在網際網路世界,烏雲網一直扮演着“守護者”角色,但烏雲網模式自誕生起,就一直行走在灰色地帶,因而備受争議。烏雲網此次危機,正是這一灰色地帶的風險爆發所緻。方小頓顯然沒有意識到事态的嚴重性,前不久,他在朋友圈發“跑路”資訊時,還配上了一組做鬼臉的微信表情。以it男為主的好友群體紛紛點贊,并配合字裡行間的輕松姿态,附上留言:“方小遁”。
“我出去躲兩天”
與此同時,南方周末記者從多處信源獲悉,包括方小頓在内的“多名高管被抓”,烏雲網被迫停擺。
方小頓網絡id叫“劍心”,是烏雲網的創始人之一,也是赫赫有名的“白帽子”黑客。
在黑客江湖,一部分群體通過攻擊系統漏洞擷取資料,再把資訊兜售至黑市牟利,被稱為“黑帽子”黑客;另一部分是“正面角色”,号稱隻是将檢測出的bug送出至報告平台進行公布,提醒、倒逼企業注重使用者的資料安全,被稱為“白帽子”黑客。
一般而言,白帽子先将自己發現的漏洞送出至漏洞報告平台,稽核通過後會粗略釋出漏洞情況,并等待涉事機關認領。如若幾十天後仍沒有機構聯絡平台,将進一步公布漏洞細節内容。一直以來,烏雲網以這種方式公布資訊,敦促企業加強安全意識。
“往往不是黑帽子或者白帽子,而是斑馬,白天黑,晚上又洗白。”付德明對南方周末記者說,漏洞送出前,黑帽子與白帽子的身份界定模糊,送出後公布環節的流程不規範,造成烏雲網模式自誕生起,就在法律與道義上備受争議。付德明在一家世界500強公司做企業網絡安全防衛工作。
此番烏雲網被查事件在業界造成震蕩,再次引發了一場網絡倫理的讨論。
“這次是攤上更大的事兒了”
“這次是踩上雷了,幫不了他們(烏雲網)了。”一位與烏雲網有業務往來的it人士劉萍告訴南方周末記者。
劉萍介紹,實際上烏雲網已經被查處,多名高管也“被抓”。
7月19日,另一家網際網路測試平台漏洞盒子宣布,暫停接受網際網路漏洞與威脅情報。而且,“白帽子”黑客報告漏洞的頁面已經無法檢視。漏洞盒子也釋出了公告,稱“要對流程制度、規範等進行梳理”。
烏雲網成立于2010年5月份。在一期視訊演講節目中,方小頓回憶,自己在百度做網絡安全方面的工作時發現,國内除了bat等幾個巨頭之外,很少有公司有強烈的網絡安全意識,并且願意耗費時間、精力保護使用者的資料資訊。是以,有了成立一家平台,敦促企業注重安全的念頭。
以網絡id“劍心”為身份,在網際網路黑客江湖小有名氣的方小頓,聯合幾位同道者,成立了烏雲網。其宗旨是成為“自由平等”的漏洞報告平台,為計算機廠商和安全研究者提供技術上的各種參考以及漏洞bug的修複。
據《電腦報》報道,烏雲網的成名戰發生在2011年年底。當年11月,烏雲網根據白帽子提供的各種材料,連續披露京東商城、支付寶、網易等網際網路巨頭存在高危漏洞,12月29日更是指出支付寶1500萬至2500萬使用者資料洩露,以及一家政務網444萬使用者資訊洩露。
此後,烏雲網又相繼披露出酒店開房資訊洩露、支付寶漏洞、搜狗浏覽器洩露使用者資料、騰訊7000萬qq群使用者資料洩露等一系列重大的漏洞事件。
中科院軟體研究院博導丁麗萍曾參加過烏雲網組織的圓桌會議。她對南方周末記者說,一直以來,烏雲網争議的焦點是,有沒有權利檢測别人的漏洞,以及有沒有權利公開漏洞——即便有着高尚的出發點。
直到2015年12月,在烏雲網上送出漏洞的“白帽子”第一次“出事”。2015年12月,杭州的it人士袁炜,在烏雲送出了他發現的世紀佳緣網站系統漏洞。
在世紀佳緣确認、修複了漏洞,并按烏雲平台慣例向漏洞送出者緻謝後,事态竟急轉直下,世紀佳緣不久後以“網站資料被非法竊取”為由報警。2016年4月份,袁炜被司法機關逮捕。
袁炜妻子戴女士告訴南方周末記者,袁炜是嚴格按照烏雲網的釋出流程送出的漏洞,但是世紀佳緣在追究責任時,“繞過了烏雲,以及袁炜白帽子身份”。她說,袁炜的案子目前仍未出結果。
有人将此次烏雲網停擺與世紀佳緣漏洞相聯系,認為是上次事件的發酵。但是付德明予以否認。
“探地雷”與“撬保險箱”
根據此前釋出的《烏雲網漏洞稽核機制改進公告》,白帽子黑客發現某處漏洞後,向烏雲網送出漏洞,烏雲網稽核确認後,會把漏洞的概況在烏雲平台上公布。
其中,普通漏洞披露流程為5天廠商确認期,10天向核心白帽子公開其漏洞細節,20天向普通白帽子公開,30天向實習白帽子公開。直到45天之後,企業仍未主動認領漏洞,則會向公衆公開其細節。
付德明認為,這其中的每一個環節的正當性,都值得深入探讨。
他舉例說,有相應技術的黑客們,“黑”進一家企業的系統并發現漏洞,相當于一個江洋大盜撬開了銀行的保險櫃。按照白帽子、黑帽子約定俗成的分野,黑帽子黑客會直接将保險櫃中的财寶席卷一空;但是白帽子黑客的做法,是并不偷拿保險櫃中的“一針一線”,而是好心好意告訴銀行,保險櫃的鎖不夠安全,應該及時加強,更有甚者,會告訴銀行加強的方法。
付德明說,理論上看,即便銀行大門敞開,外人也沒有權利貿然闖入。
退一步講,如果銀行的保險櫃失竊,丢沒丢東西,隻要清點一下數目即可,但是數字化的系統對于“闖入者”性質認定就極為複雜,因為資料有着極其容易複制的特性,偷看資料、複制資料都可以非常隐蔽地進行。
“資料沒有丢失,但不代表沒有被偷看、複制。”他說。
“白帽子黑客說,我隻是發現了漏洞,沒有偷看,更沒有複制,這在技術上比較難以界定。”丁麗萍兼任中國電子學會計算機驗證專家委員會主任,她說,電子驗證在技術上極為困難,因為類似于截屏這樣的行為,很難去追查。
于是,黑客們将一家企業的漏洞送出給烏雲網平台之前,可操作的空間便已經很大。“說不定已經把資料賣了個遍,轉了幾手之後,再送出的。”付德明認為,在送出漏洞第一個環節發生之前,很難将白帽子與黑帽子的性質區分開來。
專注于網絡安全領域的盤古網絡技術有限公司創始人韓争光告訴南方周末記者,他本人并不喜歡“撬保險櫃”的比喻,因為這帶着一種偏見,認定黑客們一定會做壞事。但是實際上,确實有很多具有“俠客”精神的白帽子,隻是單純為了發掘漏洞,再提醒廠商修補漏洞,并不洩露資訊。
“一些白帽子提醒企業後,隻能得到很微小的獎勵,這與他們的勞動很不成正比。”韓争光說。
相較于“撬保險櫃”,他更喜歡用“排地雷”的比喻。韓争光認為,囿于開展業務的需求,系統記憶體儲着大量的使用者資訊,這屬于公衆利益的一部分,企業有義務、有責任,對這些資訊的安全負責。
但是事實上,絕大部分企業安全意識淡薄,并不怎麼把使用者的資訊安全放在心上。白帽子檢測系統漏洞的行為,相當于排除地雷,倒逼企業不斷修複、加強系統,起到了維護公衆利益的作用。
世紀佳緣選擇報警之後,在業界引起較大反響。很多人認為,堵住烏雲網平台這一正常途徑後,隻會逼迫白帽子轉黑,最後損害的還是使用者利益。
但是,排除白帽子送出漏洞之前的動機不論,付德明認為,烏雲模式當中,稽核、釋出漏洞的流程也值得商榷。
他分析說,白帽子送出了漏洞之後,平台要對這一漏洞的真實性進行稽核,而稽核的環節,其實是對系統的該處漏洞,又“攻擊”了一次。
稽核通過後,平台會将一部分漏洞通知企業,提醒其加強防範。但是也有大部分漏洞提醒直接發在平台上,等待企業認領。
“所謂的認領,不是主動找企業,而是等着企業主動找上門。”付德明說,在這一環節,一些安全意識較強的網際網路巨頭,會有專門的安全職位負責在不同平台巡視,是以能夠及時發現公布出來的安全隐患,早做溝通,予以解決。
但是絕大部分企業并不知道白帽子在平台上作出了提醒,“甚至不知道烏雲網的存在。”是以即便是後來傾向于認為白帽子是在做好事,也沒有趕過去認領,因為這一環節隻留給企業5天時間。
過了5天的認領期限,平台會分批次向不同等級白帽子公布漏洞的大概情況。“這個時候,還不會公布細節,隻是一些大概情況。”付德明說,到了這一步驟,情況變得糟糕起來,因為白帽子數量很多,即便不公布細節内容,也會有數量龐大的黑客開始在公布的系統提醒上挖掘,“像蒼蠅一樣,總會找出漏洞在哪”。
是以,從企業利益的角度出發,發現漏洞越及時,挽回損失的餘地越大。
如若在這一環節當中,仍未見企業現身,45天後,烏雲網會在平台上公布漏洞的細節内容。
“告訴你哪裡門沒鎖,這實際上等于公布資料資訊了。”付德明認為,平台沒有權利公布資料内包含的使用者資訊。
對此,韓争光分析,烏雲網的送出、稽核、釋出流程,借鑒了國外的經驗。之是以最後會有公開釋出漏洞細節的環節,是為了敦促企業加強安全防範。“企業應該加強安全意識,保護好使用者的資訊”。
誰來保障使用者資訊?
《南方周末》曾經報道,2015年4月,一位id名為“路人甲”的網友在蘇甯的實體店裡購買了幾件電器後不久就多次接到400開頭的詐騙電話。他随後對蘇甯系統進行測試,挖出了蘇甯資訊洩露的漏洞。
蘇甯易購方面表示,已向南京玄武區警察局報案,并會全力配合警方調查,但是不會對受害者進行賠償。
韓争光認為,白帽子之是以有存在的價值,是因為企業資訊洩露後付出的代價很低,才需要白帽子們敦促企業,加強整個網絡世界的安全級别。
在這個問題上,付德明部分同意韓争光的看法。他認為,正常的邏輯應該是,使用者把珠寶存在銀行保險櫃裡被偷了,使用者不會自己去抓小偷,隻需要銀行賠償損失即可。
如果網絡世界也遵循這一條規則,企業将會對因為保管使用者資訊不嚴密導緻資訊洩露付出慘痛代價,自然而然會加強安全防禦,白帽子便也就沒有存在的必要。
“銀行不會找小偷測試防盜門牢固不牢固,這個不用你提醒。”付德明說。
知名it與知識産權律師趙占領,曾代理過蘇甯易購資訊洩露案子。他對南方周末記者介紹,理論上企業要為洩露使用者資料承擔責任,但是資料資訊在技術上難以界定,“企業會說,這些資料不是在他們這裡洩露的,或者說,即便是他們洩露的,但是詐騙案不是利用這些資料進行的。”
趙占領介紹,全國範圍内,使用者狀告企業洩露個人資訊的案件并不多,勝訴的更少。原因在于,使用者自身缺乏權利意識,再加上訴訟成本很高,且企業賠償的案例并不多。“發生過很多起酒店開房資訊洩露的事件,但是起訴的不多。”
丁麗萍介紹,新修訂的刑法286條,明确了企業保護使用者個人資訊的責任主體。如果能夠認真執行,企業漠視網絡安全的情景應該會慢慢改變。
====================================分割線================================
本文轉自d1net(轉載)