事实-乌云漏洞镜像-新手网安指南
继昨日,漏洞盒子宣布,暂停接受互联网漏洞与威胁情报。7月20日上午又一重磅消息,国内另一漏洞报告平台——乌云,今日出现无法访问,其后乌云发公告称,原因是官方正在进行升级。这意味着国内两大知名漏洞报告平台先后进入“暂停”状态,但具体原因尚不明确。
乌云和漏洞盒子是国内著名的白帽子社区。通常"白帽子"描述的是正面的黑客,他们以保护各式各样的软/硬件系统为目的,利用技术对系统进行侵入破解,以寻找系统漏洞或弱点,进而公开或者提醒对方注意,从而使系统漏洞可以在被其他人利用之前来予以修补。
“我们有着足够强大的技术力量能够帮助企业发现问题,并协助企业解决问题。也希望企业能够信任我们,支持我们的行为。我们并不求任何回报,不过有一定的回报我相信我们能配合的更深入更好。”来源于网络上,白帽子组织表达的初衷。
那么,白帽子的行为合法吗?
法制周报上北京志霖律师事务所赵占领律师称:“白帽子”利用自己的专业技术特长、结合兴趣爱好,主动寻找网站存在的安全漏洞,其行为对于网站而言没有破坏性;相反,“白帽子”帮助网站及时发现漏洞、修复漏洞、以防给企业或用户造成严重损失,对网站具有积极的建设性作用。在一定程度上,也承认和肯定了“白帽子”维护安全的积极意义。
白帽子的初衷是好的,但是存在一个非常敏感的问题是,个人有无权利进入涉及其他公司、用户核心数据信息层的特殊领域,哪怕是为了对方的安全考虑。
乌云网创始人方小顿曾坦言,从技术角度讲,“白帽子”测试企业系统是否存在漏洞的方法,与黑客攻击之间的区别并不明显;如果“白帽子”在测试企业漏洞的过程中,对自己的行为边界区分不够明显,的确有触碰法律的风险。
然而,前期的“袁炜被刑拘事件”,将这个争论再次抛向新的高度!据知情人士透露,此次的漏洞盒子,乌云网站暂停运营,与被拘的事件不无关系。
事件经历如下:
2015年12月3日下午袁炜发现世纪佳缘网站漏洞;当天晚上,他为了验证漏洞,又通过发现的漏洞浏览了世纪佳缘的部分数据,确认漏洞存在;
次日上午,袁炜向乌云提交该漏洞,同一天乌云通知世纪佳缘;
12月7日,在完成漏洞修复后,世纪佳缘在乌云平台确认漏洞的页面,向该漏洞提交者表示感谢。
然而今年1月18日,话锋一转。官方表示:称数据被窃取,出于对用户数据和信息安全的担忧,我们还是选择了报警。
3月8日,袁炜被刑事拘留;4月12日,北京朝阳检察院以涉嫌非法获取计算机信息系统数据犯罪,批捕袁炜。
在袁炜被抓后,世纪佳缘一度成为了白帽子“公敌”,短短几天时间,又有多个世纪佳缘的漏洞在乌云上被公布。被激怒的白帽子们在用自己的方式表达对世纪佳缘的不满。
知名白帽子“猪猪侠”在乌云提交了一个关于世纪佳缘的漏洞,在说明中,他特意写道“如果厂商不愿意接受来自互联网的贸然测试,可在修复本漏洞后点击忽略该漏洞,并在厂商回复处留下‘请不要测试本公司,本公司将采取法律手段约束你们的测试行为,后果自负。’之后走国际黑名单惯例,不会再有人关注贵公司信息系统的安全风险。”讽刺意味十足。
顿时,一石激起了千层浪。网上流行两类观点:
“亲厂商”派说你们明确触犯了刑法,未得到授权,泄露了信息,把一个单纯的技术漏洞,硬是利用到了公关层面,公开数据公开细节,对企业造成了极大的负面影响。有人戏称这种行为就像一个小偷进你家,告诉你你家有漏洞,然后扬长而去。
“白帽子”派表示:厂商太无耻,我们好心给你们提漏洞,你们居然敢这么对我们,你们要像其他厂商学习,人家不只快速修复,还有奖励;
“袁炜事件”极有可能成为国内白帽子们的转折点,帽子平台的规则和规范,开始再度引起外界关注!
争论的疑点在:白帽子行为中,这种漏洞的发现和披露形式是合法、合规、且合理的,但是未经授权的渗透测试是违法的。一方面是对涉及个人数据的关注,以及白帽子行为的规范。另一方面则是白帽子群体的处境,因为从法律上来说,目前白帽子的行为并不受法律保护,处于灰色地带。而笔者认为提供服务的平台,责无旁贷,当前最迫切的是应该制定出一套游戏的规则:明确告诉什么能做,什么不可以!
下面回顾下,2013年乌云创始人张小冲,在知乎上的回答,感触一下技术人的安全情怀。
最开始的原因是为了我们自己工作的原因和让我们身边朋友和老板对我们工作的了解来做这个事情,后来我们发现带来的收益更大,我们让安全研究人员通过这个平台能够学习到其他人的技术和技能,我们让安全研究人员能互相认识能够展示自己获得更高的荣誉和工作机会,我们让所有企业知道所有最新的安全漏洞状态,我们也同样让更多的普通用户,了解企业如果不做好安全可能给用户带来的信息安全威胁。
于是我们帮助行业完成了一个正向的循环,白帽子发现和报告安全问题,企业修复并披露安全问题,用户了解信息安全从而对企业提出信息安全要求,企业加强信息安全建设和提升白帽子价值,更多的白帽子学习和加入到这个过程
我很难去说乌云上所有的人都有什么心理,但是我们一直在往这个方向引导,我自己也是乌云上的白帽子一员,我个人的驱动力是,我已经有一份稳定的工作,我爱好安全而又没有任何压力驱使我使用我的技术去谋取非法利益,我能够以正确的渠道展示自己,我能够得到除了腾讯这种封闭企业之外的企业认可,我也可以参与到乌云开展的各项活动,我能够认识到优秀的人和他们交流获得提升,这就是我在乌云能够得到的。
~
网络安全学习,我们一起交流
~
6981
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
