楚法律边界,你可以在安全的地方“跳来跳去”,做各种各样高难度的体操动作都没关系。但最关键的是,你的行为一定是在一个法律边界内的,在安全的地方。当然如果你能够友善一些,在显摆自己的时候不要刺激别人,或者说不要去刺激厂商,这样当然更好,这就和谐了(观众大笑)。
李:童警官,您作为公安部门,您怎么看待白帽子这个身份?您是希望白帽子多一些好一点,还是觉得这个数量应该控制一下?
童:我站在我们公安这个角度上谈,因为跟我们成天打交道的大部分都是犯罪嫌疑人之类的,他们从的动机上和兴趣出发点上是跟普通的白帽不一样的,有的是为了挣钱,有的单纯是为了破坏。这种兴趣爱好,从他们的出发点上就已经错了,在之后做的每一件事情也都是错误的。像我们看的比较多的,在黑产链里面,当他获取数据时,法律上明文已经有这么一个条款放在那儿了,他还要去触碰这个条款,那肯定就是到了法律边界以外,我们肯定要把这个人给抓了。
他做这个事情,出发点是为了挣钱,他可能把数据散到整个黑产链里。比如很多的撞库,最终都是为了挣钱。如果是这种行为的话,我们还是希望在坐的最好不要进入。
我们还遇到过一些人,他做漏洞研究的出发点一开始也是为了提升安全,但是他在做的过程当中可能看到了一些数据,他就觉得我把数据拿回来神不会鬼不觉,或者说这个网站不知道,我挂了代理,我有各种各样的安全措施,我把这个拿回来以后,就可以把这些数据变现挣钱。在这种情况下,我们始终想给大家提醒,慎独,自己的内心一定要自律。千万不要在法律上越走越远,走远了就拉不回来了,就是拉回来,可能也要经过刑事程序。
另外,我要再强调一个事情,刚才所说的数据标准的多少,我们所说的是刑事案件,是刑法的285和286,那不足这个的情况是不是就不叫犯罪?我们国家还有一个叫治安管理处罚法,在里面的第29条,这个不是犯罪,但是算违法。
最后,我们也是希望看到这样白帽子这样的群体起到积极的作用,但在做这个事情的时候,多和执法机构,包括网络安全的管理机关,多一些沟通,效果可能会好更一点。
李:陈总,您作为厂商代表,白帽子最终是跟厂商提交漏洞,也是直接影响白帽子行为的一方,您怎么看待白帽子?
陈:虽然我现在代表厂商,但是几年前我也是白帽。当时还没有白帽子、黑帽子这么一说,我也是一个喜欢研究安全的技术爱好者。然后发现了一些问题,当时没有什么途径能够去告诉厂商,怎么办,只好去想办法联系,于是就这样进入了安全行业。所以,从白帽子和厂商这两个角度,我都会有一些体会。
从白帽子的角度来讲,最开始都是纯粹的一个技术爱好,我很好奇,我想学习,我想知道,但是我需要一些练习的环境。这时候就开始出现了问题,我们看了书,想尝试一下,可能要去找一个地方,然后很多时候很容易就收不住手,会觉得我是不是可以发现更多的问题。这个时候,就一定要把握住自己的好奇心和好胜心,一不小心走出去,很可能就越走越远了。
另外,从厂商的角度来讲,前面也说到了,攻与防永远是互相促进的,有攻有防,安全才会做的越来越安全。所以从厂商的角度来讲,如果说一个公司长期都没有任何安全问题,这个公司就不会再对安全有什么投入,会觉得你花这么多钱,啥事都没有,天天找我说要做这个,做那个。我为什么要听你忽悠?所以如果不请白帽子来帮我们发现问题的话,企业在安全上的实际投入也会越来越少。
这个带来的客观现象就是,企业的安全水平会越来越低。看不见不代表不发生。如果没有这些白帽子来告诉我们问题的话,实际上我们可能已经被黑产的搞了好几轮,厂商自己都还不知道。所以从这个角度来讲,其实厂商跟白帽子是相辅相成的,特别厂商的安全部门,是非常倚重白帽子的。这也是现在SRC也特别多的原因之一。
五、漏洞披露机制的探讨
李:小顿,乌云除了漏洞收集提交外,还有自己的漏洞披露机制。它实际上在某种程度上成就了现在的乌云,并给全社会带来很大的影响。而这个机制一直都是有争议的,尤其是世纪佳缘事件的出现。你是否可以借这次机会谈一下你的想法?
小顿:每个人有自己的角度,企业有企业的角度,律师也有律师的,白帽子也白帽子的角度。但对于一个拥有大量普通用户的公司来讲,是不是也要听听用户的意见?比如对于Uber的用户来讲,他们希望知道放在Uber的钱会不会莫名其妙地丢失,安全做的好不好,该不该绑定信用卡等等。
好多人讨论漏洞披露的问题,但是他们却忽略了用户本身的意愿和态度。我们今天在这里讨论法律,但是用户对自己数据的安全性是否要有知情权?如何更好的保护好用户的数据?相比于企业,用户往往是弱势的。而乌云一个更重要的使命就是去做一个生态,从白帽子、企业、用户三方的角度考虑,最后漏洞一定会公开,但相信这一切是在法律框架之内。
乌云的漏洞披露期很早就已经不再是90天了,我们也早已经加入了一个披露机制,如果企业有困难,我们会协助解决,实在解决不了,还是会尽量去理解企业难处,防止造成损失。但是这次的事件,让我意识到一个问题,就是我们之前的边界是模糊的。因此我们要在以后,帮助白帽子去知道如何才能更好的保护自己。
很多时候,特别是在中国,行业有很多东西是走在法律前面的。但不管怎样,乌云做的事情都会在法律框架之内。我们也希望新的法律能尽早颁布,希望这个法律能更多考虑到企业考虑到企业的用户,甚至考虑到白帽子这个群体本身。
我们未来的期望是这样的,之后乌云的机制会不断的优化,而我们也会明确边界,不会不断地做漏洞相关的事情,同时我们也会成立一个类似于“白帽子法律援助中心”,也会跟一些行业内的专家合作做这件事情。我们希望白帽子和企业在合理的法律框架之内一样受到法律保护,同时用户的权益应该也得到保障,这就是我们的期望。
李:请TK也来谈一谈漏洞披露机制的问题。
TK:漏洞披露机制不是什么新鲜事,早在一二十年前就开始讨论,远远在Web漏洞被关注之前,就已经有过这种“真理”大讨论。到了今天,全世界对于漏洞披露机制都有一个共识,那就是“要披露”。为什么?这些在之前都已经讨论的很清晰了,尤其在美国是非常清晰的,他们认为漏洞披露是言论自由的一部分,受宪法的修正案保护,从法律角度讲,你无论什么时候,怎么披露漏洞,都是合法的。不等90天也合法。这个从法理角度来讲没有问题。
从道义和责任角度,厂商提出要“负责任地披露”。就是说你不能光想着自己显摆,你要考虑用户,这在我看来是个很道貌岸然的一个说法。你说我披露漏洞影响用户,那么如果我考虑用户,你要不要考虑用户?我漏洞报给你你十年也不补是考虑用户?
为什么会有一个披露时间期?这个时间其实是妥协出来的,也是一种压力。而且这个时间也不是说只在中国这样,大家如果去看美国的cert,他们的披露时间是45天。45天之后不管厂商怎样,都会公开。这是一个双方或者多方需要讨论的事情,需要一定的妥协,但是肯定会落在中间的某个点,不会说让某一方完全按照自己想的来。
这里面核心的还是企业用户的利益问题。我们说披露的方式方法或时间不当可能会影响企业的用户,但是不披露问题也会影响企业用户这一点,这点有谁也考虑到了?
安全与用户隐私的关系,有一个里程碑式事件。前几年曝出的拖库,令许多人第一次知道有拖库这件事情。但是在大家知道这件事情之间,拖库已经拖了很多年了。这个漏洞不披露,不代表没有人知道,更不代表没有人会利用,没有人用它窃取用户信息,不代表用户的利益就不受损害了。漏洞披露的方式方法可以探讨,可以采取一种最合适的方式,也许现在披露的方式方法并不一定对,但不披露一定不对!这个是我们讨论了几十年,已经有共识的事情,这也是为什么全世界,对漏洞的态度都是披露。
丁:这个问题比较敏感,一直以来大家讨论就是乌云有没有权限公开人家的漏洞,90天之后你有没有权力给人家公开。包括警方,官方,大家都有一些质疑和争议。虽然法律不禁止我们这样做,但是我觉得网络安全法和刑法一直在改,将来法律会越来越完善。
我自己的观点是建议乌云改进漏洞披露的模式。有些厂商是非常欢迎白帽子发现漏洞,既然发现我们网站有漏洞,告诉我们做的更安全,更好。有的也有这样的情况,我就有漏洞,你管的着吗?喜欢有漏洞,用不着你管,这种情况也有,而且也无可厚非,他也合法。
大家可以关注一下新颁布刑法的286条,加了一条企业责任,如果由于企业不注重信息安全防护,导致用户信息安全泄露,如果他要求提供证据,要存证,如果说有一个案子找你提供证据,对乌云提出了要求,可能更多的企业会欢迎你来挖漏洞,抵触的会越来越少,但是你也不能指望自己一直走在“法不禁止即可为”的情况下。
大量数据泄露,会造成国家财产,人民利益的损失,建议乌云跟法律授权的机构提供合作,提供漏洞披露的建议。我建议要改进一些,获得合法授权来做披露,公安部也有一个信息披露中心,如果和通告中心合作,你们既然有这么好的平台和技术,合作双赢也挺好。
六、价值标准衡量一切
李:今天的圆桌论坛,缘起世纪佳缘事件。但我的观察发现,绝大多数人都在争论案件本身的细节,行不行、对不对、改不改等等。但如果大家能把它提升一下,把它放在长远的角度来深度思考一下,应该可以认识到这样一个现象:历史上任何新事物的产生,都具有一定的破坏性。
工业革命造成污染,但没有工业革命就没有现代文明。爱因斯坦发明了相对论,原子弹给人类生存带来威胁,但冰箱、电视、发电机、核电场、量子力学,它为整个人类带来的利大还是弊大?同样,漏洞披露机制给整个行业带来的价值,对全社会安全意识的影响,是破坏力大还是价值大?我想这个问题大家的心里应该都有自己的答案。
那么,我想对这样一个新生事物,是应该正向的去激励、去保护,还是应该抵制和打压,应该是不言自喻的。今天的圆桌论坛就到这里。谢谢各位老师,各位专家,谢谢论坛所有听众的参与!
