微信号:programmer_club

介绍:程序员第一自媒体,与你探讨码农人生路上遇到的各类泛技术话题,定期为你推荐码农人生思考、感悟以及启迪!

乌云的停摆,白帽子该去向何方?

2016-08-19 22:01 围城莫

在网络世界里,

也有像现实社会一样,

存在警察这个角色,

有的是属于国家的正式警察,

有的是自发组织的私人佣兵。


人有善恶之分,无论在哪都是,网络上有为国家信息安全而努力的安全部队,比如公安部下设的公安部网络安全保卫局,又或者是国安局的网络安全办公室,更神秘的是,还有一个中国人民解放军61398部队。


当然以上这些都是和政治有关了,但民间也有私人的安全防护中心。像奇虎360的天眼实验室,腾讯的玄武实验室、科恩实验室等,虽然都是以实验室的名字自居,但让他们入侵一些网站也是轻轻松松。




然而,著名的乌云漏洞平台和漏洞盒子,宣布关闭相关服务升级。乌云网和漏洞盒子均是国家信息安全漏洞共享平台的合作方(一共3个)。后者是由国家计算机网络应急技术处理协调中心,联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。



而引发此次事故的原因,可能与国内“白帽子”黑客圈子里关注度最高的“袁炜事件”有关联。


被逮捕的“白帽子”黑客袁炜父亲的公开信《白帽子检测漏洞到底是不是犯罪?》内文


事件内容

袁炜是乌云上的一名白帽子。201512月,他在乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞。在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后,事情突然发生转折。世纪佳缘在一个多月后以“网站数据被非法窃取”为由报警,20164月份,袁炜被司法机关逮捕。在不久前的第四届网络安全大会上,袁炜的父亲发出公开信为儿子鸣冤,让袁炜的遭遇成为网络安全圈的热门事件。


世纪佳缘CEO吴琳光对此事也高度关注,并亲自回应称:“在警方披露调查结果前,世纪佳缘并不了解网站攻击者与漏洞提交者有何种关联。世纪佳缘报警是出于对用户隐私和公民信息安全的考虑,并不针对任何个人或组织。”


而乌云对于漏洞的处理方式,通过《乌云网漏洞审核机制改进公告》看出,白帽子黑客发现某处漏洞后,向乌云网提交漏洞,乌云网审核确认后,会把漏洞的概况在乌云平台上公布。


其中,普通漏洞披露流程为5天厂商确认期,10天向核心白帽子公开其漏洞细节,20天向普通白帽子公开,30天向实习白帽子公开。直到45天之后,企业仍未主动认领漏洞,则会向公众公开其细节。

 


此次事件,在各大网络安全界引起了讨论

国内黑客界教父级人物、腾讯玄武实验室总监于旸在微博写道:“可能很多人不知道:按《刑法》285 条第2款及相关司法解释,入侵获取金融证券系统身份认证信息10条以上、一般系统500条以上,就可以判刑。”


相关人士认为,如果乌云无法为“白帽子”提供相应的保护、辅导、支持、规范、自律等措施,“白帽子”黑客被捕之后也没有提供法律支援等措施,那么乌云只是保留作为漏洞报告平台的工具属性,但其社群属性就被淡化了。


“如果最终判定构成犯罪,将对整个‘白帽子’群体造成极大的震慑,没有‘白帽子’还敢去给网站寻找、发现漏洞,这对于企业的商业利益以及用户的信息安全都是非常不利的。”长期研究IT行业的律师赵占领说。


讲真,这件事发生了之后,小编觉得,如果真的判刑了,那应该会打击“白帽子”的热情。尽管小编承认这是一种网络犯罪,是对他人的信息安全造成了威胁,但是这个结果,可能会造就一大批的“白帽子”的黑化,成为“黑帽子”。其实很多时候,是想成为一个“白帽子”还是“黑帽子”都只是一念之间的事。当然,不排除那种双面人物,黑白两道走的无间道人物存在。




但此次乌云网的停摆,着实会让一部分“白帽子”产生选择,是继续冒着风险做着这件自己作为爱好的事,还是就此收手,为了自己的安全而放弃自己的爱好。


乌云创始人方小顿

 

反观国内情况,之前在国内,乌云漏洞平台、漏洞盒子、补天漏洞响应平台(360旗下)三大平台上公布的漏洞,很多国内厂商对此,并不是很注重,就像乌云的对漏洞的处理方式上看,厂商一旦不认领,将会向公众公布。而对于认领漏洞的厂商,很多时候,对漏洞平台,也只是表示感谢。




当今社会,可以说是一个没网络就难以前进的社会,网络安全是非常重要的一件事。一如816号,第四届中国互联网安全大会上谈的,“白帽子”为网络安全贡献能量,他们的权益也应当受到法律的保障。不然,网络完全的未来,着实难料。


程序员e家

programmer_clubs


程序员第一自媒体,与你探讨码农人生路上遇到的各类泛技术话题,定期为你推荐码农人生思考、感悟以及启迪!


▲长按二维码“识别”关注

了解野狗,点击阅读原文“报名”

 
程序员之家 更多文章 黑白帽子 黑白帽的收入 你的人际关系还好吗? 恐怖份子中的黑客 C语言的前世今生
猜您喜欢 移动开发每周阅读清单:CocoaPods模块化、深入浅出Retrofit TiDB 中的子查询优化技术 六步轻松搞定自动化远程执行 PHP:40+开发工具推荐 从公地悲剧看代码腐化