【热点】白帽“折戟”世纪佳缘:放心,不会将谁逼到黑产
近日,一封《白帽子监测漏洞到底是不是犯罪》的公开信,将世纪佳缘与一位白帽子的恩怨带出了水面。按照公开信的表述,这位白帽找到了世纪佳缘的漏洞后,提交乌云并转告企业,企业也修补漏洞也表示感谢,但是后来又报警称该白帽非法入侵,如今该白帽身陷囹圄,等候司法裁决。此事一出,引得TK、云舒、赵武、301、笑然等一众大V、新锐纷纷发声。
这件事涉及到“白帽子”的法律责任——这个问题以前被大家刻意回避,但目前已经到了无法不直面的地步。白帽能否还在阳光下行走,这起案件的走向也会成为一个“风向标”。
问题1:世纪佳缘是否“钓鱼”白帽?
一条严肃的新闻往往行之不远,一则八卦新闻则容易四方皆知。在这次白帽事件中,白帽被捕是“正餐”,而世纪佳缘“钓鱼”白帽的住址,进而让公安去抓捕则是“佐料”,但正是这个“佐料”更是引起了不少人的愤怒,进而影响了大家对事件的判断。
作为安全媒体,安在对此事必然高度关注。但在反复阅读被捕白帽父亲提供的材料后,却始终没有找到所谓“钓鱼”的情节。我们也特向世纪佳缘的同学核实,对方表示,“只强调一点,我们没有钓鱼”。世纪佳缘CEO吴琳光6月29日则在知乎上发帖回应称,“从乌云通知我们有漏洞至今,世纪佳缘都从未获得过漏洞提交者的联系方式,也从未与他取得联系”。
从另一个角度,对于一位在乌云上注册了ID、并提交过11个漏洞的白帽来说,如果真的因为违法,警方或世纪佳缘真需要通过钓鱼方式来获取其住址吗?乌云在官网上就明确说明,“白帽子注册必须通过Email的验证,为了保证信息的高可靠性和价值”。
我们不想替谁洗地,但在探讨前,先实事求是是基础,对吧?
问题2:世纪佳缘为何先感谢、后报警?
按照被捕白帽父亲的说明,2015年12月3日袁某发现漏洞,12月7日世纪佳缘确认且修复了该漏洞,并致谢乌云网及被捕白帽。诡异的是,一个月之后的2016年1月18日报案,声称2015年12月3日和4日陆续收到入侵,并有大量数据读取。
按照吴琳光的表述,“漏洞的修复需要一定时间,攻击一直持续到12月4日晚上直至我们完全修复。事后统计发现,攻击总次数累计达到4000余次,共有900多条有效数据被攻击者获取”,“出于对用户数据和信息安全的担忧,我们还是选择了报警”。
细细看下时间,想必很多人都会好奇,从修补完漏洞并感谢,再到报警的1个月里,世纪佳缘内部发生了什么?从发现入侵到决定报警,为什么中间隔了那么久?
对此,吴琳光的解释是,“在警方和我们披露调查结果之前,我们并不知道提交漏洞的白帽子和攻击者是同一个人”。言下之意,有种“误伤”自己人的感觉。
一个可能的情况是,世纪佳缘的安全团队、技术团队和法律团队间存在信息不同步。在乌云注册的是安全团队,修补漏洞的也是安全团队,发现入侵则是其他技术团队,最后决定报警的则是法律或者运营团队,而且三个团队之间是信息不对称的。
同时,吴琳光对于目前的局面也表示了无能为力,“这个事情已经进入司法公诉程序,我们能做的有限,毕竟起诉人不是世纪佳缘,而是检方。”
我们无意于去拼凑一段历史,只是想让分析建立在具有细节的事实上。很多技术人员都了解,安全团队在互联网企业的影响力并不高,更多要服务于运营和技术团队。实现功能一定是互联网企业首要目标,保证安全更可能是附加目标。
但不管原因如何,“先致谢、后报警”的混乱,都显示了世纪佳缘安全体系有待改进,这也告诉我们,一家大型互联网企业配备一个统筹安全的CSO是多么重要。
问题3:白帽被捕至今近3个月,乌云做了什么?
在庞大的企业面前,个体总是无力的,因此,很多业内人士都在质疑,平台哪里去了?
从白帽被捕至今已近3个月,为什么乌云平台在此期间毫不发声?如果不是被捕白帽的父母在会场散发传单,而引起业内广泛关注,估计这事最终也就默默地发生而已。所以,很多人都在质疑,乌云为什么没发声?
其实,乌云早已将自己免责了。在乌云的官网上明确指出三大“不负担任何责任”:
1、对于在乌云平台发布的漏洞,所有权归提交者所有,白帽子需要保证研究漏洞的方法、方式、工具及手段的合法性,乌云对此不承担任何法律责任。
2、乌云及团队尽量保证信息的可靠性,但是不绝对保证所有信息来源的可信,其中漏洞证明方法可能存在攻击性,但是一切都是为了说明问题而存在,乌云对此不负担任何责任。
3、厂商在乌云注册时需要确认能够代表企业身份授权白帽子发现安全问题并且对安全问题及时处理和响应,乌云对厂商内部流程导致的问题不负担任何责任。
也就是说,乌云对于自己的定位仅是信息中介平台,法律纠纷与其一概无关。
从商业的角度来看,乌云这种自我免责的行为是理性的——平台只是展示结果,确实无法对过程负责。但是,从安全行业发展的角度来看,如果乌云无法为白帽提供相应的保护、辅导、支持、规范、自律等措施,白帽被捕之后也没有提供法律支援、业内研讨等措施,那么乌云只是保留作为漏洞报告平台的工具属性,但其社群属性就被淡化了。那么,未来更加权威、官方、严格的SRC完全可能取代乌云,未来更有前途的平台完全可以整合这些官方SRC,为白帽们提供更加便捷、打包注册等服务即可,那时还需要什么不提供支撑的第三方平台干嘛呢?
按此逻辑,从长远看,第三方的漏洞报告平台的价值正在淡化。
问题4:世纪佳缘此举会将白帽逼入黑产?
先说结论,不会。
有人担忧,“厂商的这次做法很可能把一群人推向黑产。反正最后总归是得进去的,不是吗?”答案还真的是“不是”!黑客之所以会做黑产,一些大的前提是,部分是因为道德,部分是因为赚头,部分因为没有干净钱赚。但是现在这些前提并不成立,对于稍有实力的白帽来说,现在去做黑产并非明智选择,因为出来混总是要还的。相反,很多互联网企业甚至大公司之于安全人才更是求知若渴。而且,按照现在漏洞报告的奖励机制,每个白帽几乎都是免费在替厂商找漏洞,对于那些兴趣在于拿漏洞卖钱的黑客,才不会将漏洞无偿地提交出来。
所以,世纪佳缘此举只是伤了白帽的积极性,但是让其一怒之下弃明投暗的可能性几乎没有。
问题5:是否会给安全行业造成影响?
如果这种状态持续下去,并且长期没有明规则可供参考,肯定会影响安全行业的持续健康发展。
安全行业的本质是攻防对抗,而且是现实状况下的攻防对抗,白毛们必须在战争中学会战争,众测平台、漏洞平台其实都是实战演习的场地。如果经此一役,企业就可以根据心情和需要,没有明确标准和预期地对于白帽诉诸法律手段,那么白帽的活跃度必然会被抑制,安全行业的发展必然会遭到压制。
当然,这也可以视为建立白帽明规则的契机。白帽虽然冠名以白,但是其法律地位却是灰。在仅有几条法律规范的情况下,对于现实中大量的实践不足以提供充分的参考。没有明规则的情况下,就只有潜规则在起作用,但是现在连白帽赖以生存的潜规则都遭到破坏,那么只能陷入无规则状态了。
问题6:安全行业到底该做什么?
正如TK所说,“每一朵乌云都有一道金边,每一顶白帽都有一道黑边”,如何应对这个灰色的世界?
对此,安在创始人张耀疆呼吁:
1. 应尽快建立并开展多方沟通和探讨机制,包括众测平台、企业SRC、白帽子、企业用户、公检法部门等,大家坐下来,从法律、道德、企业利益、公共利益、行业发展等多个方面,彼此交流分享并打开心结,以求达成一致;
2 .应该建立中立的漏洞管理联盟,当前各类众测平台和企业SRC进行引导,建立行业共识和规范,不能再各行其是甚至互相指责了,这个行业是一荣俱荣一损俱损的,不要以为某一家就能撑起整个企业界以及白帽子群体的共识和信任;
3 .近期各类会议甚多,看起来安全届热热闹闹非常活跃,可否会议中给予当下这一非常现实甚至基础性的话题以关注?有时候想想也是,连个白帽子和企业关系的问题都解决不了,光靠扛箱子卖机器就能搞好安全了?
4 .能力越大责任越大,乌云作为众测平台代表,为整个产业发展作出的贡献大家都看在眼里也得到了公认,但事情发展到现在这个阶段,是不是该再勇敢地站出来,去努力营造一种新的局面呢?商业化很重要,但如果好不容易打造起来的白帽子社群文化被否定甚至颠覆了,等于根基就没了,其他发展恐怕也会受到影响的。这里我提到乌云,未必只说他家,其实所有平台都有责任,甚至包括BAT这样巨头企业的SRC,301有一句话说得好,你们发展就是靠广大白帽子群体抬举的,当“世道要乱”的时候,大佬们为什么不“拨乱反正”一下呢?
扩展阅读