漏洞披露模式的法理與價值:記烏雲白帽大會圓桌論壇
星期四,七月14,2016
前不久,一名白帽子因在協力廠商漏洞平臺提交世紀佳緣網漏洞涉案一事,在業內引起軒然大波,各方面相關人士對事件的看法不盡相同,爭議四起。
在上週五舉行的烏雲白帽大會上,包括法律、安全、警察、互聯網公司、電子取證、漏洞收集平臺、白帽子、媒體等8比特不同領域的專家就世紀佳緣事件涉及的相關法律問題進行了深入探討。現將此次討論的內容編輯整理如下:
論壇主持:安全牛主編李少鵬
論壇嘉賓:
- 電子取證專家——中科院軟件研究所研究員,中國電子學會電腦取證專委會主任委員,公安部三局特聘專家丁麗萍;
- 警察網監——江蘇省公安廳網安總隊科長,公安部網路安全專家童瀛;
- 漏洞研究大牛——騰訊玄武實驗室負責人於暘(TK);
- 漏洞平臺——烏雲創始人方小頓(劍心);
- 法律專家——知名IT與知識產權律師,中國互聯網協會信用評價中心法律顧問趙占領;
- 互聯網公司代表——某知名互聯網公司CSO陳洋;
- 白帽子——烏雲覈心白帽子張瑞東(only_guest)。
左起:丁麗萍、童瀛、於暘、方小頓、趙占領、陳洋、李少鵬、張瑞東
李少鵬(以下簡稱“李”):之前的世紀佳緣事件,相信大家都很瞭解了,這件事情的結果最終將由警方和司法機關最終判定。我們今天更想討論的是,如何規範白帽子的漏洞測試行為?漏洞測試的法律邊界又在哪裡?
李少鵬
希望在座的各位代表和專家,能為白帽子們指出比較實際的邊界,在做安全測試的同時,提升對相關法律的認識,保護好自身,並更好的進行漏洞測試這項工作,為互聯網安全做出更大的貢獻。
一、企業感謝白帽子的貢獻但行為要規範
陳洋(以下簡稱“陳”):我從互聯網公司,也就是從廠商這個角度來談一下這個問題。
陳洋
首先廠商有很重要的職責,就是要保護好我們用戶數據的安全。保護數據一方面要求廠商自己的努力去不斷地發現並解决問題,另一方面白帽子也為此做出了很多貢獻,幫助我們發現了很多自己很難發現的盲點,並且提升了大部分廠商對安全的重視程度。如果沒有這麼多白帽子辛勤的付出,可能現在互聯網整體的安全狀況會比現在落後若干年,可能大家看到的就不是現在的這個樣子,可能有更多的個人資訊和數據在網上流傳。
但從另外一個角度講,廠商也比較害怕這些白帽子。一些很好的、善意的測試我們都非常的歡迎,因為他們能够幫我們完善安全體系。但是有時候可能有一些經意或者不經意的一些行為,可能會導致數據的破壞。甚至還有一些打著白帽子旂號的人拖庫,拖完庫還到處去賣,做一些不好的事情。這個時候從廠商來講,我們也必須要為自己的用戶負責,所以發生這種情況的時候我們可能需要考慮一些其它的途徑。
總體來講,我們還是希望廠商跟白帽子可以達成一個共同促進的關係,白帽子一方面幫助廠商提高安全能力,另外一方面廠商也可以給白帽子一些物質方面的獎勵和一些精神方面的支持。當然,也可以共同推進一些安全標準方面的內容。
李:也就是說從互聯網公司或者廠商的角度來看,還是挺希望白帽子幫忙做這些事情的。態度也是積極的。只不過一些不良行為,要去規範。
陳:對,只要不去觸碰用戶的數據,幫我們指出我們的安全問題,我們是很歡迎的。但是如果你對用戶的數據有接觸行為,這個時候可能就觸碰了那條底線。
二、漏洞測試的界線在哪裡?
李:好的,下麵有請趙律師,從法律的角度來談一談這個事情。
趙占領(以下簡稱“趙”):這個案子,因為具體的情况也不是非常的清楚,而現在也已經進入法律程式,所以我這裡更多是談一些共性的問題,特別是白帽子的滲透測試,這個事情法律的邊界到底在哪裡。
趙占領
我給大家做一個簡單的介紹,這塊可能涉及到刑法的幾個罪名。一個是非法侵入電腦系統罪,這個是有要求的,被入侵對象必須是國家事務或國防系統。但一般情况下,如果不是政府網站的話,這個白帽子一般不會涉及。
第二個,非法獲取電腦資訊數據罪,這個罪名成立需要有三個條件。第一是必須要有入侵,通過其他方法獲取數據,而且情節嚴重。這個“情節嚴重”也是有具體規定,包括幾種情況,一種是金融機構的金融身份認證資訊,是在十組以上,其他的身份認證資訊是在500組以上;或者是非法控制電腦系統,這個前提是要有控制行為存在,20臺以上;還有一個是造成經濟損失的,具體有一個數額。
還有一個就是破壞電腦資訊系統罪,這個要有幾種行為,一個是對於電腦的程式有新增、删除、修改、干擾,或者是對數據有相應的删除行為。
最後一個是使用或者傳播電腦病毒等破壞性程式,並造成影響。當然有些走的更遠,可能涉及到獲取之後再把數據倒賣出去,那是其他的罪名,而且這個是明確違法的行為。
像今天這個我們現在關注的案例,主要涉及到非法獲取電腦資訊系統數據。這裡面白帽子在安全檢測的時候,其邊界是比較有原則性的。具體怎麼操作,這個邊界在哪兒?
我個人的理解,首先有入侵的問題,只是入侵而不符合其他兩個條件的話,這種可能現在還不是一個犯罪,不屬於違法行為,不屬於治安管理處罰法。但現在正在修訂的網路安全法草案,裡面對這個則有新的規定,即使你沒有造成危害,也不符合刑法285規定的三個條件,有可能也違反了網路安全法,雖然現在這個只是草案。所以這是一個要注意的一個地方。
另外在入侵之後,獲取數據這方面,實際上需要重點把握的是身份認證資訊。無論是金融機構的,還是其他系統的,都是指這個。所謂身份認證資訊,包括帳號、密碼、口令、數位憑證等。但是我們可能在檢測過程中,在觸碰這個資訊之前,可能不清楚這個數據到底它是不是身份認證資訊,可能只有你接觸之後才能判斷。但是一旦接觸之後,違法的風險可能就已經存在了。特別是達到500組以上。所以在白帽子在檢測的時候,只要涉及數據這塊,實際上無論它是不是身份認證資訊,從規避自身風險的角度來講還是不要觸碰的為好。因為你不確定這裡面的資訊到底屬於不屬於身份認證資訊。所以從法律的角度講,我覺得應該就到此為止了。
另外,涉及到一個問題,就是我們很多檢測工具在檢測過程中,可能會涉及到自動緩存數據的問題。從白帽子角度講,我可能沒有想獲取這個數據,但是檢測過程中,工具有可能把資料存儲在電腦上。這個情况下,它屬不屬於非法獲取數據,現在也沒有類似的案例可以參考,也不確定我們公安部門和司法機构的態度和做法。但從我個人角度講,我覺得可能他們會更傾向於認為這也是獲取數據。
除非你能提供其他的證據,比如說我檢測過程中,只是從行為上來判斷,我只是進行檢測,而且這個存在我電腦上的數據,我沒有進行任何的修改刪除,甚至沒有接觸。但是,這是一種在有爭議情况下的觀點,最終怎麼認定,現在也是一個非常有爭議的事情。
我個人理解就是從規避這個風險角度來講,你使用的檢測工具,你要盡可能確定它是沒有問題的。大家關心這個案子,這個是可以理解,因為大家很多都是白帽子,或者對安全比較感興趣的朋友,包括我本人也非常關注。但是通過這個案子,我們也希望它能成為對這個行業、對白帽子行為的規範的一個機會,也希望安全行業,白帽子,還有類似於烏雲的漏洞收集平臺,能够更好的發揮其價值。
李:趙律師,你的意思是說,雖然法律這方面的規定可能不是那麼詳細,但是對於白帽子來說,在進行測試的時候,要儘量謹慎和小心?
趙:對,要儘量謹慎。其中最覈心的一點就是不要去接觸這些數據,另外使用的檢測工具也要確認不要有問題。
李:500組數據這個問題,如果是499組呢?是不是就沒問題?
趙:499組可能從刑法角度講是不構成的犯罪的,但是499組獲取的數據,並同時造成危害的,即使不構成刑法,也可以按《治安管理處罰法》去處罰。
李:我明白了,雖然不到那個程度,但仍然是違法的。小頓,你作為烏雲社區的創始人,此次事件發生後烏雲一直沒有發聲,現在請你來談一談。
方小頓(以下簡稱“小頓”):其實我本人一直是說話比較少的,很多人問為什麼烏雲一直沒有出來發聲,因為我本人更喜歡做事情,而不是去說。
方小頓
事情發生後,我們其實也和家屬一直在一起面對這個事情,我們會一起往下走。其實好多事情,我覺得背後有很多的因素和原因。但是這個案子本身還在處理中,所以我們現在也沒有辦法去多講。
但是從烏雲平臺的角度,從我們一直在構建的白帽子和企業關係的角度,這個案子如此受關注是有道理的,這也是烏雲運營這麼多年來,我本人認為唯一一個不是很嚴重的行為而導致這麼嚴重的後果的個案。所以烏雲把各方專家邀請過來,請大家一起具體的來談一談,談一談我們有哪些能做的事情,有哪些我們能幫助家屬,以及幫助更多白帽子的事情。
還有一點我覺得也很重要,就是烏雲將來能做什麼事情?怎麼樣能够從平臺的角度,從整個行業的角度,把白帽子漏洞測試這個事情做好?而不能說因為一個個案,就把很多年積累的東西全部推翻。
現在的事情,法律也好,我相信它一定有一個明確的邊界,有一些明確的東西。我覺得對於將來來說,這個東西更需要我們的關注。
李:TK,我之前看過你寫的一篇關於這個事件的文章,我感覺你又跨了一個界,跨到了法律界(笑)。那麼你就結合法律和安全技術,來談一談吧。
於暘(以下簡稱“TK”):我確實是比較關注和資訊安全相關的法律,因為我本身從事這個行業。實際上從刑法修正案,剛開始針對這塊有約束,我就一直在很仔細地看這個法條,包括後來出的司法解釋等內容。
於暘
為什麼呢?因為你做這行你就需要去看法律,因為跟你有關係,你必須要知道,知道這個邊界在哪裡,你才能“在河邊走而不濕鞋”,你得知道這個河堤的邊沿在什麼地方。如果你根本不知道這個邊沿在哪兒,你跑到河邊走,你就容易濕鞋;可能今天不濕,明天也會濕。但是你如果就在河堤上,在一個很明確的線上,你在這上面走,那就可以保證你的安全。
我們做這個行業,很多人會在類似的案件出來之後,有一種看法,覺得你做這個行業,就是遊走在法律邊緣。我覺得這個看法是一種情緒化。因為法律的邊界,你如果很清晰地知道這一點的話,你就可以達到一個比較安全的狀態。
一般安全會議的圓桌論壇,嘉賓都是搞科技或者搞管理的,但是你看今天咱們的會場,有三比特法律相關人士。所以我覺得咱們今天應該把這個“邊界”搞清楚。可能在座的各位之前很多對這塊沒有特別關注,但是實際上開公司的人,他需要對公司法清楚,搞建築的人則需要對建設方面的政策瞭解清晰,才能保證所做的事情是可以放心的,沒有後顧之憂。同理,搞安全技術的也一樣。
我剛才說到這個情緒化,我也看到現在網上的討論,有兩個方向不同的情緒化。一方面有些人覺得,我早就說你們白帽子是違法的,你看現在終於被抓了,但其實你去問他讓他說一下,到底違了什麼法,他不一定能說上來,因為他是出於某種情緒才這樣說的。還有另外一頭的情緒,這些人覺得白帽子是好心好意為你這個網站提交漏洞,你卻“狗咬呂洞賓”。但其實這也是一種情緒,就是說我們既然談法律,那就說法律到底是怎麼規定的,不要扯到道德上。
另外,人一旦陷入情緒化之後,對概念不太容易講清楚,我們剛才談了半天白帽子,其實談的就是白帽子的行為。但是我看到有些討論,他把這個白帽子的行為泛化,有些白帽子一邊做測試,一邊轉手就把這個數據拿去賣了。這個明顯也是一種情緒化了,你既然都賣數據了,那這個行為還是我們說的白帽子的行為麼?明顯不是!打個可能不太恰當的比方,大俠客行俠仗義的時候順便調戲一下婦女,那就不是大俠而是“淫賊”了。要是有人說這些大俠都不是什麼好東西,這個說法當然就是有問題的,這完全是一種情緒的宣洩,而不是理性的討論。
李:童隊,您從監管從警察的角度給我們談一談?
童瀛(以下簡稱“童”):在這個問題上,我不談具體的案子。但我們國家是法制社會,囙此跟大家提幾個數位,希望大家可以記住。
童瀛
第一個285,第二個286,之後還有10、20和500,另外還有一個5倍。因為這個從我們警方來說,其實這個界線很久之前就存在。我們國家製定了《刑法》之後,就有了第285條和286條,上面都已經寫的很明確了。那麼為什麼我剛才又說到了10和20,這裡有提到獲取金融類的數據是十組。另外可能在這個事情上,大家可能提到更多的是500500組的這個事情,也是一個關鍵點,這個是我們的一個準繩。你到這個線,那我們就可以判你三年。如果超過這個,最後還提到一個5倍的概念,5倍就可能是3到7年這麼一個情况。
作為執法機關來說,我們做我們往常的一些案件當中,很多這種案子,因為在座的更多的都是白帽子,大部分做Web安全。我們覺得Web安全,是一個比較入門的東西,比TK他們做的系統安全相對門檻要低一些。大家的入門的這種教材、環境網上會更多一些,但另一個角度來看,可能Web安全存在問題也就更多一些。
因為在烏雲平臺上,每年漏洞提交上來的數量非常多,而且大部分都是Web安全類的,以前也有過類似的案例,所以我經常會說,白帽子或者做相關事情的人,千萬不要跨了這個線。
可能大家都聽說過,一個WebShell的作者,當時也是入侵了網站拿到了數據,但是這些數據被別人加以利用,最後整個案子的涉案金額達到了400萬元。但定性的時候,第一主犯當時定的就是這個做漏洞測試的人,因為如果你沒有進去,沒拿到數據,那麼之後其他人拿到數據再做的這些事情,也就不可能會發生。所以說在這個裡面,大家一定是以法律為準繩,千萬不要踏過這個線。
另外白帽子在做一些事情的時候,一定要自律。可能當你進去以後,或者說是當你測試這個漏洞成功以後,你可能看到了一些東西。人都是有好奇心的,覺得我再進一步看一看,我再進一步把這個數據再多獲取一點,那我想這時候你可以對照一下我前面說的這些法律條文,如果你越線了,那我們只好用法律來懲罰你。
三、電子取證至關重要
李:謝謝童警官講的這幾個數位,我想大家如果一時記不住的話,可以查一查,但是也不用太關心這些數位,它到底是哪一條,具體是哪一個。因為,我們要遠離底線,而不是接近底線。這樣才能確保“不濕鞋”。接下來由電子取證的權威專家丁老師給大家普及一下電子取證方面的知識。
丁麗萍(以下簡稱“丁”):對這個案件我今天也不具體發表意見,但可以給大家普及一些取證方面的知識。
丁麗萍
電子證據作為現代越來越受重視的一種證據,在2013年的1月1號已經被幾部訴訟法確定為一個獨立的證據。所以如果你犯了法,電子取證的證據是可以給你定罪的。當然它還是在追求一個證明鏈,但是這已經是一個比較重要的證據。人證、物證、下一代就是電子證據,所以這個證據非常重要。但大家要搞清楚,什麼樣的證據法庭上能够採用?怎麼樣取到的什麼樣的證據?由誰來取?
實際上只有符合三性的證據法庭上能够採用。哪三性?就是真實性、相關性、合法性。真實性是什麼?你要證明你提交的證據,從你採集到提交到法庭是沒改過。這是警詧在整個的取證流程中非常注意的一點。而電子證據的特性又决定其實十分容易偽造且極易損毀的。一個圖片可以PS,一個聲音也可以偽造,一個視頻也是可以偽造的。
這些都是電子取證面臨的很多困境,你删除了怎麼辦,修改了怎麼辦,你一個美圖秀秀就可以把這個醜女變成一個美女,那我怎麼把它恢復成原來的狀態,這都很難。
現在電子取證有很多的科技難點,比如說我拿到一個硬碟,你把數據都删除了,而且又覆蓋掉了,那就真是恢復不了的,沒有辦法。所以現在有很多困境,有些案子就是真的是辦不下去,證據真實性很難保障的。有的人說我能够證明我怎麼怎麼樣,但是事實上你很難證明你怎麼怎麼樣,這是第一個真實性。
相關性是什麼呢,我們經常看法庭上審理的時候說這件事情與本案無關,無關事情你不要拿出來,所以電子證據一定要和你這件事情相關的。比如說咱們最近發生的一個案子,如果你拿出來的數據是無關的,法庭也不會用。
最後一點是合法性。合法性很重要,它會要求你“主體合法”而且“過程合法”。主體是什麼?主體合法,就是說誰來取證,誰拿的證據法庭能採用。這個很重要,你不要說我違法了我自己提交證據證明我沒罪。不行,因為你的主體不合法。我們國家的三部訴訟法分別規定了誰來獲取證據,比如說刑事訴訟法就是警詧取證。你比如說警詧抓我,我要證明我沒罪那不行,都是警詧來取證的。你機器裏的東西也是警詧帶走回去取證,不是你自己去選取。
刑事案件的主體一定是警詧取證,民事是誰主張誰取證,咱倆是個平等的法律主體。你告我你要拿出證據,我告你我要拿出證據,原告要拿出證據來,誰主張誰舉證。行政訴訟就是民告官的案子,就是行政機關要負舉證責任。你告了工商局,工商局要拿出證據來證明自己沒事,我的執法合法的,這是舉證責任倒置的情况。所以,你要弄清楚主體,誰是合法的。
然後過程要合法,取證的主體在取證過程中,是要遵循一定的法律和技術規範的。像警詧有執法規範,取證的時候,要怎麼操作,都是有規定的。而且拿走的東西要怎麼包裝,怎麼交接一個單子,這些都是要規範的,而且處理規範是非常嚴格的。而且拿過去的證據要尅隆,原始證據是不能動的,取證分析也都是在備份的數據上來做。
整個的三性,它在整個過程中是要有保障的。警詧取證的工具也是要經過認證。你作為一個白帽子隨意的用一個工具去滲透測試人家,那你說這個工具,他獲取了對方的數據,但你卻說不是我獲取的,是工具自帶的功能。如果你瞭解有這個功能的話,你就不能用。
當然,你也可以通過瞭解這些取證的工具及手段,警詧怎麼取證,自己也在測試的過程中留存一些證據。萬一警詧認為你的證據是有效的,這也是可以的。因為他是主體,你協助他做一些取證,然後他認定了,你這個證據確實是無懈可擊的話也是可以的。所以在整個的滲透測試過程中,你可以逐步的留下一些自己認為能證明自己清白東西。
總結一下,兩點,首先,你不要心存僥倖,取證還是很厲害的,不要心存僥倖說我這次拿點數據誰都不知道,神不知鬼不覺,實際上要想知道,是一定能够知道的。第二,白帽一定要保護自己。有可能的話,為自己留存一些證據。我們可以截個屏,截完屏之後把這個圖片打上雜湊。或者說我可以證明我用的工具是一個什麼樣的功能,根本沒有獲取數據的功能,或者說沒有緩存的功能,只是一個掃描的工具。
大部分的白帽子應該都是好心的。我曾經跟一個退役的警詧辯論,我說人家就是活雷鋒,活雷鋒違法嗎?人家就是想著幫助你企業發現漏洞,讓你補漏洞做的更安全。那你能說我違法嗎?當然,也會有很多人認為你這種行為本身就違法,你憑什麼去人家家看看人家鎖沒鎖門,一看見沒鎖門,又告訴所有人說張家沒鎖門,大家都知道張家在哪兒住。他認為這個行為就違法。其實法律上,大家看看TK的文章就會知道,這個行為不違法。但是如果說你知道他沒鎖門又進去看了看,進去轉了一圈又拿了點東西,這就不行了。
四、如何看待白帽群體及其相關行為
李:大家怎麼去看待白帽子的身份和他們做安全測試,這個行為意味著什麼?TK,你能不能從你自己的科技身份解讀一下如何看待這種職業和他們的行為?白帽們的行為動機又有哪些?
TK:我的研究方向與Web安全還不太一樣,我研究的是系統漏洞。系統漏洞研究的東西是你自己電腦上的,無論是研究軟件漏洞還是硬體漏洞。軟件是我自己電腦上的軟件,硬體也是我買回來的。別說你研究他的漏洞了,你拿錘子砸了都不犯法,自己花錢買的,想怎麼樣就怎麼樣。
但是研究這個網站或者探測這個網站是否存在漏洞這個事情,法律條文是很清晰的。而且無論從道理上講,它的價值、意義,以及從社會角度,從整個資訊安全的產業,或者說去做好這個資訊安全的角度來看,至少在現階段,這個肯定是一件非常有價值的事情。
有一個很明確的實例,不管是中國,還是外國,很多的公司都建立了自己的漏洞獎勵計畫,鼓勵大家對自己的網站做安全測試,而且還會給你獎金。Facebook、AT&T公司,甚至是一些傳統的企業也都推出漏洞獎勵計畫。我們可以去想,為什麼這些企業都這麼搞?為什麼他們都要借助互聯網上他根本都不認識的人而不是自己公司的雇員?因為他們覺得,完全依賴自己的力量,不能够很好的去完成這件事情。而借助整個互聯網上這些科技人員的力量可能是一種更好管道。首先這一點應該是是明確的。
至於說研究科技的動機,每個人有每個人的動機,我覺得最根本的是出於對科技的熱愛。但有的人就是為了拿獎金,比如今天在座的各位,有一些可能是為了換門票,所以也是一種動機。而有的人就是愛顯擺,可能有的人就這樣,我是為了愛顯擺,我就是為了把漏洞曝出去讓大家看我科技很牛。但是愛顯擺不犯法,你只要搞清楚法律邊界,你可以在安全的地方“跳來跳去”,做各種各樣高難度的體操動作都沒關係。但最關鍵的是,你的行為一定是在一個法律邊界內的,在安全的地方。當然如果你能够友善一些,在顯擺自己的時候不要刺激別人,或者說不要去刺激廠商,這樣當然更好,這就和諧了(觀眾大笑)。
李:童警官,您作為公安部門,您怎麼看待白帽子這個身份?您是希望白帽子多一些好一點,還是覺得這個數量應該控制一下?
童:我站在我們警察這個角度上談,因為跟我們成天打交道的大部分都是犯罪嫌疑人之類的,他們從的動機上和興趣出發點上是跟普通的白帽不一樣的,有的是為了掙錢,有的單純是為了破壞。這種興趣愛好,從他們的出發點上就已經錯了,在之後做的每一件事情也都是錯誤的。像我們看的比較多的,在黑產鏈裡面,當他獲取數據時,法律上明文已經有這麼一個條款放在那兒了,他還要去觸碰這個條款,那肯定就是到了法律邊界以外,我們肯定要把這個人給抓了。
他做這個事情,出發點是為了掙錢,他可能把數據散到整個黑產鏈裏。比如很多的撞庫,最終都是為了掙錢。如果是這種行為的話,我們還是希望在坐的最好不要進入。
我們還遇到過一些人,他做漏洞研究的出發點一開始也是為了提升安全,但是他在做的過程當中可能看到了一些數據,他就覺得我把數據拿回來神不會鬼不覺,或者說這個網站不知道,我掛了代理,我有各種各樣的安全措施,我把這個拿回來以後,就可以把這些數據變現掙錢。在這種情況下,我們始終想給大家提醒,慎獨,自己的內心一定要自律。千萬不要在法律上越走越遠,走遠了就拉不回來了,就是拉回來,可能也要經過刑事程式。
另外,我要再強調一個事情,剛才所說的數據標準的多少,我們所說的是刑事案件,是刑法的285和286,那不足這個的情况是不是就不叫犯罪?我們國家還有一個叫治安管理處罰法,在裡面的第29條,這個不是犯罪,但是算違法。
最後,我們也是希望看到這樣白帽子這樣的群體起到積極的作用,但在做這個事情的時候,多和執法機构,包括網路安全的管理機關,多一些溝通,效果可能會好更一點。
李:陳總,您作為廠商代表,白帽子最終是跟廠商提交漏洞,也是直接影響白帽子行為的一方,您怎麼看待白帽子?
陳:雖然我現在代表廠商,但是幾年前我也是白帽。當時還沒有白帽子、黑帽子這麼一說,我也是一個喜歡研究安全的科技愛好者。然後發現了一些問題,當時沒有什麼途徑能够去告訴廠商,怎麼辦,只好去想辦法聯系,於是就這樣進入了安全行業。所以,從白帽子和廠商這兩個角度,我都會有一些體會。
從白帽子的角度來講,最開始都是純粹的一個科技愛好,我很好奇,我想學習,我想知道,但是我需要一些練習的環境。這時候就開始出現了問題,我們看了書,想嘗試一下,可能要去找一個地方,然後很多時候很容易就收不住手,會覺得我是不是可以發現更多的問題。這個時候,就一定要把握住自己的好奇心和好勝心,一不小心走出去,很可能就越走越遠了。
另外,從廠商的角度來講,前面也說到了,攻與防永遠是互相促進的,有攻有防,安全才會做的越來越安全。所以從廠商的角度來講,如果說一個公司長期都沒有任何安全問題,這個公司就不會再對安全有什麼投入,會覺得你花這麼多錢,啥事都沒有,天天找我說要做這個,做那個。我為什麼要聽你忽悠?所以如果不請白帽子來幫我們發現問題的話,企業在安全上的實際投入也會越來越少。
這個帶來的客觀現象就是,企業的安全水准會越來越低。看不見不代表不發生。如果沒有這些白帽子來告訴我們問題的話,實際上我們可能已經被黑產的搞了好幾輪,廠商自己都還不知道。所以從這個角度來講,其實廠商跟白帽子是相輔相成的,特別廠商的安全部門,是非常倚重白帽子的。這也是現在SRC也特別多的原因之一。
五、漏洞披露機制的探討
李:小頓,烏雲除了漏洞收集提交外,還有自己的漏洞披露機制。它實際上在某種程度上成就了現在的烏雲,並給全社會帶來很大的影響。而這個機制一直都是有爭議的,尤其是世紀佳緣事件的出現。你是否可以借這次機會談一下你的想法?
小頓:每個人有自己的角度,企業有企業的角度,律師也有律師的,白帽子也白帽子的角度。但對於一個擁有大量普通用戶的公司來講,是不是也要聽聽用戶的意見?比如對於Uber的用戶來講,他們希望知道放在Uber的錢會不會莫名其妙地遺失,安全做的好不好,該不該綁定信用卡等等。
好多人討論漏洞披露的問題,但是他們卻忽略了用戶本身的意願和態度。我們今天在這裡討論法律,但是用戶對自己數據的安全性是否要有知情權?如何更好的保護好用戶的數據?相比於企業,用戶往往是弱勢的。而烏雲一個更重要的使命就是去做一個生態,從白帽子、企業、用戶三方的角度考慮,最後漏洞一定會公開,但相信這一切是在法律框架之內。
烏雲的漏洞披露期很早就已經不再是90天了,我們也早已經加入了一個披露機制,如果企業有困難,我們會協助解决,實在解决不了,還是會儘量去理解企業難處,防止造成損失。但是這次的事件,讓我意識到一個問題,就是我們之前的邊界是模糊的。囙此我們要在以後,幫助白帽子去知道如何才能更好的保護自己。
很多時候,特別是在中國,行業有很多東西是走在法律前面的。但不管怎樣,烏雲做的事情都會在法律框架之內。我們也希望新的法律能儘早頒佈,希望這個法律能更多考慮到企業考慮到企業的用戶,甚至考慮到白帽子這個群體本身。
我們未來的期望是這樣的,之後烏雲的機制會不斷的優化,而我們也會明確邊界,不會不斷地做漏洞相關的事情,同時我們也會成立一個類似於“白帽子法律援助中心”,也會跟一些行業內的專家合作做這件事情。我們希望白帽子和企業在合理的法律框架之內一樣受到法律保護,同時用戶的權益應該也得到保障,這就是我們的期望。
李:請TK也來談一談漏洞披露機制的問題。
TK:漏洞披露機制不是什麼新鮮事,早在一二十年前就開始討論,遠遠在Web漏洞被關注之前,就已經有過這種“真理”大討論。到了今天,全世界對於漏洞披露機制都有一個共識,那就是“要披露”。為什麼?這些在之前都已經討論的很清晰了,尤其在美國是非常清晰的,他們認為漏洞披露是言論自由的一部分,受憲法的修正案保護,從法律角度講,你無論什麼時候,怎麼披露漏洞,都是合法的。不等90天也合法。這個從法理角度來講沒有問題。
從道義和責任角度,廠商提出要“負責任地披露”。就是說你不能光想著自己顯擺,你要考慮用戶,這在我看來是個很道貌岸然的一個說法。你說我披露漏洞影響用戶,那麼如果我考慮用戶,你要不要考慮用戶?我漏洞報給你你十年也不補是考慮用戶?
為什麼會有一個披露時間期?這個時間其實是妥協出來的,也是一種壓力。而且這個時間也不是說只在中國這樣,大家如果去看美國的cert,他們的披露時間是45天。45天之後不管廠商怎樣,都會公開。這是一個雙方或者多方需要討論的事情,需要一定的妥協,但是肯定會落在中間的某個點,不會說讓某一方完全按照自己想的來。
這裡面覈心的還是企業用戶的利益問題。我們說披露的管道方法或時間不當可能會影響企業的用戶,但是不披露問題也會影響企業用戶這一點,這點有誰也考慮到了?
安全與用戶隱私的關係,有一個里程碑式事件。前幾年曝出的拖庫,令許多人第一次知道有拖庫這件事情。但是在大家知道這件事情之間,拖庫已經拖了很多年了。這個漏洞不披露,不代表沒有人知道,更不代表沒有人會利用,沒有人用它竊取用戶資訊,不代表用戶的利益就不受損害了。漏洞披露的管道方法可以探討,可以採取一種最合適的管道,也許現在披露的管道方法並不一定對,但不披露一定不對!這個是我們討論了幾十年,已經有共識的事情,這也是為什麼全世界,對漏洞的態度都是披露。
丁:這個問題比較敏感,一直以來大家討論就是烏雲有沒有許可權公開人家的漏洞,90天之後你有沒有權力給人家公開。包括警方,官方,大家都有一些質疑和爭議。雖然法律不禁止我們這樣做,但是我覺得網路安全法和刑法一直在改,將來法律會越來越完善。
我自己的觀點是建議烏雲改進漏洞披露的模式。有些廠商是非常歡迎白帽子發現漏洞,既然發現我們網站有漏洞,告訴我們做的更安全,更好。有的也有這樣的情况,我就有漏洞,你管的著嗎?喜歡有漏洞,用不著你管,這種情況也有,而且也無可厚非,他也合法。
大家可以關注一下新頒佈刑法的286條,加了一條企業責任,如果由於企業不注重資訊安全防護,導致用戶資訊安全洩露,如果他要求提供證據,要存證,如果說有一個案子找你提供證據,對烏雲提出了要求,可能更多的企業會歡迎你來挖漏洞,抵觸的會越來越少,但是你也不能指望自己一直走在“法不禁止即可為”的情况下。
大量數據洩露,會造成國家財產,人民利益的損失,建議烏雲跟法律授權的機构提供合作,提供漏洞披露的建議。我建議要改進一些,獲得合法授權來做披露,公安部也有一個資訊披露中心,如果和通告中心合作,你們既然有這麼好的平臺和科技,合作雙贏也挺好。
六、價值標準衡量一切
李:今天的圓桌論壇,緣起世紀佳緣事件。但我的觀察發現,絕大多數人都在爭論案件本身的細節,行不行、對不對、改不改等等。但如果大家能把它提升一下,把它放在長遠的角度來深度思考一下,應該可以認識到這樣一個現象:歷史上任何新事物的產生,都具有一定的破壞性。
工業革命造成污染,但沒有工業革命就沒有現代文明。愛因斯坦發明了相對論,核子弹給人類生存帶來威脅,但冰柜、電視、發電機、核電場、量子力學,它為整個人類帶來的利大還是弊大?同樣,漏洞披露機制給整個行業帶來的價值,對全社會安全意識的影響,是破壞力大還是價值大?我想這個問題大家的心裡應該都有自己的答案。
那麼,我想對這樣一個新生事物,是應該正向的去激勵、去保護,還是應該抵制和打壓,應該是不言自喻的。今天的圓桌論壇就到這裡。謝謝各位老師,各位專家,謝謝論壇所有聽眾的參與!