騰訊員工舉報漏洞被逮捕,“白帽子”的行為邊界到底在哪兒?
23歲的鄭杜濤(音譯)是騰訊的一名安全工程師,因為參加新加坡網路安全會議臨時入住了新加坡的飛龍酒店,出於程式設計師的敏感和好奇,決定監測一下酒店的WiFi伺服器是否存在漏洞。
第一步,他輕鬆的通過谷歌搜尋到了酒店WiFi系統的預設使用者名稱和密碼。在接入酒店WiFi閘道器後,鄭杜濤在接下來的三天內開始執行指令碼,破解檔案和密碼,最後成功登入酒店WiFi伺服器的資料庫。
經過檢查,酒店的伺服器模型確實存在一個漏洞,鄭杜濤利用該漏洞獲取了伺服器訪問許可權,並且在他的個人部落格上,鄭記錄了自己的黑客行為,還在文章裡公開了飛龍酒店WiFi伺服器的管理員密碼...
這篇文章引起了新加坡網路安全域性(CSA)的注意,並對其進行了抓捕。
“披露這些訪問程式碼,鄭杜濤清楚地知道,飛龍酒店的WiFi伺服器上的漏洞極有可能為其他人用於非法目的,從而可能對連鎖酒店造成損失,”新加坡網安局副檢察長 Thiagesh Sukumaran 說,“鄭杜濤先生作為一名網路安全專業人士理應清楚在部落格上公佈管理員密碼後,該密碼為非法目的所利用的可能性極高。”
具體的判決結果目前還不得而知。
按理說幫人發現漏洞是個好事兒,為什麼反而會被抓捕呢?忠言逆耳麼?
這就要給大家介紹一群幕後人物——“白帽子”。
白帽子是相對於黑帽子(即黑客)而言的,他們能識別計算機系統或網路系統中的安全漏洞,但並不會惡意去利用,而是直接向廠商公佈其漏洞,廠家就可以在黑帽子利用該漏洞之前來修補網路安全問題。
所以,白帽子可以說是網路世界的掃地僧,出手於無形而大隱於市,默默的觀察著武林中的暗流。目前主流網路服務商都有專門的部門來接收白帽子的網路漏洞,甚至還向白帽子支付獎金,從而表彰那些為自己網站到找漏洞的白帽子。
像騰訊的那名員工,其實就可以列為“白帽子”的範疇,但對於“白帽子”行為的定義,各個國家的法令是不一樣的。
我國自從去年6月1日《網路安全法》正式實施以後,對白帽子參與滲透測試行為提出了明確的法律要求。而這個法令出臺的原因,有可能和2015年底的一起“白帽子被捕事件”相關。
2015年底,烏雲漏洞平臺上的一名白帽子提交了世紀佳緣的一個安全漏洞,世紀佳緣確認並修補了這個漏洞,同時對這位白帽子表示了致謝。但事後他們發現有900多條有效資料被攻擊者獲取,出於對資訊保安的擔憂,世紀佳緣選擇了報警。
警方調查後才發現只有該名白帽子一人涉嫌此案。在檢察院公訴後,被批准逮捕。事件一出,整個安全圈都炸開鍋了。
有一條評論是這樣說的:在動機上,沒有人可以自證清白,但在法律的棋盤上,白帽子確實越界了,雖然可能談不上是犯罪。
誠然,白帽子一直遊走在法律的灰色邊緣,其工作屬性要求其不可避免地須進入網際網路網站,並和黑客使用可能同樣的工具軟體,從而發現網站漏洞。這一系列的動作確實不太好定義,也不太好界定行為人的實際動機。
並且,白帽子發現安全漏洞並由第三方平臺披露可能對相關網站影響很大,如果漏洞在被解決前被黑客利用,或者釋出的漏洞資訊不實,確實也將嚴重影響企業的合法權益。
為了加強和規範網路安全的監管,所以才有了《網路安全法》的頒佈。但頒佈之後很多人又開始擔心,覺得這會讓安全從業者的活動空間越來越小,捆手捆腳。網路安全法中有這樣一個條例:
第二十七條 任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路資料等危害網路安全的活動;不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路資料等危害網路安全活動的程式、工具;明知他人從事危害網路安全的活動的,不得為其提供技術支援、廣告推廣、支付結算等幫助。
但國內的很多企業其實是受到過很多白帽子提供的好處的,像360、愛奇藝、京東、小米等等等等,因為企業的網路安全部門精力有限,白帽子就像是外援一樣,幫助企業發現並解決過很多的問題,所以白帽子的存在對於很多企業來說是不可或缺的。所以法令頒佈的當天,超過19家企業的SRC組成了“SRC聯盟”共同上線了“白帽子協議。
這個協議中確定了各自平臺的規則和邊界,一方面是為了讓白帽子放心,另一方面也確定了雙方的權利邊界和義務。對於沒有壞心思的白帽子完全可以和往常一樣,找到漏洞,在不對企業造成影響的程度內進行測試,然後提交漏洞。
《網路安全法》的頒佈看似給了白帽子很多制約,可從長遠看來,規則的制定,對雙方來說其實都是一種保護。
最後,還是要為白帽子們說句話。
白帽子這個“行業”確實存在這很多爭議,但白帽子之所以被稱為白帽子,是因為這是一群擁有著黑客的技術,卻在維護網路安全的人。
有一個事情可以明確的告訴大家,做一名黑客遠比白帽子好做,來錢也快。
舉個例子來說,假如一名黑客攻破了某個大平臺的資料庫,他就可以把裡面的使用者資訊抓出來然後整理篩選,賣給相關的網路推銷公司。就算他只抓取了幾百萬使用者,就算按照幾毛錢一條的價格,幾十萬就到了賬戶當中。
相比之下,白帽子辛辛苦苦找到了漏洞,提交上去之後還要冒著被人認作嫌疑人的風險,做的事情也是防患於未然,企業肯定不會花幾十萬來作為獎勵。
借用一句說爛了的話:你之所以看不到黑暗,是因為有人竭盡全力把黑暗擋在你看不到的地方。
向那些堅守道德底線原則的白帽子們致敬。
本文轉載自:【51CTO官微】
原文連結:https://mp.weixin.qq.com/s/5VCwAUmFT-ziLboAahnE6Q
公眾號內回覆“1”帶你進粉絲群