【熱點】白帽「折戟」世紀佳緣:放心,不會將誰逼到黑產

近n日,一封《白帽子監測漏洞到底是不是犯罪》的公開信,將世紀佳緣與一位白帽子的恩怨帶出了水面。按照公開信的表述,這位白帽找到了世紀佳緣的漏洞後,提交n烏雲並轉告企業,企業也修補漏洞也表示感謝,但是後來又報警稱該白帽非法入侵,如今該白帽身陷囹圄,等候司法裁決。此事一出,引得TK、雲舒、趙武、n301、笑然等一眾大V、新銳紛紛發聲。

這件事涉及到「白帽子」的法律責任——這個問題以前被大家刻意迴避,但目前已經到了無法不直面的地步。白帽能否還在陽光下行走,這起案件的走向也會成為一個「風向標」。

問題1:世紀佳緣是否「釣魚」白帽?

一條嚴肅的新聞往往行之不遠,一則八卦新聞則容易四方皆知。在這次白帽事件中,白帽被捕是「正餐」,而世紀佳緣「釣魚」白帽的住址,進而讓公安去抓捕則是「佐料」,但正是這個「佐料」更是引起了不少人的憤怒,進而影響了大家對事件的判斷。

作n為安全媒體,安在對此事必然高度關注。但在反覆閱讀被捕白帽父親提供的材料後,卻始終沒有找到所謂「釣魚」的情節。我們也特向世紀佳緣的同學核實,對方表n示,「只強調一點,我們沒有釣魚」。世紀佳緣CEO吳琳光6月29日則在知乎上發帖回應稱,「從烏雲通知我們有漏洞至今,世紀佳緣都從未獲得過漏洞提交者n的聯繫方式,也從未與他取得聯繫」。

從另一個角度,對於一位在烏雲上註冊了ID、並提交過11個漏洞的白帽來說,如果真的因為違法,警方或世紀佳緣真需要通過釣魚方式來獲取其住址嗎?烏雲在官網上就明確說明,「白帽子註冊必須通過Email的驗證,為了保證信息的高可靠性和價值」。

我們不想替誰洗地,但在探討前,先實事求是是基礎,對吧?

問題2:世紀佳緣為何先感謝、後報警?

按照被捕白帽父親的說明,2015年12月3日袁某發現漏洞,12月7日世紀佳緣確認且修復了該漏洞,並致謝烏雲網及被捕白帽。詭異的是,一個月之後的2016年1月18日報案,聲稱2015年12月3日和4日陸續收到入侵,並有大量數據讀取。

按照吳琳光的表述,「漏洞的修復需要一定時間,攻擊一直持續到12月4日晚上直至我們完全修復。事後統計發現,攻擊總次數累計達到4000餘次,共有900多條有效數據被攻擊者獲取」,「出於對用戶數據和信息安全的擔憂,我們還是選擇了報警」。

細細看下時間,想必很多人都會好奇,從修補完漏洞並感謝,再到報警的1個月里,世紀佳緣內部發生了什麼?從發現入侵到決定報警,為什麼中間隔了那麼久?

對此,吳琳光的解釋是,「在警方和我們披露調查結果之前,我們並不知道提交漏洞的白帽子和攻擊者是同一個人」。言下之意,有種「誤傷」自己人的感覺。

一個可能的情況是,世紀佳緣的安全團隊、技術團隊和法律團隊間存在信息不同步。在烏雲註冊的是安全團隊,修補漏洞的也是安全團隊,發現入侵則是其他技術團隊,最後決定報警的則是法律或者運營團隊,而且三個團隊之間是信息不對稱的。

同時,吳琳光對於目前的局面也表示了無能為力,「這個事情已經進入司法公訴程序,我們能做的有限,畢竟起訴人不是世紀佳緣,而是檢方。」

我們無意於去拼湊一段歷史,只是想讓分析建立在具有細節的事實上。很多技術人員都了解,安全團隊在互聯網企業的影響力並不高,更多要服務於運營和技術團隊。實現功能一定是互聯網企業首要目標,保證安全更可能是附加目標。

但不管原因如何,「先致謝、後報警」的混亂,都顯示了世紀佳緣安全體系有待改進,這也告訴我們,一家大型互聯網企業配備一個統籌安全的CSO是多麼重要。

問題3:白帽被捕至今近3個月,烏雲做了什麼?

在龐大的企業面前,個體總是無力的,因此,很多業內人士都在質疑,平台哪裡去了?

從白帽被捕至今已近3個月,為什麼烏雲平台在此期間毫不發聲?如果不是被捕白帽的父母在會場散發傳單,而引起業內廣泛關注,估計這事最終也就默默地發生而已。所以,很多人都在質疑,烏云為什麼沒發聲?

其實,烏雲早已將自己免責了。在烏雲的官網上明確指出三大「不負擔任何責任」:

1、對於在烏雲平台發布的漏洞,所有權歸提交者所有,白帽子需要保證研究漏洞的方法、方式、工具及手段的合法性,烏雲對此不承擔任何法律責任。

2、烏雲及團隊盡量保證信息的可靠性,但是不絕對保證所有信息來源的可信,其中漏洞證明方法可能存在攻擊性,但是一切都是為了說明問題而存在,烏雲對此不負擔任何責任。

3、廠商在烏雲註冊時需要確認能夠代表企業身份授權白帽子發現安全問題並且對安全問題及時處理和響應,烏雲對廠商內部流程導致的問題不負擔任何責任。

也就是說,烏雲對於自己的定位僅是信息中介平台,法律糾紛與其一概無關。

從n商業的角度來看,烏雲這種自我免責的行為是理性的——平台只是展示結果,確實無法對過程負責。但是,從安全行業發展的角度來看,如果烏雲無法為白帽提供相n應的保護、輔導、支持、規範、自律等措施,白帽被捕之後也沒有提供法律支援、業內研討等措施,那麼烏雲只是保留作為漏洞報告平台的工具屬性,但其社群屬性n就被淡化了。那麼,未來更加權威、官方、嚴格的SRC完全可能取代烏雲,未來更有前途的平台完全可以整合這些官方SRC,為白帽們提供更加便捷、打包註冊n等服務即可,那時還需要什麼不提供支撐的第三方平台幹嘛呢?

按此邏輯,從長遠看,第三方的漏洞報告平台的價值正在淡化。

問題4:世紀佳緣此舉會將白帽逼入黑產?

先說結論,不會。

有人擔憂,「廠商的這次做法很可能把一群人推向黑產。反正最後總歸是得進去的,不是嗎?」答案還真的是「不是」!黑客之所以會做黑產,一n些大的前提是,部分是因為道德,部分是因為賺頭,部分因為沒有乾淨錢賺。但是現在這些前提並不成立,對於稍有實力的白帽來說,現在去做黑產並非明智選擇,n因為出來混總是要還的。相反,很多互聯網企業甚至大公司之於安全人才更是求知若渴。而且,按照現在漏洞報告的獎勵機制,每個白帽幾乎都是免費在替廠商找漏n洞,對於那些興趣在於拿漏洞賣錢的黑客,才不會將漏洞無償地提交出來。

所以,世紀佳緣此舉只是傷了白帽的積極性,但是讓其一怒之下棄明投暗的可能性幾乎沒有。

問題5:是否會給安全行業造成影響?

如果這種狀態持續下去,並且長期沒有明規則可供參考,肯定會影響安全行業的持續健康發展。

安n全行業的本質是攻防對抗,而且是現實狀況下的攻防對抗,白毛們必須在戰爭中學會戰爭,眾測平台、漏洞平台其實都是實戰演習的場地。如果經此一役,企業就可n以根據心情和需要,沒有明確標準和預期地對於白帽訴諸法律手段,那麼白帽的活躍度必然會被抑制,安全行業的發展必然會遭到壓制。

當n然,這也可以視為建立白帽明規則的契機。白帽雖然冠名以白,但是其法律地位卻是灰。在僅有幾條法律規範的情況下,對於現實中大量的實踐不足以提供充分的參n考。沒有明規則的情況下,就只有潛規則在起作用,但是現在連白帽賴以生存的潛規則都遭到破壞,那麼只能陷入無規則狀態了。

問題6:安全行業到底該做什麼?

正如TK所說,「每一朵烏雲都有一道金邊,每一頂白帽都有一道黑邊」,如何應對這個灰色的世界?

對此,安在創始人張耀疆呼籲:

1. 應儘快建立並開展多方溝通和探討機制,包括眾測平台、企業SRC、白帽子、企業用戶、公檢法部門等,大家坐下來,從法律、道德、企業利益、公共利益、行業發展等多個方面,彼此交流分享並打開心結,以求達成一致;

2 .應該建立中立的漏洞管理聯盟,當前各類眾測平台和企業SRC進行引導,建立行業共識和規範,不能再各行其是甚至互相指責了,這個行業是一榮俱榮一損俱損的,不要以為某一家就能撐起整個企業界以及白帽子群體的共識和信任;

3 .近期各類會議甚多,看起來安全屆熱熱鬧鬧非常活躍,可否會議中給予當下這一非常現實甚至基礎性的話題以關注?有時候想想也是,連個白帽子和企業關係的問題都解決不了,光靠扛箱子賣機器就能搞好安全了?

4n n.能力越大責任越大,烏雲作為眾測平台代表,為整個產業發展作出的貢獻大家都看在眼裡也得到了公認,但事情發展到現在這個階段,是不是該再勇敢地站出來,n去努力營造一種新的局面呢?商業化很重要,但如果好不容易打造起來的白帽子社群文化被否定甚至顛覆了,等於根基就沒了,其他發展恐怕也會受到影響的。這裡n我提到烏雲,未必只說他家,其實所有平台都有責任,甚至包括BAT這樣巨頭企業的SRC,301有一句話說得好,你們發展就是靠廣大白帽子群體抬舉的,當n「世道要亂」的時候,大佬們為什麼不「撥亂反正」一下呢?

擴展閱讀

【人物】締造網路世界的烏托邦,我是方小頓

【人物】TK,不會開鎖的醫生不是個好黑客

【白帽】圈裡圈外,笑然面對

【新銳】趙武,百戰歸來再創業

【新銳】雲舒,一個技術至上者的理想主義


推薦閱讀:

關於2017年網路安全最大膽的八個預測
網路層攔截可選項

TAG:网络安全 | 乌云WooYun | 世纪佳缘 |