Loading
0

世纪佳缘测试漏洞事件后 白帽的正确姿势是什么

搜狐科技 文/丁丁

最近,世纪佳缘的网络服务器,每天受到的网络攻击数量上升到十万量级别。而之前,其每天受到的网络攻击只有一两千次。

世纪佳缘受攻击次数大幅提升的背后,与最近一起企业状告黑客疑似窃取用户数据不无关系。

事件本身孰是孰非已不重要

这一事件还要从2015年底说起。

根据世纪佳缘CEO吴琳光发布的信息显示,2015年12月3日晚上,世纪佳缘负责网络安全的同事发现多个IP地址对网站进行SQL网络注入攻击。12月4日,有合作关系的乌云网,按惯例通知世纪佳缘网站存在SQL数据库注入漏洞。世纪佳缘随后确认并修补了这个漏洞,同时在乌云网上对白帽子表示致谢。事后统计,这次事件中,攻击总次数累计达到4000余次,共有900多条有效数据被攻击者获取。出于对用户数据和信息安全的担忧,世纪佳缘选择了报警。

世纪佳缘相关人士对搜狐科技表示,由于受到多个IP地址攻击,世纪佳缘当时认为这一事件中可能涉及到多个黑客。报警之后,通过警方的调查,才发现只有袁炜一个人涉嫌此案。吴琳光发布的信息显示,4月12日,北京市朝阳区人民检察院依据“非法获取计算机信息系统数据犯罪”批准逮捕涉案人袁炜。目前案件还在走司法程序,世纪佳缘也相信司法机关会依据事实公平公正处理这个案子。

吴琳光否认了在这一事件中世纪佳缘“钓鱼”的说法。吴琳光称,世纪佳缘报警的初衷是为了对用户隐私和信息安全负责,并不针对任何个人或群体。袁炜被批捕后,袁炜的家属、世纪佳缘及乌云三方也曾共同坐在一起沟通过此事。吴琳光表示,这个事情已经进入司法公诉程序,世纪佳缘能做的有限,毕竟起诉人不是世纪佳缘,而是检方。

搜狐科技对比后发现,世纪佳缘对外宣称的事件经过与报警时的细节,与袁炜父亲袁冠阳在第四届网络安全大会上散发的资料有一些出入。

对于此次事件的具体细节及这一事件的本身,包括乌云网创始人方小顿在内的安全圈人士对搜狐科技表明了一个态度,这一事件本身当事各方孰是孰非现在已经不重要。重要的在于,业界通过这一事件,要吸引教训,明确界定安全测试的法律边界,成为规范网络安全从业人员行为的一个标志性事件。

世纪佳缘袁炜事件形成三大阵营

据搜狐科技了解,世纪佳缘袁炜事件发生后,安全圈内部引起了广泛的讨论,并形成了三大阵营。

一大阵营认为,目前绝大多数测试行动都是在没有得到厂商授权的情况下进行的,因此,以后的所有安全渗透测试,都需要提前得到厂商的授权。但这只是理想状态,如果厂商不授权,也就意味着白帽黑客的探测,都涉嫌违法犯罪。

另一阵营认为,世纪佳缘的做法属于“钓鱼”,恩将仇报。以后如果再发现相关厂商的漏洞,就不再给其提交,而是转入黑产,进行拖库。这种想法明显是在与相关厂商赌气,因为如果发现漏洞后进一步获取更多数据,甚至拖库、交易数据的行为,已经触犯刑法285、286条文规定。

再有就是中间派,这一阵营占了大多数。中间派别认为,这一事件中,各方的做法都有欠妥的地方。企业的做法不像是一个公司对付安全漏洞正确的态度,只会让事情走向反面;黑客测试过程中由于各种原因可能下载了较多的数据,需要相关部门评判;乌云等平台方一般与企业之间也有商业合作关系,也应该规范白帽子的行为。

在这类事件中,平台方出于自身的利益,可能也较难处理与厂商的关系。平台方弱势的话对自身不利,强势的话又像是在利用漏洞进行勒索。

但不管如何,各方在这个过程中,不能违法是底线。江苏省公安厅网安总队科长、公安部网络安全专家童瀛就表示,网警在执法过程中,会根据法律规定严格执法。白帽黑客也要牢记相关条文中限定的数字,千万不要跨过这些线。童瀛表示,WEB安全的入门教程比较多,入门门槛较低,安全问题也较多。从以往相关案件的处理情况来看,执行渗透入侵的当事人会是“主犯”,要负责主要责任,因此,白帽黑客在做测试时一定要自律。在突破屏障后,多数人都是有好奇心的,只要越线,就会受到法律的处罚。

行走在法律边缘需明确边界

庞大的网络用户群体,成为网络违法犯罪行为的温床。根据此前腾讯发布的《网络黑色产业链年度报告》显示,公安部2014年11月公布的网络犯罪十大典型案例中,仅辽宁网安部门瓦解掉的一个非法入侵韩国网站盗取韩国网民银行存款的特大团伙,涉案金额折合人民币就超过了1000万元。DDoS攻击已形成了一条高度成熟的黑色产业链。腾讯研究院2015年11月对外披露了另一份数据,据称,在网络黑色产业链中,相关黑产从业人员或已达到38万余人,涉及6000多个大大小小的黑产团伙。其中,专职于DDoS黑产的人员高达13万,如果以人均月收入4000元计算,年产值超过100亿元。

据搜狐科技了解,在安全测试领域,对于测试行为有各种称呼,如网络渗透测试、安全审计、网络或风险评估等等。而进行测试的工具也多种多样,绝大多数测试工具在“白帽”黑客手中是发现漏洞并提升业界安全水平的利器,但在“黑帽”或黑产人员手中,却是获取个人或企业隐私信息,为已获利的帮凶。“黑客”到底是白是黑,完全在于一念之间。

一位黑客对搜狐科技透露,世纪佳缘袁炜这一事件,折射出安全行业普遍存在的一个问题,多数从业人员法律意识淡薄。在乌云白帽大会上,搜狐科技从与“黑客”的交流中也感受到,有些黑客在测试或者验证一些网络漏洞时,对入侵过程、入侵行为夸夸其谈,但从不提及这其中涉及的法律问题。

IT与知识产权律师,中国互联网协会信用评价中心法律顾问赵占领表示,从法律角度,国家已经为网络安全行为界定了明确的“边界”。在从业过程中,需要严格按照相关法律法规条文及司法解释规范自己的行为,在这个“边界”之内就可以保护自己的权益。

据了解,目前刑法第285条、286条、287条及刑法修正案(9)对网络安全行为有明确的规定,触犯这些条文会受到法律的严惩。2011年8月,最高人民法院、最高人民检察院针对刑法285、286条专门发布了司法解释,以达到“严惩危害计算机信息系统安全犯罪,保障互联网的运行安全与信息安全”的目的。

2015年6月,《中华人民共和国网络安全法(草案)》发布并公开向社会征集意见,在网络安全法草案中,对入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动,以及为这些活动提供支持、帮助等行为都进行了禁止。同时,草案也要求网络运营者要保护用户数据的安全。

白帽黑客使用检测工具测试网络安全的过程中,也可能会涉及到软件自动缓存的问题。这种情况下,白帽黑客没有主观想获取数据,但程序自动缓存了。从目前的情况来看,相关法律机关可能更倾向于黑客已经获取了数据。因此,在使用检测工具前,白帽黑客或安全从业人员要尽可能了解检测工具的工作原理,测试时要谨慎。

赵占领同时强调,从刑法角度来说,司法解释明确规定了非法获取用户信息的量刑数量,但白帽黑客绝对不要简单地认为,只要其获取的数据低于某个数量,其行为就是安全的,可以不受惩处。比如获取普通用户身份认证信息不到五百组,虽然不用负刑事责任,但根据后果,当事人可能会受治安管理处罚法第29条的规定,受到相应处罚。

腾讯玄武实验室总监于旸(TK教主)认为,这个行业游走在法律边缘是一种情绪化的说法,只有知道了边界在哪里,才能做到“常在河边走也不湿鞋”。每个行业都有相应的法律限制,网络安全从业人员更应搞清楚这些法律条文,才能在从业过程中做到没有后顾之忧。在行侠仗义的时候,顺便调戏妇女,在安全测试的时候,顺便拖库倒卖,都不是英雄和白帽的正确姿势。

厂商对白帽黑客五味杂陈

针对这一事件,安全媒体“安在”也以研讨会的形式进行了讨论。诺亚财富安全负责人顾全民认为,之前他们也收到过类似白帽提交的漏洞。这本来也是一件好事,但是后来他们企业的安全人员进到后台发现,这位“白帽”黑客做了两件事情,但其告诉企业一件事情。这就让企业与白帽之间很难建立信任关系。

万能钥匙安全负责人、安全专家龚蔚(Goodwell)认为,在整个白帽生态中,企业才是绵羊。龚蔚对白帽生态的发展也提出了相关疑问,如白帽子到底白在哪里、白帽的衡量标准、行为准则、诉求等。

小米云平台安全与隐私部首席安全官陈洋在乌云白帽大会上也表示,从厂商角度看,厂商有很重要的职责来保护用户的数据安全。厂商自身一方面会用各种方法去发现并解决问题,白帽子这么多年在帮助企业发现很多盲点,提升了厂商的安全程度。没有白帽子的支持,企业的安全就会落后很多年。但是,厂商也比较害怕白帽子。白帽黑客一些善意的测试,企业比较欢迎。但有时这些“白帽”的测试,有时会导致数据泄露或破坏。有的黑客甚至有些打着白帽子的旗号,去拖库、交易这些数据。

陈洋认为,企业与白帽黑客之间应该是共同促进的关系。一方面白帽黑客能帮助厂商提高安全,另一方面厂商也可以与黑客做一些精神、物质方面的合作。但对用户的数据产生侵犯,就会触控法律红线。

不要低估网警的水平

有的黑客认为其在渗透过程中操作很规范,甚至有人使用多重代理,认为相关部门很难取证。但中科院软件研究所研究员、中国电子学会计算机取证专委会主任委员、公安部三局特聘专家丁丽萍则认为,电子取证的水平已经很高,黑客不能低估网警的水平,不要心存侥幸。

据丁丽萍介绍,对于电子证据,业界已经有共识,认为电子证据是下一代的证据并已经获得认可。符合“三性”(真实性、相关性、合法性)的电子证据能够获得法庭的采用。白帽黑客需要了解警察取证的知识,在测试过程中,可以保留一些能够获得认可的证据,以便能够证明自己的清白。

在2011年底各大平台被拖库事件及斯诺登事件后,网络安全正受到各方的关注。除了用户的隐私,企业安全外,还有国家层面的网络安全。新兴事物的发展要快于法律规范的定制,是一个普遍现象,世纪佳缘袁炜这一事件,无疑在规范网络安全测试行业及黑客的行为中,将成为一个里程碑式的事件。

【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。