標籤:

如何看待白帽子在烏雲網提交世紀佳緣網漏洞後被抓?

11-25

更新:感謝大家一直以來的關注關心,袁煒已經出來了。事情告一段落。

再次感謝。


吳總 @吳琳光 你好,

袁煒被捕已經近4個月了,我看到了家屬和烏云為了此事所付出的各種努力,多次試圖與您溝通未果,在這裡看到您的回應,非常高興,看來以前是家屬跟您之間溝通的方式不太對。

當然作為袁煒的朋友,我更加關心袁煒自身的狀況,被捕四個月中間,家屬一次沒有見到他,律師反饋其精神狀態有些消沉;袁煒只是一個普通的程序員,因為職業原因,才對網路安全產生了興趣,到烏雲來學習,作為一個新手,行為可能有些過界,但被關押這麼久,不管是家屬還是他個人都是一個嚴重的打擊和警告。

不管是對這種行為的懲戒還是警告,都已經達到了目的。


但仔細看您的聲明後,我跟家屬了解詳細情況後對比之下,吃驚的發現貴司在陳述事實與實際行為之間巨大的差異,我不想以惡意揣測您的意圖,也不想大家因為這些產生非議,所以下面幾點需要您幫忙解釋一下:


一、您說「出於對用戶數據和信息安全的擔憂,我們還是選擇了報警」。事實上,案發時間是2015年12月3日,貴公司報案時間是2016年1月22日,如果貴公司真的是出於保護用戶數據和信息的考慮,為何在案發之後近兩個月才報警?


二、另外你表示「事後統計發現,攻擊總次數累計達到4000餘次,共有900多條有效數據被攻擊者獲取」。世紀佳緣網站報案時聲稱的是「世紀佳緣網有 4000 余條實名註冊信息被不法分子竊取。」上述兩種說法的差距之大足以影響司法機關的審理和判斷,那麼貴公司報警的說法和您此次的聲明之間的出入,又是基於什麼原因呢?


三、 「涉案人袁煒於2015年12月3日和4日使用黑客軟體Sqlmap掃描世紀佳緣網站,通過漏洞獲取了網站數據」。如果定義Sqlmap是黑客軟體,是不是意味著使用這個軟體的人都是黑客?


四、事後世紀佳緣委託了第三方鑒定機構對伺服器日誌進行了鑒定,鑒定報告只發現了有900餘條數據被讀取。讀取和獲取一字之差,意義卻相差萬里,刑法規定了非法獲取計算機信息系統數據罪,沒有規定非法讀取計算機信息系統數據罪。讀取和獲取一字之差足以嚴重影響袁煒的一生,不知貴司對此有無解釋?


五、聲明稱「依照刑法,侵入計算機信息系統,獲得存儲、處理或傳輸的數據超過500條就屬於刑事犯罪的範疇了。」事實上,我國刑法沒有如此規定。引用之前的帖子:

身份認證信息500組以上才構成犯罪,而500條和500組又是一字之差,意義相差萬里。世紀佳緣被讀取的900餘條信息是不是身份認證信息以及這些身份認證信息能折算成多少組,而這些信息中具體包含了多少公民個人信息,請貴司能否舉出證據。


吳琳光先生,在你的本次回應中,將數據被讀取稱為數據被獲取,將刑法規定的500組換成500條,又將「數據」換成身份認證信息或者公民個人信息。

這幾個問題會嚴重影響此事的性質認定判斷,會對袁煒的命運產生重大影響,所以,希望得到您的解釋。

不知道有多少人仔細看過他父親寫的那個情況說明,我是有一點疑惑的。先簡單寫兩筆。

原文:

以SQL注入為手段的訪問請求,注入請求為4400餘次。SQL注入成功後,入侵者對網站資料庫進行了讀取操作,涉及」讀取「操作的資料庫數據信息為932條。

Web狗們最常用的工具就是Sqlmap了,洞主報的信息(世紀佳緣某處SQL注入涉及千萬會員信息)里也用了Sqlmap,這個肯定是事實了。

根據截圖,一共6個庫,其中兩個庫里共有107張表。

該司法鑒定所給出的「注入請求」和「涉及『讀取』操作的資料庫數據信息」這兩個說法,暫且認定是「含有payload的HTTP請求」和「上述請求中涉及到的SQL行數(去重)」。

第一張截圖證明是個整型過濾不嚴,請求了105次之後打出來了。payload也很簡單。再暫且假定第一張和第二張是連續截圖的(實際完全不可能)。我沒有細讀sqlmap對這種簡單注入的判斷過程,就只能以手工注入的思路去思考:6個庫我至少要讀6行;其中一個庫有107張表我至少要讀107行;再回頭看看這六個庫里除去兩個系統庫,剩下的兩兩一組,crm和crm_source庫是一組(107張表),datecrm和datecrm_source庫是第二組。按照命名規則,猜測crm是保存用戶信息的,而datecrm是保存約會信息的(存疑)。按照業務量推測,datecrm里的表數量和crm大致是同一個數量級,但不會多太多,因為一個人的約會數據一般都會在一次以上,一個表3kw記錄八成要炸,所以要分表存儲。這樣可不可以認為這兩組一共有170張表左右?170張表就是170條記錄,但是這170條記錄可不是用戶記錄,也不是身份認證信息。

932-170=762,這就不是一個級別了。再算上中間涉及到的表、視圖、關聯等等呢?我對932條數據中到底有多少值錢的數據表示懷疑。平常做測試的有環境,也可以自己看看,sqlmap的『無效』查詢有多少。

入侵獲取金融證券系統身份認證信息 10 條以上、一般系統 500 條以上,就可以視為情節嚴重。

既然都在講法律,那就找個好律師,一字一鉚釘的談談吧。

另外個人覺得,這個案子怎麼判,一定程度上會影響到今後黑產從業人員數量的多少。

- - - - - 7/7更新 - - - - -
這兩天這個答案一直有提示,今天點開看看竟然有幾十個贊…受寵若驚…謝謝各位…

實際挺有必要建立一套灰名單機制的,達到一定判定標準的單位被劃入灰名單後,選擇廠商的界面蹦個對話框,大寫加粗黑體60pt背景紅底閃爍,提示「提交漏洞信息之前請確保您的行為合法合規,否則請自行聯繫公安機關自首或聯繫法務人員進行證據保全…」

開玩笑的你們不要信。這種待遇還是留給漏洞修復不力的公司吧。

這不就是漫畫《內戰》的故事背景嗎?

(不是電影版,電影的矛盾被弱化了,漫畫探討了更深層次的問題)美國的超級英雄越來越多,多達幾百上千人。
有的一身正氣,有的亦正亦邪;
有的只是經過訓練的普通人,有的認真起來能毀天滅地;
有的正大光明公布自己的身份,有的堅決活在陰影里不露面。
但在這些千奇百怪的英雄們打擊壞蛋、維護和平時,總有幾個繞不開的問題:

  1. 他們在戰鬥中損壞的財產和死傷的群眾,是不是都能以正義為名一筆勾銷,不被追究?
  2. 他們打擊犯罪時也會採取一些遊走於法律邊緣或明顯違反法律的行為,是不是也同樣該被放過?
  3. 他們憑自己的好惡行事,是否能保證所作所為一定符合大眾的利益?
  4. 普通民眾如何分辨兩個把城市打成斷壁殘垣的人里,哪個是超級罪犯、哪個是未公開身份的超級英雄?

在質疑愈來愈烈時,鋼鐵俠提議超級英雄進行註冊,政府成立部門管理和派遣任務;而美國隊長堅決反對,認為這隻會讓英雄們成為走狗,自由精神不再。

白帽子身上發生的這件事和超級英雄世界中的矛盾極其相似。
黑客對計算機系統的攻擊、滲透、破解能力,對普通人而言和架空世界裡的超能力一樣。
正邪的分界線也絕沒有那麼清晰:白帽子在未授權情況下對某網站或伺服器的滲透測試,和真正準備盜取數據的黑客所做的準備工作是一模一樣的。區別只在發現漏洞後的處置上,是報告給管理者,還是盜走數據賣掉。
對網站的所有者和用戶而言,對某位黑客所做的一切是安全測試還是惡意攻擊,僅有的線索就是他自己的說法:他說是善意就是善意的,他說惡意的……誰會主動這麼說?

烏雲網其實可以看作一個超級英雄們自組織的聯盟,口碑靠的是組織者和參與者的自律,以及和安全業界、技術圈子多年的良好關係。
但是,這種自律如何讓圈外人信任?如何讓對技術、對黑客精神一無所知的普通人相信他們擁有互聯網中的超能力、但絕不會傷害自己?
與政府行為或企業行為相比,黑客的個人行為自由度更大、受到的監管更少(如果沒有引發公安的調查,基本等同0監管),並且希望能夠以自己目的的正當性來減少所負的責任。
就像超級英雄追捕壞人時炸掉的大樓、毀壞的汽車不用他們自己來買單一樣。

漫畫《內戰》的導火索是一群少年英雄為了出名,在網上直播自己對壞人老巢的突擊行動,結果行動失敗,引發大爆炸,死傷了幾百人,引發了全社會對超級英雄行為正當性的大討論。
現在看到一些白帽子大罵世紀佳緣垃圾,有的還只是說沒人幫你了等著黑帽入侵吧,有的乾脆就明裡暗裡號召大家去收拾收拾這個混蛋公司。在這種氣氛下,會不會真有人一時激憤,做出真正的犯罪行為來?
如果有的話,對白帽子們的打擊,比漫畫里那幾個愣頭青對超級英雄的打擊可要大多了。
任何人也不願看到這種局面。
就像我們不願看到英雄們自相殘殺、以及被逮捕投入監獄一樣。
就像我們不願看到追求正義和自由而寧可遁入陰影對抗體制的美國隊長,最後卻被他原本想保護的群眾所反對一樣。

漫畫中所探討的問題,其實從頭到尾都是沒有明確解答的難題,如果能簡單地說一方是對的,另一方是錯的,那就不會從一開始觀點相異變得立場分裂,最後打得天翻地覆了。
現實中,無論是站在廠商那邊,還是站在白帽子這邊,都能說出無數理由來指責對方。當然,最好的結果是雙方互相信任、互取所需,但這種信任的基礎是什麼呢?善意的來源又是哪裡呢?
正義和自由、效率和公正、目的和手段應該如何取捨呢?

我不是安全圈子的人,但信息安全是和所有人息息相關的事。就像討論疾病不僅僅是醫生的事,討論法律也不僅僅是法官律師的事一樣。
既然白帽子們不僅僅是為了自我滿足而做,就應該儘力把自己所作所為的意義表達出來給更多的人聽,讓更多的人理解。同時如果是為了保持自由的黑客精神,也應該展示出自己與商業公司及政府機構在網路安全方面的低效、官僚化和一味逐利比起來有哪些優勢。而不是單純的對抗。
雙方都選擇一味對抗,只能造就衝突,進而成為悲劇。

一、白帽子確實是違法了,但違法不等於犯罪;
二、世紀佳緣的行為沒有考慮企業形象,而且斷絕了與白帽子們的合作可能;
三、世紀佳緣有可能因遭到惡意攻擊而出現大規模的用戶數據泄露;
四、會有大批註重個人隱私的用戶離開世紀佳緣,進而導致世紀佳緣股價下跌;
五、本次事件中,世紀佳緣的公關極其失敗,基本等同於白痴。

2016.7.08世紀佳緣是負心人。
2016.7.08補充,世紀佳緣不只是負心人,還是黑白不分的X眼人。
2016.7.10補充,這屆世紀佳緣不行。世紀佳緣不只是負心人,還是黑白不分的瞎眼人,更是只顧自己利益的黑心人。我認為,世紀佳緣報警抓捕白帽子,不是因為烏雲網和袁煒的技術水平和合同問題,完全是因為他們揭露了世紀佳緣的黑色漏洞讓世紀佳緣的人感到不爽。

我在微博中與世紀佳緣CEO @吳琳光溝通的過程中,居然被其拉黑,如此作風,那樣惡毒地對袁煒毫不稀奇,當年360周鴻禕設局把DoNews劉韌送進監獄,好歹還算是名正言順,今天作為一個世紀佳緣的註冊者(我絕不願意被稱為這種廠商的用戶),我深深地感到憤怒和噁心。

給吳總@吳琳光 未能發出去的回復:

我不由得深深地懷疑你們的品格,對待用戶的態度以及能力。你們並不是普通老百姓,你們是手握全世界數億用戶的資料商業公司,你們的安全問題,不只是你們公司的,首先是公眾的安全問題,凡是侵犯這些信息的,人人得而誅之,而不好好保衛這些資料的,與之同罪,發現了問題不面對,反而文過飾非、轉移視線,甚至報復指出問題的白帽子,應當罪加一等!

眾所周知,在目前網路安全狀況下,世紀佳緣這樣的商業公司利用億萬用戶的信息去牟利卻沒有保衛用戶信息萬全的能力,這是一個普遍現象,在他們沒有足夠能力的情況下,民間的技術安全人員自發組建了烏雲一類的平台,以群防群治的辦法來保衛人民的信息安全,但是,以世紀佳緣 @吳琳光這批人為代表的一小撮公司和一小撮商業人士,不但不感謝白帽子的好意提醒,反而利用白帽子安全人員對於廠商的善意與不設防,採用不違法但是惡毒的手段使白帽子安全人員袁煒身陷囹圄,袁煒老父只能通過散發資料這樣的形式來引起注意,但是收效甚微,我主動與其溝通,卻被屏蔽,這樣的人品,這樣的作風,只配一個評價:

不行!

那麼問題來了:
烏雲網是不是電線杆廣告醫生級別的安全公司?
世紀佳緣是怎麼看待烏雲網的技術水平的?
世紀佳緣是不是把烏雲網看作是電線杆廣告醫生級別的安全平台?

這是廠商問題 和烏雲沒多大關係。廠商假借送禮物向白帽索要地址,然後就報警抓人,呵呵。
來自烏雲的一條隊形:非常感謝提交漏洞和對世紀佳緣的支持,我們已第一時間將漏洞修復完畢,並抓捕了你.

這件事,世紀佳緣內部決定釣魚抓人的那決策者,和網上這些光從法律角度談問題說沒抓錯的人,都很幼稚。
為什麼幼稚,很簡單,因為現在社會的事實是,一個法律制定出來後,不是說人們就都守法了,不守法的人就都被抓了的。法律永遠把整個人群分成兩部分,一部分是守法的人,一部分是不守法就是專門跟你對著乾的人。由於警察資源永遠是有限的,所以導致違法的人永遠存在。
所以公司里這個做決策的人,他要考慮的不僅僅是把守法的人考慮進去,他還要考慮那些不守法的人。因此他的思維就不能單純到認為,法律是禁止滲透的,你滲透我了,我就報警抓你,人家恰恰就是因為幫他的忙才會暴露給他,這一抓,以後怎麼辦,他如何面對那些滲透他網站但什麼也不和他說的那些真正的黑客呢,完全靠網路警察嗎,網警的力量畢竟也是有限的。由此可見世紀佳緣的這個決策者大腦是差一竅。
----------補充幾句話:
原本的情況是,白帽子自覺把漏洞提交後,廠商有彌補漏洞的機會,以免持續遭到黑產的侵襲。現在世紀佳緣把白帽子一抓,接下來的會發生的事情很好推理,那就是白帽子不再處理世紀佳緣網的漏洞,也就是世紀佳緣網如果再次出現漏洞,被處理被修復的可能性降低,導致我們的用戶數據在世紀佳緣網的伺服器上的安全性降低,導致我們用戶不再願意把自己的數據放到他的伺服器上。由此倒推回去,當初決定抓白帽子的決策,是錯的,和法律支不支持其實沒多大關係。
抓人的前提很簡單,就是你能夠百分之百的控場,或者法律執行者的實力可能百分百控場。假如世紀佳緣的安全團隊實力足夠高,高到能夠防範任何一個黑客攻擊的前提下,你可以抓人,或者是你確保網警的實力能偵破任何一個黑客入侵的案子,而且是迅速偵破,也可以抓人。
-----------接著更新
吶,報應來了,傳送門在此:白帽黑客無奈:發現漏洞不是不想報,吃力不討好
這回倒霉的可是我們所有的人。
有很多人把注意力放在違不違法上,違法了所以怎麼怎麼樣,我覺得很奇怪,這和違不違法有什麼關係,法律的執行者能照顧到這一塊嗎,照顧不到,談法律有何用?

和當年微博報警抓了玩 XSS 蠕蟲引起的反彈類似,現在這個反彈恐怕更大。對於廠家來說,法律當然說的過去,道義上就麻煩了,籠絡人心主要靠道義。

另一個觀點是:

雖然我不是什麼什麼帽子,但是我不反對現在各種帽子,你看到的只是個例,我看到的是遊戲規則里的平衡…

-------------

很多白帽子在聲討的同時,也建議多了解了解法律,法律不會因為你的聲討而妥協,白帽子要學會保護自己,以免遇到措不及防的「坑」。

何必火中取栗,還不如刷CVE,悶聲挖大洞:)

At the end of April 2011, an anonymous hacker broke into the PlayStation Network and stole personal information of some 77 million users. George Hotz(a.k.a Geohot) denied any responsibility for the attack, and said "Running homebrew and exploring security on your devices is cool; hacking into someone else"s server and stealing databases of user info is not cool". https://en.wikipedia.org/wiki/George_Hotz

「非常感謝提交漏洞和對XXXX的支持,我們已第一時間將漏洞修復完畢,並抓捕了你」。看過這麼一句話,你會不會莞爾一笑?對了,還有一條表情包的內容是這樣的「我有烏雲保護,日你網站怎麼了,不僅日你網站還拖你褲子……怎麼了」。大家又樂呵了一把。

昨天一條信息引爆了國內的信息安全行業,某廠商報案把某平台上一個提交漏洞的技術人員給抓了,行業兩派的爭議不斷,互相鄙視,程度遠遠超過了當年Windows陣營對Mac陣營。「白帽子」派(我們姑且這麼叫)是說廠商太無恥,我們好心給你們提漏洞,你們居然敢這麼對我們,你們要像其他廠商學習,人家不只快速修復,還有獎勵;「親廠商」派說你們明確觸犯了刑法,未得到授權,泄露了信息,把一個單純的技術漏洞硬是利用到了公關層面,公開數據公開細節,對企業造成了極大的負面影響。

我並不想就本身的事件進行任何的重複,我碼這段文字是因為我發現大家沒有意識到,要爭論的根本問題是什麼。白帽子和漏洞平台到底想要達到什麼樣的訴求,廠商到底想要達到什麼樣的訴求,以及最終能通過什麼樣的渠道去解決。

大家喜歡用一句話來說明問題「不忘初心,方得始終」,這似乎是一把尚方寶劍,放到哪都能用,都是權威,說了這句話我們就無敵了,任何傷害反彈。好吧,我們按照這個思路來說明一下問題。漏洞平台的初衷和白帽子的初衷是什麼?我暫且先用這麼一句話來代表白帽子描述「我們有著足夠強大的技術力量能夠幫助企業發現問題,並協助企業解決問題。也希望企業能夠信任我們,支持我們的行為。我們並不求任何回報,不過有一定的回報我相信我們能配合的更深入更好。

我覺得這個初心沒有任何問題,這個社會一定有很多人心存善意,願意打造一個和諧互助的環境。但是一個巨大的攔路虎在哪裡:刑法兩次的修正案都明確定性了,未授權入侵檢測,獲取了數據,尤其是在傳播的情況下明確屬於違法行為。這些條文大家能看出來,防君子不防小人。一個國家需要這麼一批有能力的人,但是又不希望是完全不可控的,所以立了法,沒有傷害沒人追究就持觀望態度,一旦事情鬧大有了負面影響,不打擊是不可能的了。

任何一個個體抗風險能力為0,你的善心在尚未得到驗證之前是不被認可的,說抓也就抓了。於是出現了一些漏洞平台,他們有一些官方層面的認同和合作,有些事情就有了溝通渠道。這時候,白帽子群體的共同訴求開始進行了轉變,他們希望「這種漏洞的發現和披露形式是合法合規且合理的」。也許掩蓋了一些魚目混雜的假白帽,但是大部分人還是希望能夠往好的方向發展。

這個過程中,形式確實發生了一些變化,執法部門加入了嘗試性的接觸和觀望態度,他們也不希望涉入太深;各企業也開始了與各漏洞平台試探性的合作。記住了,這些都是實驗性質的,誰也沒有對此定型善或者惡,都想先通過行業的自我發展來進行妥協和調整。

但是這種嘗試性的合作前期引起了誤解,最直接的體現是有少數一批白帽子們並沒有認清形勢的發展,突然感覺良好,認為漏洞平台的實驗性質的合作就是合法,導致無限膨脹了。比如有白帽子認為不給獎勵就是有問題,比如有白帽子認為廠商在技術上不認為是漏洞也是有問題,甚至是這種問題激怒了白帽子引發了「恐嚇」,「脫褲」,「刪數據」等過激行為(這是真實發生過的)。

前期衝突幾乎是一定的,可以預見的,因為沒有規則,沒有權威的機構,只有民間自建的體系。記住了,所謂的和諧體系是一個初期妥協的產物,廠商對漏洞平台的所謂合作,以及對白帽子們的認同,這種微妙的合作關係非常脆弱,就如同一張窗戶紙,一捅即破。如果廠商覺得白帽子的行為不可控,所謂的提交漏洞對企業弊大於利,那麼企業就會反彈,撕破那張紙,向有關部門施加壓力。相關部門壓力積累到一定量的時候,很多事情就扛不住了,心想給你們機會不好好珍惜,鬧得社會不安寧,看著心煩於是乾脆一巴掌拍死得了。

我們回到最初的訴求,白帽子是希望自己的身份得到認可,希望跟企業更好的合作。企業希望看到的是你真誠的笑臉,而不希望看到你背到後面的手上拿著一把刀。尤其在這個已經明確定義為不合法的法律社會,白帽子很多事情不能做,很多玩笑不能開。你可以試想一個國家的領導人到勞苦大眾中視察,滿臉的笑親切的很,但是如果一個小攤販不識好歹,嘗試跟領導人勾肩搭背做兄弟狀,他離死也就不遠了。領導人跟你勾肩搭背開玩笑可以,你爬到他身上就不行。

上面說的大家如果能理解,那麼我們再往後走一步:目前不合法,未來能不能合法?如果未來都看不到希望,我覺得這個社會未免太黑暗了。同性戀在多少年前全球就不合法,但是到今天我們再看看,許多國家已經明確立法支持合法,很多國家雖然沒有明確支持,但是也沒有明確反對了,這就是進步這就是改變,這就是方向。所以,其實各大漏洞平台都在做這樣的嘗試:漏洞平台越來越多,接入的廠商越來越多,跟相關部門的合作月來越多,白帽子越來越多切越來越能管控自己在一個合理可控的區域,那麼整個生態體系的抗風險能力就強了,它就從一個黑暗面逐步進化到台前。這難道不就是希望么?

有個觀點我還想說一說,白帽子之所以發生膨脹,漏洞平台不能完全脫離干係,如果平台沒有處理好跟廠商的關係,那麼平台必須對真正善意白帽子做好保護工作,比如漏洞如何披露,數據如何展示。白帽子沒有法律意識,漏洞平台必須有法律意識,找相關的律師事務所合作,不只是保護平台,也要保護好白帽子在做貢獻的同時自身是安全的。除此之外,給白帽子進行一些規範,有所為有所不為,哪些紅線不能踩一定要先溝通好。否則,收漏洞時很開心,披露時也很開心,事情鬧的還挺大,出事了平台說跟我無關是不利於行業發展的。

最後,有利益的地方就有犯罪,有進步的地方就有衝突。我們不要因為一些特例來一棒子打死一個新方向的嘗試,我們為任何過激行為(不論是白帽子還是廠商)表示遺憾,我們還是希望呼籲所有人正確看待白帽子們的貢獻。電能電死人不代表我們就不用電,車能撞死人不代表我們就不開車,電和汽車都是科技的產物,都是人類社會進步的產物。我們應當給予適當的包容,適當的理解,適當的欣賞。

-----------------
補充:關於這件事情本身,我跟平台和企業方之前都深入接觸過,因此我也想再補充幾句:
1,白帽子未必做了傷天害理的事。對他而言,當他在點擊「提交漏洞」按鈕的時候並不認為跟往常有任何區別。只是報告漏洞,提供了一些證據,然後收到企業方的致謝以及小禮物。他知道自己並未做出任何破壞性的工作,相信廠商是理解的。
2,企業方的技術團隊未必真要抓白帽子。大家想過沒有,所有企業內部的安全技術團隊成員其實就構成了現在的所有漏洞平台的白帽子團隊,他們發現別人廠商漏洞的成就感遠比發現自己公司的漏洞來得更強。某種意義上說,雖然技術人員相愛相殺,但是某個層面上會達成一致,不至於通過法律途徑來解決。就好比小學生鬧矛盾,大家會鄙視「告老師」的那位小盆友。所以,不要鄙視廠商的技術團隊。

最後,為什麼會出現此類情況?我覺得兩種可能性比較大:一是白帽子溝通過程中表達不當(白帽子太不擅長跟廠商打交道了,同學們啊)激怒了廠商;二是廠商那邊有個「主戰派」,他們不一定懂技術,但是一定是公司相關權利部門,比如法務部/公關部之類的,當然,最怕的是老闆,最怕的是老闆,最怕的是老闆。一個暴燥如雷的老闆會直接推動事情的進展。他們會喊出「犯我領土者,雖遠必誅」的口號。強權確實在某些方面是有效的,至少氣勢上威懾住你。

所以,別怪白帽,別怪企業技術團隊。大家多一些包容,把誤會一步一步的消除。

1、首先非法侵入計算機信息系統罪針對的是入侵國家事務、國防建設、尖端科學技術領域的計算機信息系統。這個案件涉及的是世紀佳緣的信息系統,不屬於這三個領域。

入侵其他領域的計算機信息系統,不構成該罪名,可能涉及非法獲取計算機信息系統數據罪,但是不僅要求存在入侵行為,即採用破解密碼、盜取密碼、強行突破安全工具等方法進入,而且要求獲取計算機信息系統中的數據,司法解釋規定有具體的立案標準,白帽子在驗證漏洞過程中一般不涉及獲取數據,但不排除使用的個別技術工具存在自動緩存功能,將系統中的數據自動存儲在本地電腦中,這種情況是否涉嫌犯罪可能存在爭議。

至於破壞計算機信息系統罪,需要具備三種情況之一:破壞計算機信息系統功能,即對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行;破壞計算機信息系統中存儲、處理或者傳輸的數據和應用程序;故意製作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行。白帽子的行為通常都不涉及這三種情況,如果涉及,一般也不屬於白帽子。

2、這個案子對於白帽子群體以及國內整體的信息安全水平提升都影響非常大。白帽子不同於黑客最大的地方在於,白帽子利用自己的專業技術特長、結合興趣愛好,主動尋找網站存在的安全漏洞,發現後不是利用漏洞從事破壞活動,或者用於營利等非法目的,所以,白帽子的行為對於網站而言沒有破壞性,相反幫助網站及時發現漏洞、修復漏洞、以防給企業或用戶造成嚴重損失,對網站具有積極的建設性作用。

3、實踐中,白帽子發現安全漏洞並由第三方平台披露可能對相關網站影響很大,所以如果發布的漏洞信息不實,將嚴重影響企業的合法權益,白帽子也將面臨相應的法律風險,白帽子要為自己的言行負責,這就要求白帽子在提交漏洞信息前,需要對該漏洞進行相應的驗證,提供必要的證據證明該漏洞是真實存在的。所以白帽子對安全漏洞進行驗證本身不是出於非法的目的,客觀上也沒有從事違反法律規定的行為,所以也不應認為涉嫌犯罪。

烏雲法律顧問 -- 趙佔領

昨天凌晨寫了篇稿子,值得甲方、乙方、第三方、白帽子們反思。(301個人獨立言論)
安全觀點|「白帽」黑客被抓事件,我想說.... 內容如下:

前言:

強調本文是以個人白帽子身份表達自己的觀點和態度,不代表任何公司立場態度切勿對號入座


今天,一則某「白帽子」因為提交某廠商漏洞信息,因為測試過程中涉及部分數據最後被抓的事件。在安全圈炸開了鍋,朋友圈全部是有關這方面的討論,對於「白帽子」而言大部分的聲音都是偏負面,各種刺耳的言語、一系列轟炸,看完整個人都不好了。白天忙活一天,剛從外面回家,晚上跟朋友吃飯溝通的時候,心不在焉的狀態,還是覺得無論從什麼角度看,覺得自己得寫一些東西,所以也在朋友圈發布了一則觀點:


「用於商業目的的時候,滿世界全部是白帽子黑客,遇到事件背鍋的時候;清一色的落井下石。向堅守道德底線原則的白帽子們致敬。」


所以,我決定站在獨立第三方視角來談論這個話題,雖然我知道這個話題會非常具有爭議性,對事不對人。然而,在不完全了解整件事情細節的情況下,我也不直接去討論這個話題,我會從甲方廠商、乙方、白帽子視角上討論這個問題:


1、如果我是甲方廠商:

外部有人發現自家漏洞,無論通過漏洞檢測還是深入測試方式,對企業自身業務運行產生影響,採取法律措施保護企業利益,屬於正常行為。當企業自身利益受到重大威脅時,採取報警的方式,也是理所應當的。正確引導安全人員的行為措施,給安全人員提供一個可以展示自己能力的舞台,這才是一個真正靠譜的企業需要去做的。


2、如果我是乙方廠商:

其實從乙方企業的角度上看,乙方安全公司本來就是一隻白帽安全團隊,保障網路安全為己任,帶領安全團隊向更多企業輸出安全能力。乙方公司更多需要放低門檻,讓更多的安全愛好者加入團隊,提供良好的環境和平台,給新人機會,而不是,條條框框限制在外。


3、如果我是第三方平台:

通過互聯網眾包模式把安全研究人員與企業進行對接,第一時間把安全漏洞輸送到企業端,第一時間確認漏洞、修復漏洞、漏洞細節公開提供後者學習,帶動安全行業發展。有興趣的可以看下WooYun背後的陽光

3、從白帽子視角看:

白帽子也作為消費者用戶,自己的數據在企業端,在使用產品過程中發現了嚴重漏洞,作為合格的安全人員第一時間肯定想到的是把漏洞告知企業相關負責人,配合完成漏洞整改工作,得到企業的認可,這也是白帽子得到的容易。而作為一名相對合格的白帽子,發現企業漏洞過程中,點到為止,不影響企業業務進行,驗證漏洞存在即可,不要做出格的事情,這是基本原則。如果自身真的越界,請參考第一條。白帽子需要一個健康的舞台展示自己的安全能力,解決自己工作和生活的問題,這才是所有安全新人需要的。


當然,看到今天那麼多罵聲,我也忍不住吐槽和提問:


1、乙方安全公司「未授權」滲透測試發現甲方企業漏洞上門談合作或者藉助已發現的漏洞去進行業務談判合作的企業有多少?作為甲方角度,你遇到過多少這樣的情況?


2、還有有多少企業利用信息不對稱/法律擦邊球在安全領域市場化運作,我相信大部分安全從業者都清楚這些細節,無需提醒。


3、國內確實缺乏一個獨立的第三方機構對網信人才的監督,當然在此呼籲:甲方、乙方、第三方建立安全行業自律,一方面是企業自身自律,對企業自身的安全自律,一方面是安全從業者對自身行為自律。不過在自律的過程中,還有三個問題想說下:


1)那些白帽子曾經幫助過的那甲方企業,在沒有任何利益回報幫助其發現問題,並且減少企業那的損失?


2)那些白帽子曾經發現過的漏洞背後,乙方安全公司把漏洞需求市場化後產生的訂單,你們心裡是怎麼想?


3)第三方漏洞平台藉助白帽子的資源、力量壯大社區和品牌,你們為什麼沉默?


最後,藉助習大大在今年十八大前後關於人才問題的重要論述強調:「要聚天下英才而用之,為網信事業發展提供有力人才支撐。網路空間的競爭,歸根結底是人才競爭。引進人才力度要進一步加大,人才體制機制改革步子要進一步邁開。各級黨委和政府要從心底里尊重知識、尊重人才,為人才發揮聰明才智創造良好條件。要不拘一格降人才,解放思想,慧眼識才,愛才惜才。對待特殊人才要有特殊政策,不要求全責備,不要論資排輩,不要都用一把尺子衡量。要建立靈活的人才激勵機制,讓作出貢獻的人才有成就感、獲得感。要構建具有全球競爭力的人才制度體系。不管是哪個國家、哪個地區的,只要是優秀人才,都可以為我所用。」

你之所以看不到黑暗,是因為有人竭盡全力把黑暗擋在你看不到的地方。


看了那麼多爭論和吐槽,那些真正守護道德底線的白帽子,真涼透了心,你覺得呢?

長按二維碼,關注301在路上。

聯繫作者微信:2036234

http://weixin.qq.com/r/8kVZQQjEDlVxrUwi9xDg (二維碼自動識別)


-------------------------------------------------------2016.06.25 21:23---------------------

從一件「安全事件」的出現,能夠看出一群人的格局和面孔。


落井下石的人,不見得人品會有多麼好。


留給大家需要去做的事情是思考。

我記得是今年二三月份還是去年,就有人進去了,烏雲上的漏洞報告被用來作為證據指控那位小夥子。

這種事,要說孰對孰錯,不好一概而論。從法律上來說,這的確是犯了法,但白帽子這行,其實說實在的,難免不濕濕鞋,對於不了解這行的人來說,可能會覺得這是我們在為自己犯法找借口,但其實舉一個簡單的例子就很能說明問題了,為什麼部隊里的軍人需要實戰練習,相互搏擊,而不是對著沙袋天天錘?原因很明顯,只有在最真實的環境中,才會遇到很多意想不到的問題,而攻克這些問題,才能真正使得技術得以提升,同理,安全人員如果只是拿著虛擬機測試環境在那一遍又一遍的測試的話,多半也是沒什麼進步的,所以我們不可避免的會接觸一些實際環境,至於會不會破壞別人的系統或盜取資料,這就是一個操守的問題了。

這次這件事,我不得不說世紀佳緣這狗逼,確認了別人的漏洞,借著發禮物的名義索要住址之後卻報警把人給抓了,這種行為真特么操蛋。以後hc脫你們褲子拿出來賣的時候,希望你們能報警把他們也抓了。

回過來,作為白帽子自身,也要注意自己的行為,畢竟你再有理,違法就是違法,進局子了怎麼辯解都沒用,sql注入多加個--start --stop,不掛黑頁,不脫數據,不破壞系統,另外,對於世紀佳緣這種無良廠商,以後就別測了吧。

還有,我看見評論里一些嘲諷烏雲的,送你們兩個字母,「SX」,雖然我不怎麼在烏雲交洞,但我真特么看不慣你們這些人,在烏雲學到了知識,反過來卻咬烏雲一口。

說句很客觀的話,要不是烏雲,國內不知有多少年輕白帽子正在做著HC;要不是烏雲,國內的整體安全水平估計要滯後四五年;要不是烏雲,你現在能看到那麼多的SRC,漏洞平台,網路安全學院?

我對這個平台始終是持有敬意的,這是一個真正崇尚自由和開放的社區,劍心也是一個理想主義者,這麼好的一個地方要是被你們這些人毀了,那真的是國內安全從業者最大的不幸。

對了,我收了烏雲一毛錢。

出來混,總是要還的。不是今天,就是明天。白帽子和企業的衝突,一定會爆發的。

大家感概的,是真正的黑產沒有收到懲罰,而看上去沒有造成太大損害的白帽子收到了懲處。

可惜這就是江湖啊!都在講道義,不知道童話里都是騙人的嗎?江湖,就是黑暗叢林啊!暴露了就會被捏死啊!

我們換個角度,世紀佳緣的it面對數據泄露壓力,是會被領導幹掉的。就算被幹掉,也要拉上這個小白帽。反正我都被幹掉了,我還管你洪水滔天?

我們在白帽的角度,冤枉啊,世紀佳緣應該感謝我,為何還要報警抓我?怎麼說呢,撞槍口上而已。安慰自己,名垂青史,為行業規範做了貢獻,積極爭取輕判,不要想不開。

再強調一次,該來的都會來的。

第四屆網路安全大會於2016 6月23日召開 現在是6月26大會已經結束
這位父親有沒有在大會上發言? 在大會日程-NSC2016中國網路安全大會中我並沒有找到
各位安全圈的專家/烏雲有沒有回應這位父親?目前我在網上找到的只是針對這件事的討論 並沒有找到回應
袁煒4月12日被逮捕 已有兩個多月 現在他怎麼樣了? 我在網上並沒有找到
大家好像不怎麼關心袁煒

以下文字同樣適合某些執法者:
上面那麼多引經據典引用刑法的,你們讀刑法理論的時候有沒有讀過危害行為的特徵里有「有害性」三個字?
你們捫心自問,具體到這個個案中,危害性大到要用刑法規範的地步么?
刑罰的適用是不是除了合法性?也要講一點合理性?
否則許霆為什麼要改判?一審判決不合法?

作為雲盾先知安全眾測平台的Owner,我來說說我個人的看法。

從這件事的結果上看,我同意「世紀佳緣做法不合情,但合理」的觀點。企業都注重維護自己的合法權益,白帽子也更需要增強法律意識,約束自己的行為,遵守職業規範,保護好自己。

近期兩起類似事件,一起源於平台本身不遵守傳播規範,另一起在於白帽子的法律意識薄弱。不管給安全圈、還是用戶圈,都帶來了不良影響。

比起分析事情本身,我更願意談談平台、企業和白帽,如何做好自己的那一部分,規避類似事件再次發生。


首先,漏洞收集平台。

以烏云為首的漏洞收集平台,集結社會化白帽子的力量,確實幫助企業發現了一些安全問題。但企業對他也是又愛又恨,一來老是被指未授權滲透,二是不夠私密,三是平台對白帽子的管理多多少少還是存在些風險。
雲盾先知等安全眾測平台的出現,較好的解決了授權滲透的問題,並滿足了企業對漏洞私密性的要求。
企業入駐先知平台,一定要簽署服務協議,並對測試進行授權後,平台才會組織白帽子或安全公司對企業指定的測試域名或IP進行滲透。
先知平台遵循的原則是:漏洞是企業的信息資產,平台有責任保護客戶的隱私與權益,不公開任何漏洞信息,也不對接觸到的隱私信息進行任何炒作和傳播。
然後就是解決平台對白帽子的管理問題了。我個人認為,這也會成為眾測平台的核心競爭力。
對個人白帽子的管理,各家眾測平台都是絞盡腦汁,如先知平台就有準入控制、必須實名認證、制定測試規則、建立平台獎懲機制等等;各家平台目的一樣,策略不一,確實也有約束效果。但是咱們別忘了,法律對白帽子的約束才是跨平台的、終身制的;因此各大平台也有責任和義務對白帽子進行普法教育;後續先知平台也會加強這部分的投入。
找白帽子為企業提供安全眾測是C2B的模式,而對C的管理是相當不易的。先知平台在行業內首創B2B的眾測模式,即:由安全公司為企業提供安全眾測服務,按效果付費;則可以較好的解決測試人員管理的問題,管理B會比管理C更加簡單直接。我們也鼓勵白帽子進行創業,加入先知的生態,未來通過先知平台就能養活自己和團隊。

而後,談談企業。

攻擊者總是躲在看不見的角落,以意想不到的方式進入系統;企業無法預料下一次攻擊什麼時候到來。
下一個攻擊者還能以這種方式被抓捕嗎?基本是不可能的。
這次事件反應出來的核心問題是:企業在安全意識和安全能力上的缺失,缺乏自保能力。
如果企業的安全意識高一點,需要在上線前對系統安全進行排查。這時候,安全測試是必不可少的。目前效果最好、性價比最高的安全測試手段應該就屬眾測了。通過安全眾測提前發現問題並修復,可提高黑客入侵的門檻。
如果企業的安全能力強一點,上線後哪怕遇到黑客攻擊,能及時感知到,並及時採取措施。在一次又一次的攻防對抗中,可持續提升安全能力。並利用第三方開放的威脅情報能力,實對攻擊者的溯源


最後,說說白帽子。

保護自己的前提,在於遵守法律及平台的「遊戲規則」。遵守規則才能得以自保。比如在先知平台上,若是由於企業系統本身存在的一些問題,導致測試對對企業業務造成了影響;而白帽子或安全公司本身的行為符合法律和平台的規範;會由平台出面和企業協調解決方案;不會追責到白帽子,也不用擔心獎勵不會發放。說到獎勵的發放,先知也是全國首家確認漏洞後24小時內給白帽子發放獎金的安全眾測平台,做到了全國最快的付款速度。
就在上月,阿里雲發布了《安全服務職業宣言》,呼籲全行業保護自律,保護企業隱私,得到了大量白帽子的點贊和響應。我們希望能和各位白帽子達成共識,就像醫生入行之前的宣誓一樣,白帽子要把尊重、正直、公正、責任當作自己的職業態度。原文鏈接:呼籲行業自律,阿里雲發布《安全服務職業宣言》


一石激起千層浪,世紀佳緣事件這兩天引爆了安全圈,有聲討有抱怨也有委屈,從長遠來看,我倒覺得未必是壞事。
第一,世紀佳緣用自己的經歷為企業上了生動的一課,埋下一顆安全的種子;未來企業一定會更注重安全能力的建設,加強在安全上的投入。
第二,通過這件事情,對白帽子進行了一次普法教育;知道有所為有所不為。
最後,對漏洞平台及眾測平台也提出了更高的要求:如何更好的平衡白帽子和企業的利益及訴求?

討論這種已經有明確答案的問題有意思嗎?

法律明文規定任何未授權的行為都是違法行為,不管你是白帽子還是黑帽子,只要對目標網站進行未授權的檢測(即便你自認為是安全測試)廠商都可以選擇報警,因為你明確的違法了計算機相關法律條文。

更別說把漏洞流程、明細上報給第三方SRC,如補天,烏雲等。

因為你上報了就意味著你把攻擊流程寫成了報告(自己給自己挖了坑)然後發到網站等著公開(實打實的證據,判你沒商量)。

當然,還是鼓勵各位白帽子提交漏洞的,但注意,不要碰到廠商的痛點。

對於這個問題不是當事人無法正面回答,不過隨著我國《網安法》逐步落地實施,白帽子同學們還真得好好學習學習,這個法規中對於查找漏洞的行為有了很多明確的責任條款。

阿里云云安全團隊,特意針對《網安法》中事關白帽子同學的法條進行了一次梳理和解讀:

從事安全研究的小A是一名「正義的黑客」——白帽子。

他發現計算機系統或網路系統中的安全漏洞,提供給企業和機構,幫助他們修復漏洞, 而不會惡意去利用。這樣一來,在其他人(例如小A的對立方,黑帽子)在利用之前,小A就可以讓企業和機構避免損失。

6月1日《網路安全法》正式實施以後,對白帽子參與滲透測試行為提出了法律要求。小A有點慌:因為他熱愛的漏洞挖掘,有可能會踩到法律的「雷區」。

這篇對白帽子的《網安法》寶典,會告訴小A:他應該知道的幾個法律雷區,以及相應的處罰和責任;小A現在怎麼做,才能符合《網安法》的要求,減少、規避自身的風險?

我們以小A可能會碰到的場景開始。

《網路安全法》中,小A容易碰哪些「雷區」?

1、小A如果未經授權就去開始滲透測試,或者開展滲透測試的時間不是在客戶授權的時間,或者測試範圍超過了客戶的授權,都可能被認定為是非法入侵他人網路的違法行為,需要承擔法律責任。

2、小A在客戶授權下進行滲透測試,但是在測試過程中竊取或篡改了客戶的數據,也構成違法行為,將會面臨法律責任。

3、小A在客戶授權下進行滲透測試,發現了客戶系統的漏洞,正常情況下應該聯繫客戶修復,但是小A對外公布了這些漏洞,這屬於違法行為,將面臨法律責任。

4、小A寫了一個批量獲取肉雞的工具,上傳到網上,這屬於提供危害網路安全活動的程序、工具,也屬於違法行為,將面臨法律責任。

5、朋友在做一些竊取別人網站數據的違法事情,找到小A,小A通過漏洞拿到的網站的許可權,然後提供給朋友,這個過程,小A提供了技術支持,同樣面臨法律責任。

6、小A寫了一個程序或者修改別人的程序,在程序中插入了惡意代碼,然後發布到網上被惡意傳播,導致大量用戶中招,會面臨嚴重的法律責任。

7、小A無意中發現了某城市交通的系統漏洞(國家關鍵信息基礎設施:公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域),然後進行入侵,干擾正常的業務功能。

由於這些關鍵信息基礎設施一旦遭到破壞,可能會嚴重危害到國家安全、國計民生、共公共利益,因此小A將會面臨更嚴重的法律責任。發現問題,應該第一時間聯繫有關部門(例如國家互聯網應急中心)通知修復。

8、小A在境外對中國境內的能源基礎設施做滲透,造成系統癱瘓,也會面臨法律責任。

不小心踩了法律「雷區」,小A會收到什麼處罰?

1、尚不構成犯罪的,由公安機關沒收違法所得,處五日以下拘留,可以並處五萬元以上五十萬元以下罰款; 情節較重的,處五日以上十五日以下拘留,可以並處十萬元以上一百萬元以下罰款。

2、構成犯罪的,將會被判處有期徒刑或拘役,並處罰金。

3、受到治安管理處罰的人員,五年內不得從事網路安全管理和網路運營關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網路安全管理和網路運營關鍵崗位的工作。

白帽子小A,他現在應該做什麼?

作為一個白帽子,小A首先要了解《網路安全法》,培養自己良好的社會價值觀,在測試過程中,發現問題,積極協助客戶去修復安全漏洞。

給小A的9條「守法」建議:

1,進行滲透測試前要取得客戶授權;

2,在客戶授權的時間和測試範圍內進行測試;

3,發現漏洞儘快通知用戶,不公布和傳播漏洞;

4,不竊取、出售、篡改用戶數據;

5,不惡意攻擊他人伺服器;

6,不在他人伺服器留後門;

7,不去入侵或干擾國家關鍵信息基礎設施的系統;

8,不協助他人攻擊別人伺服器;

9,不傳播惡意攻擊程序。

其次,小A在測試過程中,可以用用以下的建議:

1、任何測試一定要得到授權,要選擇能保護自己的平台。測試過程時刻記得點到為止,不得竊取,篡改數據,留後門,或者做一些可能影響業務的操作;可能需要進一步滲透的,需要提前聯繫廠商進行報備,在徵得同意的情況下,繼續測試。

2、在做測試的過程中,儘可能保留測試過程,當有問題發生時,避免一些不必要的麻煩。

3、提交漏洞選擇有實名認證的平台,要簽署白帽子協議。這樣在出現問題時,在不違反法律規定和協議約定的前提下,平台可以保護白帽子利益。

致已經、或將要加入先知的白帽子們:

守法第一,責任為先。

從2015年開始,阿里雲先知平台逐漸建立了從身份認證、行為審計到漏洞審核的「可信閉環」。

在身份認證和人員准入方面,先知測試人員經過支付寶實名認證;

在行為審計和漏洞審核方面,先知通過大數據安全分析,對測試人員行為及路徑進行實時審計和展現,判斷其操作是否符合平台規則;同時為企業提供完整的漏洞報告,對企業的漏洞信息嚴格保密。

2016年,阿里雲也通過《安全服務職業宣言》向安全行業發出「尊重、正直、公正、責任」的倡議,承諾始終將客戶安全放在第一位,呼籲安全行業從業者保護客戶的隱私與權益。

2017年,先知平台的主題是責任。在《網路安全法》正式實施之際,先知呼籲所有平台上的白帽子都能去懂法、守法,嚴格遵守先知平台的保密規定,保護自己。

在先知,白帽子,是一群有技術、有愛心、有正義感的網路護航者。而《網路安全法》的要求,是對正義者的保護傘。白帽子們,走好每一步,用技術和責任去為世界帶來更多美好的改變。

更多相關內容推薦:先知白帽大會圖記:讓安全再暖一點

2013年4月份時給某廠商提交了一個漏洞,廠商很快確定並修復了。
過了2個月後廠商問我要聯繫信息送禮物,當時沒多想就給了。聯繫信息給了之後,過了一個月還沒收到任何東西才反應過來廠商索要聯繫信息的目的也許不是為了送禮物。
雖然我沒有利用這個漏洞進行牟利,但當時廠商要是就這個漏洞查我水表的話,我就算有十張嘴也說不清,怕過之後就再也不敢報漏洞了,有漏洞誰愛報誰報去。

無論這件事情最終的處理結果如何,白帽子們對報漏洞這種事會有所顧忌,可能會跟我一樣不再報漏洞或者少報。其實對漏洞平台、白帽子、廠商來說其實都不是一件好事,只有黑產才是最大的贏家!

推薦閱讀:

如何看待 2017 年 5 月 12 日中國大量高校及公共設備發生電腦中毒,勒索比特幣的事件?
為啥現在大多數手機開機後不能直接使用指紋?
網頁遊戲都有哪些安全問題?如何做得更安全?

TAG:信息安全 | 世紀佳緣 | 漏洞 | 烏雲 (WooYun) | 白帽黑客(White Hat) |