“袁煒事件”可能成為中國(guó)“白帽子”黑客江湖的轉(zhuǎn)折點(diǎn)。
7月20日凌晨,中國(guó)最大漏洞報(bào)告平臺(tái)烏云網(wǎng)(WooYun)突然無法訪問。網(wǎng)站公告稱,烏云及相關(guān)服務(wù)將升級(jí),并稱將在最短時(shí)間內(nèi)回歸。
漏洞報(bào)告平臺(tái)烏云網(wǎng)暫時(shí)關(guān)閉升級(jí)。
與此同時(shí),澎湃新聞(www.thepaper.cn)發(fā)現(xiàn),7月19日,企業(yè)級(jí)互聯(lián)網(wǎng)測(cè)試平臺(tái)漏洞盒子宣布,暫停接受互聯(lián)網(wǎng)漏洞與威脅情報(bào)。“白帽子”黑客報(bào)告漏洞的頁面已經(jīng)無法查看。(編注:在IT界,“白帽子”指的是正面黑客,他們發(fā)現(xiàn)系統(tǒng)安全漏洞,不會(huì)惡意去利用,而是公布漏洞,讓系統(tǒng)所有方提前修補(bǔ)漏洞。)
烏云網(wǎng)和漏洞盒子均是國(guó)家信息安全漏洞共享平臺(tái)的合作方(一共3個(gè))。后者是由國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心,聯(lián)合國(guó)內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營(yíng)商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識(shí)庫(kù)。
對(duì)于這次漏洞報(bào)告平臺(tái)的關(guān)閉原因,可以從漏洞盒子管理團(tuán)隊(duì)的公告中看出端倪。公告稱:“近期,漏洞盒子管理團(tuán)隊(duì)將對(duì)互聯(lián)網(wǎng)漏洞與威脅情報(bào)項(xiàng)目中的流程制度、規(guī)范等進(jìn)行梳理。在改進(jìn)的過程中,暫停該項(xiàng)目相關(guān)漏洞與威脅情報(bào)接受,新的流程將于近期上線。相信能夠幫助‘白帽子’與企業(yè)之間建立真正信任的關(guān)系。”
烏云和漏洞盒子的整治行動(dòng),可能與國(guó)內(nèi)“白帽子”黑客圈子里關(guān)注度最高的“袁煒事件”有關(guān)聯(lián)。
被逮捕的“白帽子”黑客袁煒父親的公開信《白帽子檢測(cè)漏洞到底是不是犯罪?》內(nèi)文。
據(jù)京華時(shí)報(bào)報(bào)道,袁煒是烏云上的一名白帽子。2015年12月,他在烏云提交了其發(fā)現(xiàn)的婚戀交友網(wǎng)站世紀(jì)佳緣的系統(tǒng)漏洞。在世紀(jì)佳緣確認(rèn)、修復(fù)了漏洞并按烏云平臺(tái)慣例向漏洞提交者致謝后,事情突然發(fā)生轉(zhuǎn)折。世紀(jì)佳緣在一個(gè)多月后以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報(bào)警,4月份,袁煒被司法機(jī)關(guān)逮捕。在不久前的第四屆網(wǎng)絡(luò)安全大會(huì)上,袁煒的父親發(fā)出公開信為兒子鳴冤,讓袁煒的遭遇成為網(wǎng)絡(luò)安全圈的熱門事件。
世紀(jì)佳緣CEO吳琳光對(duì)此事也高度關(guān)注,并親自回應(yīng)稱:“在警方披露調(diào)查結(jié)果前,世紀(jì)佳緣并不了解網(wǎng)站攻擊者與漏洞提交者有何種關(guān)聯(lián)。世紀(jì)佳緣報(bào)警是出于對(duì)用戶隱私和公民信息安全的考慮,并不針對(duì)任何個(gè)人或組織。”
“袁煒事件”引發(fā)了IT業(yè)內(nèi)關(guān)于“白帽子”黑客行為邊界的大討論。
國(guó)內(nèi)黑客界教父級(jí)人物、騰訊玄武實(shí)驗(yàn)室總監(jiān)于旸在微博寫道:“可能很多人不知道:按《刑法》285 條第2款及相關(guān)司法解釋,入侵獲取金融證券系統(tǒng)身份認(rèn)證信息10條以上、一般系統(tǒng)500條以上,就可以判刑。”
“正邪的分界線也絕沒有那么清晰:'白帽子'在未授權(quán)情況下對(duì)某網(wǎng)站或服務(wù)器的滲透測(cè)試,和真正準(zhǔn)備盜取數(shù)據(jù)的黑客所做的準(zhǔn)備工作是一模一樣的。區(qū)別只在發(fā)現(xiàn)漏洞后的處置上,是報(bào)告給管理者,還是盜走數(shù)據(jù)賣掉。”軟件從業(yè)人員“蘇莉安”認(rèn)為。
相關(guān)人士認(rèn)為,如果烏云無法為“白帽子”提供相應(yīng)的保護(hù)、輔導(dǎo)、支持、規(guī)范、自律等措施,“白帽子”黑客被捕之后也沒有提供法律支援等措施,那么烏云只是保留作為漏洞報(bào)告平臺(tái)的工具屬性,但其社群屬性就被淡化了。
“如果最終判定構(gòu)成犯罪,將對(duì)整個(gè)‘白帽子’群體造成極大的震懾,沒有‘白帽子’還敢去給網(wǎng)站尋找、發(fā)現(xiàn)漏洞,這對(duì)于企業(yè)的商業(yè)利益以及用戶的信息安全都是非常不利的。”長(zhǎng)期研究IT行業(yè)的律師趙占領(lǐng)說。
國(guó)家信息安全漏洞共享平臺(tái)的另一合作方——補(bǔ)天漏洞響應(yīng)平臺(tái)尚未受到影響。截至7月20日凌晨2時(shí),澎湃新聞還能在網(wǎng)上看到“白帽子”黑客發(fā)現(xiàn)并報(bào)告的漏洞。記者注意到,該平臺(tái)為奇虎360公司旗下,并寫有《白帽子行為規(guī)范》,“對(duì)于在補(bǔ)天漏洞響應(yīng)平臺(tái)發(fā)布的漏洞,白帽子需要保證研究漏洞的方法、方式、工具及手段的合法性,補(bǔ)天漏洞響應(yīng)平臺(tái)對(duì)此不承擔(dān)任何法律責(zé)任。”
烏云是中國(guó)最早的漏洞報(bào)告平臺(tái),成立于2010年5月,主要?jiǎng)?chuàng)始人之一為百度前安全專家方小頓——這位1987年出生的國(guó)內(nèi)知名黑客“劍心”,因在2010年2月和百度創(chuàng)始人兼董事長(zhǎng)李彥宏一道參加湖南衛(wèi)視《天天向上》節(jié)目,因?yàn)榕迅吒枰皇锥鵀槿怂?/p>
烏云網(wǎng)聚集了一群愛好安全技術(shù)的“宅男”,他們也被稱作“白帽子”黑客,為計(jì)算機(jī)廠商和安全研究者提供技術(shù)上的各種參考以及漏洞bug的修復(fù)。他們?cè)跒踉粕戏窒砺┒矗挥械玫胶藢?shí)并已經(jīng)采取防范措施解決問題后才會(huì)被公開漏洞詳情。
如家酒店等開房信息泄露、13萬條鐵路售票網(wǎng)站網(wǎng)站12306用戶數(shù)據(jù)泄露、騰訊7000萬QQ群用戶數(shù)據(jù)泄露等一系列曾經(jīng)轟動(dòng)社會(huì)的泄漏事件,均最早在烏云網(wǎng)上由白帽子報(bào)告并引起平臺(tái)方的重視。
對(duì)于“白帽子”找到的網(wǎng)絡(luò)安全漏洞,中國(guó)廠商的回應(yīng)并不算熱情。頂尖“白帽子”黑客團(tuán)隊(duì)KEEN負(fù)責(zé)人王琦曾告訴澎湃新聞,中國(guó)廠商有時(shí)候會(huì)給予酬金,但大多數(shù)時(shí)候僅僅表示感謝。
小編賽選出來的一些網(wǎng)友點(diǎn)評(píng)
《到處轉(zhuǎn)轉(zhuǎn)1》
這種做法召來的問題就是:你既然誣陷我,那我就索性一不做二不休……
《Bryan13650172》
本來就幾個(gè)人知道的事 你弄得全世界都知道了 商家還得感謝你?拜托有點(diǎn)腦子好吧!沒經(jīng)過允許去探測(cè)漏洞和小偷踩點(diǎn)有什么區(qū)別?
《手機(jī)用戶5857708171》
我敢說佳緣這是在斷自己的后路,以后佳緣如果還被發(fā)現(xiàn)有漏洞存在,誰還敢報(bào)告?相信一點(diǎn),在互聯(lián)網(wǎng)上根本沒有攻不破的網(wǎng)站,只是在不停的攻防轉(zhuǎn)換,人家沒有用你的漏洞去牟利,你還去告人家,等你以后信息泄漏的時(shí)候,就等著哭吧!因?yàn)闆]人愿意用自己的好心和時(shí)間去換取一場(chǎng)牢獄之災(zāi)!
推薦閱讀
國(guó)融信網(wǎng)貸系統(tǒng)侵權(quán)迪蒙科技一案在深圳中院開庭
月12日,國(guó)融信網(wǎng)貸系統(tǒng)侵害迪蒙知識(shí)產(chǎn)權(quán)案在深圳市中級(jí)人民法院開庭審理。迪蒙當(dāng)庭展示了國(guó)融信侵犯迪蒙知識(shí)產(chǎn)權(quán)的系列證據(jù)。鐵證面前,國(guó)融信網(wǎng)貸系統(tǒng)對(duì)侵犯迪蒙知識(shí)>>>詳細(xì)閱讀
本文標(biāo)題:兩大漏洞報(bào)告平臺(tái)突然關(guān)閉:烏云和漏洞盒子宣布停業(yè)整頓
地址:http://m.sdlzkt.com/a/daohang/300390.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示