3
雷鋒網按:本文來自公號皮相,由TK教主授權雷鋒網專欄發布。
在很多年前,當“Hacker”這個詞被濫用,一些 Hacker 為了把自己和媒體中被稱作“Hacker”的網絡犯罪者——特別是沒什么技術含量的——區分開,提出了“White Hat”和“Black Hat”的說法,國內通常譯作“白帽黑客”和“黑帽黑客”。而“白帽子”在當今中國的語境中,又進一步特化了,特指向各個漏洞報告平臺、廠商 SRC 提交漏洞的人。自“白帽子”誕生起,相關的爭論就從來沒有停止過。
先說說法律。
我國法律中和攻擊入侵有關的主要是《刑法》第二百八十五、二百八十六兩條,以及相關司法解釋。這兩條主要看:有沒有越權控制系統,有沒有越權獲得數據,有沒有破壞系統可用性。
常規端口掃描通常不會被認為是違法。那么漏洞掃描呢?通過獲取版本號探測漏洞的方法顯然也不算違法。但有些漏洞掃描需要在對方系統上實際執行命令才能判斷漏洞是否存在,例如“Shellshock”。這種情況從理論上說,存在一個短暫的越權執行過程,但由于并未真正去試圖控制系統,所以在實踐中,通常不認為屬于“非法控制”。
發送 "news.php?id=2-1" 這樣的請求去探測是否存在 SQL 注入顯然不算違法。而探測發現可能存在 SQL 注入,實際去嘗試獲取數據以判斷是否真的存在漏洞,這種行為就比較模糊了。如果獲取的數據是表的字段名、結構,不涉及用戶數據,相對還好。而如果獲取了用戶數據,特別是用戶名、密碼,即“身份認證信息”就可能觸犯《刑法》。
《刑法》第二百八十五條第二款:
違反國家規定,侵入前款規定以外的計算機信息系統或者采用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,或者對該計算機信息系統實施非法控制,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。
達到“情節嚴重”才是犯罪,那什么是情節嚴重呢?在《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》中是這樣說的:
非法獲取計算機信息系統數據或者非法控制計算機信息系統,具有下列情形之一的,應當認定為刑法第二百八十五條第二款規定的“情節嚴重”:
(一)獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息十組以上的;
(二)獲取第(一)項以外的身份認證信息五百組以上的;
(三)非法控制計算機信息系統二十臺以上的;
(四)違法所得五千元以上或者造成經濟損失一萬元以上的;
(五)其他情節嚴重的情形。
實施前款規定行為,具有下列情形之一的,應當認定為刑法第二百八十五條第二款規定的“情節特別嚴重”:
(一)數量或者數額達到前款第(一)項至第(四)項規定標準五倍以上的;
(二)其他情節特別嚴重的情形。
明知是他人非法控制的計算機信息系統,而對該計算機信息系統的控制權加以利用的,依照前兩款的規定定罪處罰。
也就是說,入侵獲取 10 組以上金融證券行業的用戶身份認證信息,或 500 組以上一般系統的用戶身份認證信息,或入侵了 20 臺系統,就可以判刑了。如果獲取 50 組以上金融證券行業的用戶身份認證信息,或 2500 組以上一般系統的用戶身份認證信息,或入侵了 100 臺系統,就可以判三年以上。
所以,在測試網站漏洞的過程中,想避免觸犯《刑法》,就要注意獲取的信息種類和數量,也不要去植入后門。
再講講道理。
在今天,一個存儲了大量有價值數據的網站,一定會被盯上,一定會有人嘗試入侵。一定,一定,一定。
而安全是四維的,不是三維的。對絕大多數網站來說,即使此時此刻的入侵難度很大,但在一段不算長的時間內(比如說一年),被至少成功入侵一次的概率則非常大。因為新漏洞總會不斷被發現,而程序員、系統管理員的工作不會永遠完美無缺。
而如果有人和入侵者一樣,也去不斷嘗試入侵這些網站,并且發現漏洞后及時告知網站,實際上就成為了惡意入侵的競爭者,很多漏洞可以在被惡意利用前被發現和修復。
在大多數國家,都有網絡入侵的相關法律,然而從 Microsoft 到 Facebook,從騰訊到小米,很多公司都成立了 SRC,鼓勵大家幫助尋找自己網站的漏洞。而這些尋找漏洞的過程,如果嚴格按照法律條文去摳字眼,很多可能都有問題。
(Facebook 定制的“White Hat”銀行卡,用來給向他們報告漏洞的人發獎金)
有些人說“向廠商的 SRC 提交漏洞是合法的”。其實,合法不合法,看檢測漏洞的行為本身,和提交給誰沒關系。只不過建了 SRC 的廠商自然希望大家去提交漏洞,所以即使行為違反了法律,廠商通常也不會去報案,砸自己 SRC 的牌子。
法律通常都滯后于現實,而且往往滯后很多。上面提到的相關法條,是 2009 年《刑法》第七修正案中才加上的,司法解釋是 2011 年才出來的。這些法條在當前形勢下是否是最有利于維護信息安全的,還需要立法者去思考。但作為廠商,總是會選擇在當前形勢下最有利于把安全做好的方式。
廠商為什么要鼓勵大家“入侵”自己的網站呢?因為沒辦法。對,沒辦法。在當前形勢下,這可能是最好的選擇。如果單純靠法律就能解決安全問題,何必多此一舉。
所有廠商在安全上基本都有這樣的心路歷程:
第一階段,心存僥幸,覺得自己沒那么倒霉,覺得世界上沒那么多惡意入侵者。
第二階段,被搞了一次后,同時明白了自己沒那么幸運,必須解決安全問題,尤其是這次被搞的那個安全問題。但是既然被搞了一次,不會有兩枚炮彈落到同一個地方吧?
第三階段,又被搞了,很憤怒,去報案,一定要抓到入侵者,然而現實往往是無情的。于是終于意識到需要整體上做安全。去和同行交流,但還是試圖不走尋常路,認為自己不用像別的廠商一樣,應該能找到一種簡單易行省錢省力的方法。
第四階段,被搞了很多次后,終于認命了。開始引入大家踩了無數坑,吃了無數虧才總結出來的經驗和方法,安全工作慢慢走上正軌。建立 SRC,鼓勵大家報告自己的漏洞。雖然安全部門和產品、市場、法務等其它部門在這一點上還有分歧。
國內很多大企業都走到了第四階段,但還有很多還處于前幾個階段。他們覺得只要捂住眼下的問題,然后勒令內部嚴查一下,事情就解決了。他們還沒明白的道理是:錢不投入在安全上,遲早會十倍百倍千倍地送給黑產。
上周一個朋友找我,說他們公司做的是一種比較小眾的交易平臺,但沒想到也被盯上了,去年被搞走十幾億,所以現在開始重視安全。像他們這種情況,其實還是幸運的。因為他們的錢是被一種能感知的方式搞走的,遭受損失后,就會開始重視安全。
然而,很多入侵是悄無聲息的,弄走錢的方式是不知不覺的。比如把你的數據賣給你的競爭對手,讓對手掌握主動掌握先機。歸根結底,還是等于通過入侵把你的錢弄走了。但你沒感覺,你只會覺得競爭對手一下變強了。即使因此企業倒閉,都不知道是怎么搞的。這種企業會長期停留在安全的幻覺中,認為一切報告漏洞的人都是麻煩制造者。
這些“麻煩制造者”可能確實很麻煩,他們不太考慮企業感受,特別想證明自己發現的問題很嚴重。但是,無論有沒有他們,真正的網絡犯罪者都一樣會存在,一樣會默默地去入侵系統,去竊取數據,換成錢。而如果沒有這些“麻煩制造者”,會有更多企業沉浸在安全的幻覺中,真正的網絡犯罪實施起來則會更輕松。
每一朵烏云都有一道金邊,每一頂白帽都有一道黑邊。希望“白帽子”能學習一些法律,保護好自己;希望企業能想明白道理,知道自己真正的敵人是誰。
雷鋒網注:轉載請聯系授權,并保留作者和出處,不得刪減內容。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
