新闻内容
2016年06月28日 上一期 下一期

“白帽子”走钢丝
第三方漏洞平台惹争议

本报记者 陈宝亮 北京报道

导读

    中国互联网应急中心指出,民间漏洞平台在发挥积极作用的同时,在漏洞披露方面也带来一些问题。例如:披露漏洞之前未及时通知涉事单位、披露信息过于详细容易被黑客组织利用、漏洞信息描述不准确或漏洞披露信息夸大造成社会恐慌等等,对漏洞信息的披露亟待进一步规范。

    

    “白帽子检测漏洞到底是不是犯罪?”最近两日,这是萦绕在多数白帽子心中的问题。“白帽子”描述的是正面的黑客,他们可以识别网络、系统中的漏洞,但会向企业公布漏洞,不恶意利用漏洞。与之相对的是恶意利用漏洞盈利的“黑帽子”。

    2015年6月23日,第四届网络安全大会期间,来自浙江杭州的袁先生以“白帽子检测漏洞到底是不是犯罪”为题,书写《致第四届网络安全大会》的一封信。信中提到,袁先生的儿子是知名第三方漏洞平台——乌云网的注册白帽子,用户名ledoo。2015年12月4日,ledoo在乌云网提交了世纪佳缘一个涉及大量会员信息的漏洞,当时,世纪佳缘确认了这一漏洞,并致谢、修复。

    不过,2016年1月,世纪佳缘向北京市公安局朝阳分局报案称“有4000余条实名注册信息被不法窃取”。

    2016年4月12日,北京市朝阳区人民检察院批准,以涉嫌“非法获取计算机系统数据犯罪”逮捕ledoo。目前该案件正处于检察院审查阶段,ledoo是否违法尚未有定论。但多位接受记者采访的业内人士已经提出观点:“白帽子应该多了解法律,懂得保护自己。”

    白帽子的钢丝

    在诸多讨论中,大多业内人士引用了刑法第二百八十五条对“非法获取计算机信息系统数据犯罪”的规定——“违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取计算机信息系统中存储、处理或者传输的数据”。

    不过,袁先生在信中指出,“ledoo没有意图下载或者主动下载世纪佳缘的任何数据”,“他只是普通白帽子一员,没有谋取任何私利,只是义务检测漏洞,发现漏洞后告知厂家。这也算是犯罪吗?”

    猎豹移动安全专家李铁军在接受记者采访时表示:“业内公认、合法的形式,是取得相应企业的授权。”不过,他也指出:“但这很难实现。如果说只有得到授权才是合法的,企业就是不给授权,现在所有挖洞的都可能违法,这并不利于互联网安全。”

    值得一提的是,真正在意用户数据泄露问题的企业只是少数。大多白帽子尝试过首先向企业反馈漏洞,但经常不被企业重视,甚至遇到过“既然你发现的漏洞,你要负责修复”之类的要求。乌云曾经在2012年发布公告封禁某大型国企,称后者“漠视安全,对于白帽子发现的问题不处理、随意处理,不尊重研究人员”,乌云表示不再与其对话。

    但随着第三方平台的崛起,企业数据漏洞被公布并进入媒体视野。2013年至今,诸如12306、网易邮箱、支付宝、携程等高危数据漏洞问题被乌云白帽子公布,随之引发了大量媒体曝光。舆论倒逼之下,多数企业开始陆续成立安全应急中心(SRC),开始正视安全问题。

    以携程为例,2014年3月,乌云白帽子公布携程的漏洞消息并被媒体曝光,其后携程启动全面安全风险评估。此前,携程还设立了信息安全奖励基金,并表示希望与第三方平台合作,指出潜在安全问题的,携程将给予奖励。此外,世纪佳缘也是乌云的注册企业用户。目前,乌云共公布了40多条世纪佳缘的漏洞信息,这些漏洞已基本确认并修复。

    在乌云注册白帽子之后,ledoo共提交了11个漏洞,其中8个被验证并修复。根据乌云网公布,目前该平台共有2383名白帽子,共公布了接近11万条漏洞信息。除乌云之外,补天平台拥有3287名白帽子,漏洞盒子称自己平台上拥有20977名白帽子。

    根据普华永道发布的《全球信息安全状况调查》,2015年,中国大陆及香港地区检测到的安全事件1245件,相比2014年的241件增长了517%。

    无可否认,白帽子推动了安全事件的曝光,而且仍然有大量的安全事件尚未被发现,根据普华永道报告,2015年,全球企业平均曝光的安全事件超过6583件。

    公布形式争议

    但是,日益增长的安全问题以及曝光事件,与企业的安全管理之间也发生着越来越严重的矛盾。

    2015年6月19日,乌云、补天、漏洞盒子以及百度、新浪、亚马逊等32家企业签署《中国互联网协会漏洞信息披露和处置公约》。中国互联网应急中心指出,民间漏洞平台在发挥积极作用的同时,在漏洞披露方面也带来一些问题。例如:披露漏洞之前未及时通知涉事单位、披露信息过于详细容易被黑客组织利用、漏洞信息描述不准确或漏洞披露信息夸大造成社会恐慌等等,对漏洞信息的披露亟待进一步规范。

    《公约》提出了客观、适时、适度的三个原则,建议“在相关方未接收到漏洞信息、完成漏洞处置前或预定时限前不应提前公开发布漏洞相关信息”。此外,出于减少舆论恐慌的考虑,《公约》建议“去掉‘数千万’、‘身份证’、‘银行卡’等敏感信息”。

    但记者查阅乌云、补天官网发现,目前二者仍然是先披露漏洞,然后联系企业,或者企业通过官网联系方式认领漏洞。而且部分漏洞标题中仍然存在“千万”、“百万”、“银行卡”等字样。

    无疑,企业需要为自己的安全漏洞埋单,但这种被倒逼的方式并不能得到大多企业的认可。据记者了解,一家半年前被乌云披露邮箱漏洞的企业至今仍在执行危机公关。而在这一过程中,第三方漏洞平台的纰漏方式无疑将白帽子摆在了部分企业的对立面。

    需要指出,部分安全公司也并不认可诸如乌云的披露方式。腾讯手机管家安全专家陆兆华认为,“应先同步给企业修复,这样白帽的技术可以借助平台帮助企业规避漏洞被恶意利用的风险。而修复后是否曝光,也没有一定要曝光的做法。漏洞如果还没有修复就曝光,这里的安全风险就非常高,也可能会被黑客不正当利用。”此外,IBM旗下拥有数百安全专家的X-Force团队也采取事后公布的做法,X-Force管理着全球最大的漏洞库,但只有当企业修复漏洞且自行公布后,X-Force才会公布这些漏洞。

    事实上,企业陆续成立安全应急中心,一定程度上也是希望将漏洞问题的影响控制在可控范围内。北京白帽汇科技创始人赵武认为:“目前没有规则,没有权威机构,只有民间自律的体系。看起来的和谐体系只是一个初期妥协的产物,厂商与漏洞平台的所谓合作以及对白帽子的认同,这种平衡如同脆弱的窗户纸,一捅就破。如果厂商觉得漏洞披露弊大于利,必然会反弹。”(编辑:黄锴,邮箱:huangk@21jingji.com)