APP下载

法律漩涡中的“白帽子”

2016-12-06汪文涛

方圆 2016年21期
关键词:佳缘乌云帽子

汪文涛

袁炜的行为并不难解释,漏洞提交平台会给白帽子提交的漏洞打分,证据越详细、危害越大的漏洞得分越高,这也使得白帽子们习惯于多获取一些数据

袁炜检测出世纪佳缘的漏洞让对方修复,世纪佳缘却报警抓了袁炜。从3月8日被抓进去至今已有半年,我们家人到今天还弄不清楚,袁炜到底犯了什么罪?‘白帽子检测漏洞是犯罪吗?”9月17日,双鬓斑白的袁冠阳在接受记者采访时连连叹息。

今年64岁的袁冠阳年事已高,原本对互联网一窍不通,但为了给儿子袁炜“鸣冤”,他多方请教专家,四处奔走呼号。不久前,在北京召开的第四届网络安全大会上,袁冠阳不期而至,到现场发出了多封公开信,让袁炜的遭遇在互联网圈瞬间引起轩然大波,并引发了网络安全行业人士的热议与讨论。

袁冠阳在公开信中称,袁炜是互联网漏洞报告平台——“乌云网”上的一名“白帽子”,2015年12月,袁炜检测发现了婚恋交友网站——“世纪佳缘”的系统漏洞,并在乌云网上提交了系统漏洞。世纪佳缘先是确认、修复了漏洞,并向乌云网和袁炜致谢。但事情转折发生在世纪佳缘以“网站数据被非法窃取”报警之后,警方经调查拘留了袁炜。

业内人士介绍,所谓“白帽子”,是指识别计算机系统或网络系统中安全漏洞的网络安全技术人员,与网络黑客不同的是,他们只是检测漏洞,并不恶意去利用漏洞,“白帽子”通过向相关平台或者厂家反馈、发布漏洞,以敦促厂家在漏洞被“黑客”攻击利用之前将其修复完善,维护计算机和互联网安全。

“白帽子”袁炜检测并提交了世纪佳缘的漏洞;而世纪佳缘出于保护用户隐私安全考虑,报警抓人。其中的孰是孰非,目前司法尚无定论,但多位网络安全业内人士和法律专家在接受记者采访时均认为,袁炜事件或将成为互联网安全史上一个标志性的“分水岭”。

刚成为实习白帽子

“袁炜大学里学的是计算机专业,他是一个典型的理工男,一脸的书生气,看上去可能有些内向,但他为人憨厚、真诚,没有什么花花架子。”袁炜妻子代女士接受记者采访时表示。

据代女士介绍,袁炜不抽烟也不喝酒,平时爱好踢足球、看球赛、玩魔兽世界,每天规规矩矩地上下班。

由于工作的需要,袁炜参加了前几届互联网安全大会,开始涉足网络安全行业,梦想成为网络安全圈的专业“大咖”。“为此,他买了一堆堆计算机网络方面的书籍,每天下班后的时间,除了跟2岁的女儿玩一会,就是看书学习”。

“一直到今年3月8日,那天早上,我们是一块出的门;中午的时候,袁炜的同事突然来电话,说北京来了几个公安人员以协助调查的名义,把袁炜连人带电脑都带走了。”代女士回忆,事情来得很突然,当时都没明白是什么情况,后来打听,才发现是世纪佳缘网漏洞事件。

袁炜涉案后,代女士和委托律师开始多方了解情况、搜集证据,想努力搞清楚袁炜事件的前后脉络。“我记得去年年底,袁炜有和我提到,他提交过世纪佳缘的漏洞,后来世纪佳缘还通过乌云网联系他说表示感谢,不知为何后来突然被公安机关抓走了。”代女士向记者出示了两份书面复印件,一份为杭州某家电有限公司的“证明”;另一份系乌云网的“情况说明”。

“证明”里提到,袁炜自2009年10月起在该家电公司担任“信息安全运维主管”职务,工作期间“行为端正、品行优良”,2014年荣获公司优秀服务支持奖;2015年表现突出,综合绩效评估为A。

“情况说明”里则介绍:北京北冥鱼信息技术有限公司依法经营的网站乌云网,是一个位于厂商和安全研究者之间的安全问题反馈平台。目前,已经与国家互联网应急响应中心CNCERT等部门展开了合作。

“情况说明”还介绍说,“袁炜系在乌云网注册的白帽子会员,会员名称:ledoo。其自从在本网站注册以来,无任何违法违规行为”;“世纪佳缘于2012年1月21日作为厂商入驻乌云平台,允许乌云平台注册的白帽子检测世纪佳缘的漏洞”。

“情况说明”还在文中末尾提到,“2015年12月4日,袁炜发现世纪佳缘网存在重大安全漏洞,及时通过方式实名提交相关漏洞,我网站在获悉相关信息后按照规定提交给世纪佳缘网。随后,世纪佳缘对相关漏洞予以确认并进行修补,并与2015年12月7日向乌云平台发来感谢,对袁炜的重大发现和贡献表示感谢。在此过程中,袁炜并无恶意,也未索取任何利益”。

袁炜家人向记者提供了经过公证的相关证据材料,该材料显示,袁炜是于2015年10月19日在乌云网注册,成为了一名实习白帽子,用户名是ledoo;而世纪佳缘网站早在2012年1月21日就注册成为了乌云网的企业用户。

相关网页材料还显示出,作为乌云网的实习白帽子,袁炜共向乌云网提交了包括世纪佳缘在内的11个不同网站的漏洞,其中8个得到验证并被修复;同时,包括袁炜在内,在乌云网的注册白帽子们先后向世纪佳缘提交了42个漏洞信息,世纪佳缘核实确认后修复了相关漏洞,并向乌云网的多名白帽子请求发送小礼物以表感谢。

各执一词:测试漏洞还是非法攻击

按照家属的说法,袁炜是于2015年12月3日下午4时,在公司使用SQLmap软件(以下简称SQL软件)对世纪佳缘的网站进行漏洞检测,发现世纪佳缘网存在漏洞。由于袁炜只是实习白帽子,担心自己的技术不过关导致误报,为了确认漏洞,袁炜下班后回到家中使用同一笔记本电脑和SQL软件继续对世纪佳缘网站的服务器进行漏洞检测。

代女士称,袁炜通过SQL软件注入成功浏览了存储在世纪佳缘服务器中的部分数据,确认了世纪佳缘网站的服务器确实存在漏洞,第二天(12月4日)早上6点多,袁炜又确认了一遍漏洞的存在。在整个漏洞检测过程中,袁炜除使用了SQL软件以外,没有主动下载、存储任何世纪佳缘服务器的数据。上班后,袁炜使用其在乌云的名为ledoo的注册账号,向乌云网提交了世纪佳缘网站的漏洞,当日乌云网通知了世纪佳缘网站。

2015年12月7日下午,世纪佳缘确认并修复了漏洞,并致谢乌云网及袁炜。仅仅一个月后,出人意料的是,2016年1月18日,世纪佳缘网的运营主体花千树公司向北京市公安局朝阳分局报案称:2015年12月3日22时许,花千树公司运营的世纪佳缘网站受到11个IP的SQL注入攻击,持续时间8小时40分,有4000余条实名注册信息被不法分子窃取。

2016年3月8日,袁炜被北京市公安局朝阳分局以涉嫌“非法获取计算机信息系统数据罪”,被刑事拘留。4月12日,经北京市朝阳区检察院批准,袁炜因涉嫌“非法获取计算机信息系统数据罪”,被批准逮捕。

袁炜案发后,各路舆情在网上开始发酵,但世纪佳缘却一直没有官方回应。直到6月29日,世纪佳缘CEO(首席执行官)吴琳光在知乎网社区上发文谈论此事,但吴琳光也表示,因案件尚在司法调查期间,文章内容仅代表个人观点。

吴琳光称,2015年12月3日晚,公司安全人员发现有多个IP地址对其网站进行SQL注入攻击。随后,安全人员通过技术手段阻断了部分攻击。次日,乌云网通知世纪佳缘其网站存在漏洞。该轮攻击持续到12月4日晚上,直至安全人员将其完全修复。事后,世纪佳缘方面统计发现,攻击总次数累计4000余次,共有900多条有效数据被攻击者获取。“出于对用户数据和信息安全的担忧,我们还是选择了报警。”吴琳光称。

对于部分网友质疑“世纪佳缘”网站“钓鱼执法”一说,吴琳光进行了否认,他表示,在警方披露调查结果前,世纪佳缘并不知道提交漏洞的白帽子和攻击者是否同一人,“报警不针对任何个人或群体,公司也没有联系过袁某”。吴琳光还在个人回应中提到,袁某在检测漏洞时使用的SQLmap是网络黑客工具。

“SQL软件并非袁炜开发的软件,也并非是专用的黑客工具,它就是一款电脑技术人员常用的工作软件,这个软件不是区分白帽子与黑客的标准。”代女士告诉记者。

“SQLmap是安全圈内常用的工具之一,这个软件自带缓存功能,会自动将测试信息存储到本地的一个隐藏文件夹,一直以来网络安全圈内并没有对安全工具和黑客工具加以区分。”圈内一人士告诉记者,白帽子检测漏洞和黑客入侵从技术方法上看也许没有区别,也许都会使用到SQL软件;从技术上考量,对被访问的网站而言,白帽子检测漏洞实质上也是一种“注入攻击”行为。

引发争议的932条数据信息

据了解,为了获取“被攻击”的证据,世纪佳缘委托了一家司法鉴定所对其服务器日志进行鉴定,鉴定意见显示,世纪佳缘网在2015年12月3日17时许至2015年12月4日10时许,陆续受到“124.160.67.131”等11个IP地址以SQL注入为手段的访问请求,注入请求为4400余次。SQL注入成功后,入侵者对网站数据库进行了读取操作,涉及读取操作的数据库数据信息为932条。

“这份鉴定意见是世纪佳缘自行委托某鉴定机构做的,并非司法机关指定的专门鉴定机构;而且在鉴定报告中,并没有确认到底哪些IP是袁炜操作的,也没有详细说明袁炜的这些IP具体读取了多少组有效的身份认证信息。”代女士认为,这份鉴定意见的权威性和公正性还有待考证。

世纪佳缘内部人员则透露,世纪佳缘的安全团队一直在分析漏洞攻击者的行为是否为恶意,世纪佳缘认为,涉及到900多条有效数据被获取,已经完全超过了常规白帽子测试的范围,通常情况下,白帽子只需要获取少量数据甚至不获取数据都能够证明网站的漏洞,在无法百分百确定获取者意图的情况下,为了保护信息安全,公司最终还是决定报警。而在选择报警之前,因为存在来自国内不同地区IP地址的攻击,世纪佳缘并未将漏洞提交者和事发当晚的其他攻击者联系到一起。

而在补天平台负责人、360网站安全总监赵武看来,袁炜的行为并不难解释,漏洞提交平台会给白帽子提交的漏洞打分,证据越详细、危害越大的漏洞得分越高,这也使得白帽子们习惯于多获取一些数据,而且以往的操作中,白帽子们获取数据的做法并没有遭到来自企业的反对和来自平台的提醒,大家对此也习以为常。

“袁炜在乌云网上还是个实习白帽子,他只是个新手,担心自己的技术不过关导致误报,他才反复确认漏洞的存在,也许正是反复确认漏洞的行为,才导致了注入请求次数比较多。但是,SQL软件是自带缓存功能,袁炜除使用了SQL软件以外,没有主动下载、存储世纪佳缘服务器数据的想法。”代女士告诉记者。

根据《刑法》第二百八十五条规定,袁炜所涉嫌的“非法获取计算机信息系统数据罪”,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。

“非法获取计算机信息系统数据罪属于情节犯,只有达到一定情节后,才予以追究刑事责任。”长期关注互联网行业的京都律师事务所刘华斌律师分析说。

“警方之所以抓捕袁炜,最大可能是涉及该罪司法解释认定标准中的‘获取身份认证信息五百组以上。结合袁炜一案,构成获取身份信息五百组还必须有两项必要条件:一是鉴定意见里所认定的共有11个IP进行了注入式访问,那么需要细究,具体哪个IP读取了多少信息,并具体到哪个IP由袁炜实际使用;二是鉴定意见中的932条数据是否属于‘身份认证信息,这些信息是否由袁炜获取。”刘华斌分析说,如果这些数据不属于“身份认证信息”或者这些数据不是由袁炜获取,那么袁炜是否构成犯罪还值得商榷。

检测漏洞的法律界限

“法律上没有‘白帽子这一叫法,根据刑法规定,只要侵入‘国家事务、国防建设、尖端科学技术领域的计算机信息系统等特定领域,就成立非法获取计算机信息系统数据罪。”中国电子商务协会政策法律委员会委员、互联网法律专家于国富接受记者采访时说,但对于普通的厂商计算机信息系统,仅仅实施了侵入行为,没有破坏、控制、窃取数据等造成严重后果行为,不构成犯罪;“白帽子在检测漏洞时,只要不触碰、获取系统数据,在发现漏洞后及时提交报告给厂商,是不涉及此罪的”。

不过,于国富也指出,现实中有些白帽子由于经验不足或者其他原因,在检测漏洞过程时往往会“碰及数据”,在“越线操作”后再向厂商提交漏洞报告,这种行为在圈内被戏称为“洗白”,“如果被检测漏洞的企业不承认这种‘洗白行为,认为自己的数据被窃取,硬要追究责任的话,白帽子就处于高度法律风险当中”。

“毋庸置疑,白帽子的出现,对于维护互联网安全是有积极作用的,其检测漏洞的行为动机应是合理的、善意的,但这种合理性的‘善意不能超越底线,白帽子检测漏洞的行为不能被无限放大。任何一家公开接受访问的服务器,是绝不接受恶意的侵害性访问的。”在于国富看来,白帽子检测漏洞的行为,好比“走钢丝”,一念之差,天壤之别。

白帽子检测漏洞的法律界限在哪里?刘华斌认为,白帽子在检测漏洞的过程中,相比于黑客,获取的数据量应该是少量的,类似于做实验,“只需要采集一些样本即可,不需要获取整个物体”。

刘华斌分析说,为了检测漏洞的存在,白帽子的行为应当是“检测性”的“攻击”,而不是“破坏性”的“攻击”,一个合格或者有经验的白帽子,在检测漏洞时候,是会考虑到“攻击”的强度和后果,不会出现使整个服务器瘫痪或者篡改数据等严重后果,获取的数据样本是有限的。

“整个检测和提交漏洞过程,袁炜都没有隐藏自己的IP,因为对于他来说,这就是一个正常检测漏洞的行为。如果袁炜知道自己的行为会构成犯罪,或者他主观上想犯罪,他是不会用公司和家里的IP地址去访问世纪佳缘网站的,他完全可以采用挂国外服务器代理或者做了跳板等技术手段;如果袁炜对于获取的数据有恶意或私心,从提交漏洞后的几个多月,他有足够的时间把电脑里面缓存的数据物理销毁。”代女士认为,SQL缓存文件自带缓存功能,而袁炜压根上就没有关注过SQL缓存文件的保存位置及格式,以致于造成今天的被动局面。

“律师介入案件后,公安机关到现在还没有公布细节,袁炜的计算机里是不是真的有从世纪佳缘下载的900多条数据?这让我们家人很不解。”代女士坚信,对于白帽子群体而言,袁炜的行为就是一次普通、正常的提交漏洞行为,跟犯罪几乎“不搭边”。对此,记者致电世纪佳缘网,其工作人员称该案正由司法机关办理中,目前不方便接受采访。

“各方做法都欠妥”

袁炜被抓后,世纪佳缘几乎成为了白帽子们的“公敌”,有数据表明,在袁炜案发后,世纪佳缘的网络服务器,每天受到的网络攻击数量急剧上升,同时又有多个有关世纪佳缘的漏洞在乌云上被公布,被激怒的白帽子们在用自己的方式表达对世纪佳缘的不满。

“或许袁炜在检测漏洞前并未征得世纪佳缘的书面许可,但世纪佳缘既然在乌云网上注册成为厂商用户,必然也知道白帽子会对其网站平台进行漏洞检测。至少在袁炜事件发生前,世纪佳缘对于乌云网的此种沟通方式并未提出明示的反对,袁炜与世纪佳缘的关系,可适用此前双方的行为惯例。如果世纪佳缘拒绝白帽子检测,完全可以作出相反的书面声明,没有必要对其此前收到的42次漏洞信息表示感谢。”

刘华斌分析说,对于一些大企业、商家来说,都很看重自己的品牌和声誉,毕竟承认自己的网站平台存在漏洞“并不是一件光彩的事”,但对于白帽子善意的检测漏洞行为,有利于企业修复漏洞,维护信息安全,除非是恶意性的违法攻击,否则应当“包容”。

“袁炜被抓,乌云网对此也负有责任。”圈内一不愿具名的资深白帽子告诉记者,乌云网在其网站声明中,要求“白帽子需要保证研究漏洞的方式、方法、工具及其手段的合法性”,但乌云网却“对此不承担任何法律责任”。

“乌云网公布漏洞的流程模式也有些激进,很容易招致企业商家的反感。”这名资深白帽子介绍说,一般而言,白帽子先将自己发现的漏洞提交至乌云漏洞报告平台,乌云平台审核后会进行发布,普通漏洞披露流程为5天的厂商确认期;10天后向核心白帽子公开其漏洞细节;20天向普通白帽子公开;30天向实习白帽子公开;45天之后,企业仍未主动认领漏洞,则会向公众公开其漏洞细节。

“虽然目标口号是敦促维护网络安全,但很多商家是在网站被检测出漏洞后,被迫找乌云网认领漏洞的,很多商家内心深处并不乐意这么做,这种‘倒逼式的认领做法,肯定会招致反感,而白帽子则充当了乌云网发布漏洞的‘马前卒。”上述白帽子分析说,即便商家确实存在漏洞,但乌云网是否有权利公布别人的漏洞细节,值得考究。

“白帽子这个群体的存在,有利于维护互联网用户信息的安全,从这一点上来说,与王海打假有相似性,虽然可能招致商家、企业的反感,但最终有利于维护消费者的利益。”刘华斌认为,无论是政府网站,还是企业商家网站,都会存在一定的漏洞,对于白帽子合理、善意的行为,应当包容。

据了解,该案仍处于退回补充侦查阶段,本刊记者将持续关注本案进展。

猜你喜欢

佳缘乌云帽子
乌云
乌云小黑
乌云忘记了
Hat 我戴上了这顶帽子
天上为什么有乌云
“重修”世纪佳缘
颠覆者世纪佳缘