原标题:挖漏洞被抓拷问白帽子行为边界
京华时报漫画谢瑶
在白帽子们看来,这就是一次普通得不能再普通的找漏洞行为;在世纪佳缘公司看来,这是在保护用户数据上做了一个正常的决定。但是当这两者碰到一起,就演变成了白帽子圈子里不亚于一场地震的抓人事件。谁对谁错?现在很难说清,或许在多年以后,袁炜的遭遇,会成为安全行业发展历史上的一个标志性事件。
先获感谢后被举报
白帽子行业的传奇人物、补天漏洞平台前负责人赵武这段时间接到了很多白帽子打来的电话,或愤怒,或担忧,这些白帽子和他说的都是一件事,即现在国内白帽子圈子里关注度最高的“袁炜事件”。
袁炜是互联网漏洞报告平台“乌云”上的一名白帽子。去年12月份,他在乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞。在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后,事情突然发生转折。世纪佳缘在一个多月后以“网站数据被非法窃取”为由报警,4月份,袁炜被司法机关逮捕。在不久前的第四届网络安全大会上,袁炜的父亲发出公开信为儿子鸣冤,让袁炜的遭遇成为网络安全圈的热门事件。
关于袁炜被抓,坊间传出世纪佳缘“钓鱼”的说法,有人质疑为何世纪佳缘在向乌云和漏洞提交者致谢后的一个多月又突然报警。对此,世纪佳缘方面给出了回应:“自乌云通知公司网站存在漏洞至今,世纪佳缘从未获得过漏洞提交人的联系方式并与之取得联系。在警方披露调查结果前,世纪佳缘并不了解网站攻击者与漏洞提交者有何种关联。世纪佳缘报警是出于对用户隐私和公民信息安全的考虑,并不针对任何个人或组织。”
按照袁炜父亲在公开信中的描述,袁炜于去年12月3日下午发现世纪佳缘网站漏洞;当天晚上,他为了验证漏洞,又通过发现的漏洞浏览了世纪佳缘的部分数据,确认漏洞存在;次日上午,袁炜向乌云提交该漏洞,同一天乌云通知世纪佳缘;12月7日,在完成漏洞修复后,世纪佳缘在乌云平台确认漏洞的页面向该漏洞提交者表示感谢。今年1月18日,世纪佳缘向北京市公安局朝阳分局报案称数据被窃取;3月8日,袁炜被刑事拘留;4月12日,北京朝阳检察院以涉嫌非法获取计算机信息系统数据犯罪,批捕袁炜。
世纪佳缘向记者介绍的事件时间顺序,与袁父所说基本相同,而世纪佳缘的内部人士则向记者补充了一些内情:去年12月3日晚,世纪佳缘安全维护人员发现有多个来自国内不同省市的IP地址向其网站发起了攻击;12月7日,在完成漏洞修复后,世纪佳缘向乌云和漏洞提交者表示感谢。“正是这次表示感谢的举动,被人传成了‘钓鱼’。”世纪佳缘相关人士说道。至于为何在表示感谢一个月后又突然报警,世纪佳缘CEO吴琳光则在知乎上解释称:“在漏洞修复过程中,我们发现有900多条有效数据被攻击者获取,出于对用户数据和信息安全的担忧,我们选择了报警。”他同时表示,“在警方披露调查结果之前,我们并不知道提交漏洞的白帽子和攻击者是同一个人。”
并非第一个被抓的白帽子
“这不是第一次有白帽子被抓,之前也有一些白帽子被捕甚至是判刑。”赵武介绍,之前出事的白帽子,很多时候是因为对自己身份的错误认识和冲动。白帽子在平台上提交的漏洞,有的时候企业并不认可,于是会激怒一些冲动的白帽子。“你不认是吧?那等着被攻击吧!”有的白帽子真的利用发现的漏洞进行攻击。这种行为就背离了白帽子行业的初衷,一些白帽子也因此栽了进去。“不过袁炜还不是这样的行为,在我们看来,他的做法就是很正常的白帽子找漏洞、提交漏洞的行为,没有越线。”赵武说。
世纪佳缘内部人士向记者透露,他们的安全团队一直在分析漏洞攻击者的行为是否恶意。他们认为,涉及到900多条有效数据被获取,已经完全超过了常规白帽子测试的范围,通常情况下,白帽子只需要获取少量数据甚至不获取数据都能够证明网站的漏洞,在无法百分百确定获取者意图的情况下,为了保护信息安全,公司最终还是决定报警。而在选择报警之前,因为存在来自国内不同地区IP地址的攻击,世纪佳缘并未将漏洞提交者和事发当晚的其他攻击者联系到一起。
在赵武看来,袁炜的行为并不难解释。漏洞提交平台会给白帽子提交的漏洞打分,证据越详细、危害越大的漏洞得分越高,这也使得白帽子们习惯于多获取一些数据,而且以往的操作中,白帽子们获取数据的做法并没有遭到来自企业的反对和来自平台的提醒,大家对此也习以为常。
赵武认为,企业内部的安全人员是能够分辨出是白帽子还是恶意攻击的,很多在企业内做安全的人本身也是白帽子。但是决定是否报警的是企业的管理层和法务部门,他们不懂技术,这种分歧可能是造成袁炜被抓的原因。
愤怒且自危的白帽子们
在事件被曝光后,世纪佳缘几乎成为了白帽子们的“公敌”。世纪佳缘内部人士表示,这段时间,世纪佳缘网站遭遇的网络攻击数量确实比平时有所增加,短短几天时间,又有多个世纪佳缘的漏洞在乌云上被公布。被激怒的白帽子们在用自己的方式表达对世纪佳缘的不满。
“世纪佳缘的做法对白帽子们的伤害很大。”白帽子方明(化名)对记者说,白帽子的圈子里对世纪佳缘有一种同仇敌忾的心理,针对世纪佳缘的漏洞寻找,也是民间的一种自发反击。
知名白帽子“猪猪侠”上周在乌云提交了一个关于世纪佳缘的漏洞,在说明中,他特意写道“如果厂商不愿意接受来自互联网的贸然测试,可在修复本漏洞后点击忽略该漏洞,并在厂商回复处留下‘请不要测试本公司,本公司将采取法律手段约束你们的测试行为,后果自负。’之后走国际黑名单惯例,不会再有人关注贵公司信息系统的安全风险。”讽刺意味十足。
赵武看来,白帽子们的愤怒和“报复”可以理解,但并不值得提倡。以往的经验也证明,白帽子如果采取过激的报复手段,最终结果往往南辕北辙,也可能会招来企业的反报复,对企业和白帽子都不是好的处理方式。
愤怒的同时,自身安全也是白帽子们担忧的问题。因为袁炜的做法在白帽子当中是很普遍的,如果这一案件形成了判例,也意味着更多的白帽子都面临风险。
不受法律保护的灰色地带
虽然白帽子的称谓中有一个“白”字,但他们实际处在一个灰色地带。曾经在补天平台上为白帽子们做过法律培训的北京富润律师事务所黄锦深律师介绍,按法律规定来说,只要是没有获得企业的授权,白帽子自发挖漏洞的行为都是违法的,即便是通过漏洞平台,企业注册了该平台的账号,也不能算作授权。
赵武称,“只是现在厂商和白帽子之间形成了一种默契,民不举官不究而已。很多白帽子并不清楚这一点,以为自己的行为是合理合法的。但是企业一旦较真,白帽子的行为是不受法律保护的。”