乌云漏洞盒子同时维护 漏洞披露机制或迎重大升级
搜狐科技 文/丁丁
国内两个安全漏洞平台同一天启动了升级及维护动作。
伴随而来的,还有坊间的传闻。
两个安全漏洞平台声明辟谣
7月19日晚间,有微博大号爆料称安全漏洞平台乌云网官方网站无法访问,可能出现状况。乌云网随后在网站首页发布声明称,乌云网及相关服务进行升级,并将在最短时间内,以最好的姿态回归。乌云网同时在声明中称,“与其相信谣言,不如相信乌云”。
7月19日,另一企业级安全漏洞平台漏洞盒子发布升级公告称,管理团队对其网站进行例行维护。维护期间,暂停互联网漏洞与威胁情报接收。漏洞盒子公告称,新版本上线后,会继续帮助白帽子与企业之间建立真正的信任连接。
乌云方面相关人士对搜狐科技表示,外界的猜测没有根据,乌云是否出了问题,几天后就会见分晓。漏洞盒子团队随后也发布声明,称其业务运营按照年度计划既定进行,目前全线产品业务运转正常,与其他事件无任何关联。
尽管如此,业界对于此次两大平台同时维护升级的原因仍在私下讨论,认为这一事件与之前世纪佳缘状告白帽黑客引发的漏洞披露机制模式探讨有关。
白帽黑客行走于法律边缘
不作恶的黑客被称为“白帽”,他们通过测试并提交相关企业、网站的漏洞,模式普遍得到了业界的认可。但据搜狐科技了解,不少白帽在渗透测试过程中的动作,会引起厂商或企业的担心。
小米云平台安全与隐私部首席安全官陈洋此前就在乌云白帽大会上表示,白帽黑客一些善意的测试,企业比较欢迎。但有时这些“白帽”的测试,有时会导致数据泄露或破坏。有的黑客甚至有些打着白帽子的旗号,去拖库、交易这些数据。而诺亚财富安全负责人顾全民此前也称,之前他们也收到过类似白帽提交的漏洞。这本来也是一件好事,但是后来他们企业的安全人员进到后台发现,这位“白帽”黑客做了两件事情,但其告诉企业一件事情。这就让企业与白帽之间很难建立信任关系。
世纪佳缘状告白帽黑客后,安全圈不少人认为白帽黑客与厂商地位对比中处于劣势。早期曾经在黑客领域叱咤风云,如今已退出黑客圈的龚蔚(Goodwell)则认为,在安全圈子里,白帽并不是绵羊,企业才是绵羊。龚蔚对白帽生态的发展也提出了相关疑问,如白帽子到底白在哪里、白帽的衡量标准、行为准则、诉求等。
腾讯玄武实验室总监于�(TK教主)认为,每个行业都有相应的法律限制,由于Web网络安全门槛较低,网络安全从业人员更应搞清楚这些法律条文,才能在从业过程中做到没有后顾之忧。在行侠仗义的时候,顺便调戏妇女,在安全测试的时候,顺便拖库倒卖,都不是英雄和白帽的正确姿势。
IT与知识产权律师,中国互联网协会信用评价中心法律顾问赵占领表示,从法律角度,国家已经为网络安全行为界定了明确的“边界”。刑法第285、286条及相关司法解释、正在制定的网络安全法草案中,对涉及网络安全的行为都有了明确的规定。但赵占领也同时强调,白帽黑客在做渗透测试的时候,绝对不要简单地认为,只要其获取的数据低于刑法规定的某个数量,其行为就是安全的、可以不受惩处。比如获取普通用户身份认证信息不到五百组,虽然不用负刑事责任,但根据后果,当事人可能会受治安管理处罚法第29条的规定,受到相应处罚。
江苏省公安厅网安总队科长、公安部网络安全专家童瀛根据以往的案例告诫白帽黑客,在做渗透测试的时候一定要自律,千万不要跨过这些边界。人人都有好奇心,在入侵成功后,如果越线,追究法律责任时,渗透入侵的黑客会被定为主犯,将会受到法律的制裁。
白帽与黑帽的区别往往在一念之间。腾讯研究院2015年11月对外披露的数据显示,在网络黑色产业链中,相关黑产从业人员或已达到38万余人,涉及6000多个大大小小的黑产团伙。
网络漏洞披露平台或助纣为虐
业界对于软件漏洞有一种看法,认为只要是人制造的东西,不可避免就会存在缺陷。为了提升自身系统的安全性,Google、Facebook、微软、戴尔等公司都有比较完善的漏洞披露机制。
但凡事都有两面性,漏洞披露这件事情既有利也有弊。好的地方在于,漏洞披露能够促进企业及行业安全水平的提升。坏的地方是,企业在得知这一漏洞时,心怀不轨的黑客也能看到。对于技术高手来说,可能一个细微的提示,就能为其提供突破漏洞的思路。在厂商还没有修复漏洞前,黑客也很可能会利用披露的信息入侵成功。
2011年底,包括CSDN、天涯在内的多家知名网站被暴用户数据库被拖库。这个里程碑式的事件也让公众第一次知道了“拖库”这个概念。其实,在这一事件之前,拖库已经存在了很多年。腾讯玄武实验室总监于�(TK教主)表示,漏洞不披露,不代表没有人知道,不代表没有人利用,不代表没有人拿它去窃取用户数据,不代表用户的利益就不会受到损害。
据于�介绍,发现漏洞后是否披露这一问题,业界已经讨论了一二十年的时间。目前全世界对漏洞的披露有一个共识,就是发现漏洞后需要披露。在美国,披露漏洞被认为是言论自由的一部分,会受宪法修正案的保护。从法律角度讲,无论什么时候,怎么披露漏洞,都是合法的。
虽然在美国披露安全漏洞在法律面前没有问题但从从道义责任的角度,不少厂商认为,黑客披露漏洞时,要负责任地披露,要考虑用户的利益。但业界也有另一种声音,认为黑客在披露漏洞时考虑用户的利益,但厂商更需要考虑用户利益,如果黑客给厂商报告漏洞后,厂商置之不理,不及时修复漏洞,同样是无视用户利益的表现。
于�表示,目前业界普遍的做法是,漏洞披露时间有时限,是对厂商的一种督促和压力。现在国内一般漏洞披露时间是90天。而美国CERT(计算机紧急响应中心)规定披露漏洞的时间是45天。据称,漏洞披露时间有时间限制,是多方讨论妥协的结果。但具体来讲,安全漏洞披露的方式方法不当、时间不当,都可能会影响用户利益,但不披露,同样也会影响用户利益。
匡恩网络总裁孙一桉对搜狐科技表示,安全漏洞的披露同时还要考虑具体的行业,涉及到军工、核电、国家安全的基础设施漏洞披露时更要有责任感。任何一个负责任的研究机构或个人,遇到这类漏洞时,都不会以公开化的方式披露。对于这一类漏洞攻击手段的管理是每个国家面临的挑战,目前的趋势是不少国家甚至会把这种漏洞列入战略武器的一部分。目前国家网络安全领域也在逐渐立法,敏感领域的安全漏洞一定不太可能会向公众披露。
据搜狐科技了解,国内某安全漏洞披露平台就曾出现过披露国家重要部门应用程序漏洞的例子,可能会造成敏感信息泄露。此前,乌云也曾披露过网易邮箱被拖库的案例,但后来中国CERT(国家互联网应急中心)验证称,根据已披露的数据无法支持“过亿数据泄露”这一判断。
漏洞披露平台要找婆家?
赵占领律师认为,安全漏洞平台在披露相关漏洞时,需要特别注意法律风险。如果平台方及白帽黑客发布的漏洞信息不实,双方都需要承担相应的法律责任。
中科院软件研究所研究员、中国电子学会计算机取证专委会主任委员、公安部三局特聘专家丁丽萍称,国内安全漏洞平台有的在奉行“法不禁止即可为”的做法,但法律是一直在更改、完善的,建议漏洞平台改进目前的漏洞披露模式。公开披露漏洞的情况,等于是在昭告天下,告诉大家某家企业或网站的大门钥匙藏在哪里,用什么办法能进到他家里。
丁丽萍建议,国内的漏洞披露平台能够与国家相关部门合作,或有授权的机构合作,如中国CERT或公安部国家网络与信息安全信息通报中心。通过与这些有披露权限的部门合作,漏洞披露平台能够得到相应的授权,并且有统一的漏洞披露出口,在做漏洞披露时会更安全、更保险。目前部分漏洞披露平台采取的由白帽黑客自由提交漏洞的方式,很难保证中间环节不出纰漏。
据搜狐科技了解,目前国内漏洞披露平台普遍与中国CERT等部门有合作关系,有重大安全漏洞时,平台方也会主动向相关部门提交漏洞。但从实际操作来看,一般信息提交给相关部门时,平台方也会同步在其平台发布漏洞信息。
截止搜狐科技发稿时止,乌云平台及漏洞盒子的“漏洞黑板报”栏目仍然无法正常访问。不可否认的是,随着国家在网络安全方面重视程度的提升及相关法律法规的完善,网络漏洞检测及披露这一敏感领域的工作也会更加规范。