從事安全研究的小a是一名“正義的黑客”——白帽子。
他發現計算機系統或網絡系統中的安全漏洞,提供給企業和機構,幫助他們修複漏洞, 而不會惡意去利用。這樣一來,在其他人(例如小a的對立方,黑帽子)在利用之前,小a就可以讓企業和機構避免損失。
6月1日《網絡安全法》正式實施以後,對白帽子參與滲透測試行為提出了法律要求。小a有點慌:因為他熱愛的漏洞挖掘,有可能會踩到法律的“雷區”。
這篇對白帽子的《網安法》寶典,會告訴小a:他應該知道的幾個法律雷區,以及相應的處罰和責任;小a現在怎麼做,才能符合《網安法》的要求,減少、規避自身的風險?
我們以小a可能會碰到的場景開始。
《網絡安全法》中,小a容易碰哪些“雷區”?
1、小a如果未經授權就去開始滲透測試,或者開展滲透測試的時間不是在客戶授權的時間,或者測試範圍超過了客戶的授權,都可能被認定為是非法入侵他人網絡的違法行為,需要承擔法律責任。
2、小a在客戶授權下進行滲透測試,但是在測試過程中竊取或篡改了客戶的資料,也構成違法行為,将會面臨法律責任。
3、小a在客戶授權下進行滲透測試,發現了客戶系統的漏洞,正常情況下應該聯系客戶修複,但是小a對外公布了這些漏洞,這屬于違法行為,将面臨法律責任。
4、小a寫了一個批量擷取殭屍電腦的工具,上傳到網上,這屬于提供危害網絡安全活動的程式、工具,也屬于違法行為,将面臨法律責任。
5、朋友在做一些竊取别人網站資料的違法事情,找到小a,小a通過漏洞拿到的網站的權限,然後提供給朋友,這個過程,小a提供了技術支援,同樣面臨法律責任。
6、小a寫了一個程式或者修改别人的程式,在程式中插入了惡意代碼,然後釋出到網上被惡意傳播,導緻大量使用者中招,會面臨嚴重的法律責任。
7、小a無意中發現了某城市交通的系統漏洞(國家關鍵資訊基礎設施:公共通信和資訊服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域),然後進行入侵,幹擾正常的業務功能。
由于這些關鍵資訊基礎設施一旦遭到破壞,可能會嚴重危害到國家安全、國計民生、共公共利益,是以小a将會面臨更嚴重的法律責任。發現問題,應該第一時間聯系有關部門(例如國家網際網路應急中心)通知修複。
8、小a在境外對中國境内的能源基礎設施做滲透,造成系統癱瘓,也會面臨法律責任。
不小心踩了法律“雷區”,小a會收到什麼處罰?
1、尚不構成犯罪的,由公安機關沒收違法所得,處五日以下拘留,可以并處五萬元以上五十萬元以下罰款; 情節較重的,處五日以上十五日以下拘留,可以并處十萬元以上一百萬元以下罰款。
2、構成犯罪的,将會被判處有期徒刑或拘役,并處罰金。
3、受到治安管理處罰的人員,五年内不得從事網絡安全管理和網絡營運關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網絡安全管理和網絡營運關鍵崗位的工作。
白帽子小a,他現在應該做什麼?
作為一個白帽子,小a首先要了解《網絡安全法》,培養自己良好的社會價值觀,在測試過程中,發現問題,積極協助客戶去修複安全漏洞。
給小a的9條“守法”建議:
1,進行滲透測試前要取得客戶授權;
2,在客戶授權的時間和測試範圍内進行測試;
3,發現漏洞盡快通知使用者,不公布和傳播漏洞;
4,不竊取、出售、篡改使用者資料;
5,不惡意攻擊他人伺服器;
6,不在他人伺服器留後門;
7,不去入侵或幹擾國家關鍵資訊基礎設施的系統;
8,不協助他人攻擊别人伺服器;
9,不傳播惡意攻擊程式。
其次,小a在測試過程中,可以用用以下的建議:
1、任何測試一定要得到授權,要選擇能保護自己的平台。測試過程時刻記得點到為止,不得竊取,篡改資料,留後門,或者做一些可能影響業務的操作;可能需要進一步滲透的,需要提前聯系廠商進行報備,在征得同意的情況下,繼續測試。
2、在做測試的過程中,盡可能保留測試過程,當有問題發生時,避免一些不必要的麻煩。
3、送出漏洞選擇有實名認證的平台,要簽署白帽子協定。這樣在出現問題時,在不違反法律規定和協定約定的前提下,平台可以保護白帽子利益。
緻已經、或将要加入先知的白帽子們:
守法第一,責任為先。
從2015年開始,阿裡雲先知平台逐漸建立了從身份認證、行為審計到漏洞稽核的“可信閉環”。
在身份認證和人員準入方面,先知測試人員經過支付寶實名認證;
在行為審計和漏洞稽核方面,先知通過大資料安全分析,對測試人員行為及路徑進行實時審計和展現,判斷其操作是否符合平台規則;同時為企業提供完整的漏洞報告,對企業的漏洞資訊嚴格保密。
2016年,阿裡雲也通過《安全服務職業宣言》向安全行業發出“尊重、正直、公正、責任”的倡議,承諾始終将客戶安全放在第一位,呼籲安全行業從業者保護客戶的隐私與權益。
2017年,先知平台的主題是責任。在《網絡安全法》正式實施之際,先知呼籲所有平台上的白帽子都能去懂法、守法,嚴格遵守先知平台的保密規定,保護自己。
在先知,白帽子,是一群有技術、有愛心、有正義感的網絡護航者。而《網絡安全法》的要求,是對正義者的保護傘。白帽子們,走好每一步,用技術和責任去為世界帶來更多美好的改變。
<a href="https://mp.weixin.qq.com/s/d8horntz28zwdn81th4jmw">原文連結</a>