日前,在第四届网络安全大会上,一封白帽子家属的公开信引发各方关注。按照公开信系统的信息,12月4日,一名乌云网的注册用户袁炜向乌云网提供了世纪佳缘的漏洞信息,并得到了世纪佳缘的认可。
但是,随后的事情是世纪佳缘认为自己4400多条数据被注入,932条信息被读取,随即向公安机关报案。并且以送礼物道谢为名,钓鱼获得了袁炜的真实身份和地址。随即公安进行了抓捕。
袁的父亲认为袁本身并非黑客窃取数据,而是在帮助世纪佳缘测试漏洞,被抓捕并不公平,要求各方帮助。
长期以来,关于黑客与白帽子的身份一直有争论,这次事件更是引发了网络安全界的广泛关注。那么互联网安全的边界应该如何界定呢?
一、明规则与潜规则
中国对计算机信息安全是有严格法律规定的。入侵计算机系统,获取数据,控制权限都是违法的。也就是说白帽子入侵任何计算机系统,无论做了破坏,还是没做破坏,无论是跑了数据,还是没跑,被入侵的公司或者机构都是可以报案的。
这次世纪佳缘认为自己的数据被注入,读取而报案是符合法律规定的,这是明规则。
按照明规则,白帽子必须是被被攻击公司聘请来对自己系统发起攻击,以检验系统的安全性,健壮性。我们经常看到苹果,微软,特斯拉等公司发起过活动,邀请技术人员对自己的产品发起攻击,给破解者若干奖励。
双方也可以通过协议形式,约定一次攻击的权利责任,对系统的安全与健壮性做测试,这是明规则,不涉及违法。
但是,在实际运行中,逐渐出现了另外一种白帽子。这种白帽子并没有经过厂家授权,而是先攻击后通知。
当厂商的服务器接入互联网,这些白帽子就发起攻击,寻找系统漏洞,找到漏洞后给厂商确认,而厂商一般不会去追究这些白帽子的责任,反而会给予金钱或者礼品的回报。
因为厂商知道,这些白帽子发现的漏洞如果不通知自己,就会被黑客广泛利用,造成数据泄漏,删除,服务中止等严重后果。
而且由于网络的匿名性,事后即使报案追查,在有意藏匿身份的黑客面前也是很无力的。因为网络世界是全球的,权力仅仅在一国。跨国的网络犯罪追查成本极高。
所以厂商虽然不太愿意自己的漏洞被发现攻击,但是对于提供漏洞信息的白帽子基本还是合作态度。而不会去报案,这是潜规则。
二、世纪佳缘的破例
理论上说,厂商邀请发起攻击,相当于安全测试的外包,厂家出钱,白帽子出力,发现漏洞,提升系统的安全性。
而白帽子自己攻击系统,发现漏洞然后告知厂家,获取金钱和礼物的回报,有点类似于强买强卖。厂家原本是不愿意为漏洞买单的,但是漏洞发现了,不买单可能会有极高的损失,厂家还是买了。
对白帽子来说,这种游走法律边缘的做法一方面可以满足他们对技术与破解的成就感,另外一方面还可以获取一些报酬同时又不是赤裸裸的黑客犯罪,有些人也乐于此。这些人应该说是有情怀的,而非完全利益驱动。
如果利益驱动,那么他们会破解系统后,拖走全部数据,然后在黑产产业链中高价出售来牟利,虽然这违法,但是蓄意犯罪的黑客会有办法隐藏自己的身份,让追查变得极其困难。
事实上,国内外的泄漏事件很多,而真正报案抓住犯罪者的很少。
而白帽子认为是帮助厂家测试,所以并不太注意隐匿自己的身份。
而世纪佳缘这次是破例了,打破了长期以来形成的一种自然默契。严格按照法律办事,攻击就是犯罪,我就要报案。而另外一方的白帽子对此没有准备,没有做任何藏匿身份的举动,甚至被钓鱼主动提供身份地址,于是顺利被抓。
三、未来的互联网
这个事件对网络安全行业是一个警告,世纪佳缘的破例,无论是偶然的黑天鹅事件(不了解网络安全潜规则的人做决策),还是蓄意的事件,对整个行业都会带来影响。
未邀请的白帽子攻击被视为非法,有被抓的可能。那么这些漏洞以后就不会再公开出来,也不会通知厂商。而是进入黑产,成为商品贩卖。而商品的购买者则会利用漏洞盗取数据,甚至删除数据造成服务中止。
而互联网会变得比以前更加危险。很多网站的个人隐私数据完全依靠互联网厂商自身的技术力量进行防护。
而我们要知道,仅仅是世纪佳缘就从乌云那里获得了42个数据漏洞的信息,并且进行了修复。
如果这42个漏洞没有人通知世纪佳缘,而是拿到黑产产业链去贩卖,那么世纪佳缘的用户还有隐私可言吗?
而这次事件一出,未来不会再有白帽子把漏洞信息给世纪佳缘了,以后世纪佳缘就要靠自己的力量来保护千万用户的隐私信息了。用户只能祈祷世纪佳缘能够有足够投入聘请第一流的网络安全专家了。
对于其他互联网公司来说,是学习世纪佳缘还是继续潜规则对未来用户的互联网安全有很大影响。
如果都学世纪佳缘,拒绝非邀请的白帽子攻击和漏洞通知,那么互联网会空前的危险。对于用户来说,就要谨慎的登录个人信息。APP也好,网页也好,只相信最大的BAT这几家公司,其他非要注册,那么就一个网络一套密码、ID和信息,而不能通用。
否则,只要有一家安全不到位被破解,被撞库成功,用户就没有安全和隐私可言了。
(责任编辑:宋编辑)
