腾讯员工举报漏洞被逮捕,“白帽子”的行为边界到底在哪儿?

发布日期:2018-10-24     浏览次数:795

腾讯员工举报漏洞被逮捕,“白帽子”的行为边界到底在哪儿?

 

23岁的郑杜涛(音译)是腾讯的一名安全工程师,因为参加新加坡网络安全会议临时入住了新加坡的飞龙酒店,出于程序员的敏感和好奇,决定监测一下酒店的WiFi服务器是否存在漏洞。

经过检查,酒店的服务器模型确实存在一个漏洞,郑杜涛利用该漏洞获取了服务器访问权限,并且在他的个人博客上,郑记录了自己的黑客行为,还在文章里公开了飞龙酒店WiFi服务器的管理员密码...

0K9Y8BrONp.jpeg

这篇文章引起了新加坡网络安全局(CSA)的注意,并对其进行了抓捕。

“披露这些访问代码,郑杜涛清楚地知道,飞龙酒店的WiFi服务器上的漏洞极有可能为其他人用于非法目的,从而可能对连锁酒店造成损失,”

具体的判决结果目前还不得而知。

0K9Y8BGZn2.jpeg

按理说帮人发现漏洞是个好事儿,为什么反而会被抓捕呢?忠言逆耳么?

这就要给大家介绍一群幕后人物——“白帽子”。

白帽子是相对于黑帽子(即黑客)而言的,他们能识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是直接向厂商公布其漏洞,厂家就可以在黑帽子利用该漏洞之前来修补网络安全问题。


所以,白帽子可以说是网络世界的扫地僧,出手于无形而大隐于市,默默的观察着武林中的暗流。目前主流网络服务商都有专门的部门来接收白帽子的网络漏洞,甚至还向白帽子支付奖金,从而表彰那些为自己网站到找漏洞的白帽子。

像腾讯的那名员工,其实就可以列为“白帽子”的范畴,但对于“白帽子”行为的定义,各个国家的法令是不一样的。


0K9Y8B7n6k.jpeg



我国自从去年6月1日《网络安全法》正式实施以后,对白帽子参与渗透测试行为提出了明确的法律要求。而这个法令出台的原因,有可能和2015年底的一起“白帽子被捕事件”相关。

2015年底,乌云漏洞平台上的一名白帽子提交了世纪佳缘的一个安全漏洞,世纪佳缘确认并修补了这个漏洞,同时对这位白帽子表示了致谢。但事后他们发现有900多条有效数据被攻击者获取,出于对信息安全的担忧,世纪佳缘选择了报警。

警方调查后才发现只有该名白帽子一人涉嫌此案。在检察院公诉后,被批准逮捕。事件一出,整个安全圈都炸开锅了。

在动机上,没有人可以自证清白,但在法律的棋盘上,白帽子确实越界了,虽然可能谈不上是犯罪。
0K9Y8BTnvl.jpeg



诚然,白帽子一直游走在法律的灰色边缘,其工作属性要求其不可避免地须进入互联网网站,并和黑客使用可能同样的工具软件,从而发现网站漏洞。这一系列的动作确实不太好定义,也不太好界定行为人的实际动机。

并且,白帽子发现安全漏洞并由第三方平台披露可能对相关网站影响很大,如果漏洞在被解决前被黑客利用,或者发布的漏洞信息不实,确实也将严重影响企业的合法权益。

为了加强和规范网络安全的监管,所以才有了《网络安全法》的颁布。但颁布之后很多人又开始担心,觉得这会让安全从业者的活动空间越来越小,捆手捆脚。网络安全法中有这样一个条例:

第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

 

0K9Y8BGTcA.jpeg

 

但国内的很多企业其实是受到过很多白帽子提供的好处的,像360、爱奇艺、京东、小米等等等等,因为企业的网络安全部门精力有限,白帽子就像是外援一样,帮助企业发现并解决过很多的问题,所以白帽子的存在对于很多企业来说是不可或缺的。所以法令颁布的当天,超过19家企业的SRC组成了“SRC联盟”共同上线了“白帽子协议。

这个协议中确定了各自平台的规则和边界,一方面是为了让白帽子放心,另一方面也确定了双方的权利边界和义务。对于没有坏心思的白帽子完全可以和往常一样,找到漏洞,在不对企业造成影响的程度内进行测试,然后提交漏洞。

《网络安全法》的颁布看似给了白帽子很多制约,可从长远看来,规则的制定,对双方来说其实都是一种保护

0K9Y8B18xV.jpeg 

最后,还是要为白帽子们说句话。

白帽子这个“行业”确实存在这很多争议,但白帽子之所以被称为白帽子,是因为这是一群拥有着黑客的技术,却在维护网络安全的人。

有一个事情可以明确的告诉大家,做一名黑客远比白帽子好做,来钱也快。

举个例子来说,假如一名黑客攻破了某个大平台的数据库,他就可以把里面的用户信息抓出来然后整理筛选,卖给相关的网络推销公司。就算他只抓取了几百万用户,就算按照几毛钱一条的价格,几十万就到了账户当中。

相比之下,白帽子辛辛苦苦找到了漏洞,提交上去之后还要冒着被人认作嫌疑人的风险,做的事情也是防患于未然,企业肯定不会花几十万来作为奖励。

借用一句说烂了的话:你之所以看不到黑暗,是因为有人竭尽全力把黑暗挡在你看不到的地方。

向那些坚守道德底线原则的白帽子们致敬。

 


当前位置:首頁 > 公司动态 > 腾讯员工举报漏洞被逮捕,“白帽子”的行为边界到底在哪儿?