发布时间:2023-7-25 分类: 行业资讯
袁炜事件
“我的儿子袁震发现了< ;; Century Jiayuan’漏洞到另一边修复,‘ Century Jiayuan’但警察逮捕了他。它于3月8日被捕。从今天开始已经半年了。我们的家人今天仍然无法弄清楚元贞出了什么问题?“在最近的采访中惊呆了的袁冠阳在接受采访时叹了口气。
64岁的袁观阳原本不了解互联网。在他的儿子袁宇的意外之后,他咨询了专家,了解他的儿子犯了多少钱。袁观阳告诉记者,袁浩是一个互联网漏洞报道平台 - mdash; &MDASH; “黑云网络“一个“白帽子”,在2015年12月,元甄测试发现了一个约会代购源码网站— — “系统嘉园“系统漏洞,以及云上提交的系统漏洞。 “世纪佳园”首先确认并修复了漏洞,并感谢吴云网和袁浩。但是,在“非法代购源码网站数据无效”之后,警方经过调查后拘留了袁浩。
所谓的“白帽”是指识别计算机系统或网络系统中的安全漏洞的网络安全技术人员。他们积极参与漏洞披露平台和企业应急安全响应平台。与销售安全漏洞并从其他人窃取信息的网络黑客不同,他们只检测漏洞并且不会恶意利用漏洞。 “白帽”通过向相关平台或制造商提供反馈并获取漏洞,敦促制造商在被黑客利用之前修复和修复漏洞,并维护计算机和互联网安全。在生活中,他们是普通的网络工程师,安全实验室程序员,甚至只是大学计算机专业的学生。
“白帽”袁震发现并提交了“世纪佳园”的漏洞;而“世纪嘉园”,为了保护用户的隐私和安全,警察抓人。其中,司法系统尚无定论,但许多互联网安全行业内部人士和法律专家都表示,元裕事件将成为互联网安全史上的标志性“分水岭”。
在袁宇被捕后,“白帽子”,公众,特别是程序员,密切关注。如何定义“白帽子”进行网络安全测试时应遵循哪些规范?漏洞平台是否有权发布企业安全漏洞?这些问题也引起了法律专家的注意。
“当前‘白帽子’定义很少出现在各个国家的法律和标准中,因为‘白帽子’在过去的十年中一直流行,第二个因为‘白帽子’它也属于尚未具有法律地位的民间技术团体。在实践中,它通常与“lsquo;白帽子’ &squo;灰色帽子’ ‘黑帽子’与‘相关联白帽子’是一种黑客。类似的概念被称为“ldquo; ethical hacker’是一名模拟黑客攻击的网络安全专家,帮助客户了解其网络的弱点,并提供改进建议。 ”的公安部第三研究所第二警察局局长,信息与网络安全部公安部副研究员告诉记者。
“一般理解&白人&白人’为了不利用生存的漏洞,它在各种代购源码网站上进行安全测试的动机主要是为了维护网络安全。但如何合法定义‘白帽子,如何判断采矿行为的法律性质,如何判断发布漏洞细节的危险性,仍处于模糊区域。 ”的北京邮电大学互联网治理与法律研究中心常务副主任谢永江说。
检测漏洞的法律边界在哪
在元甄案中,获取代购源码网站信息成为他被捕的重要原因。 “世纪佳园”委托司法鉴定办公室对其服务器日志进行身份验证。鉴定意见显示,“世纪佳园”将于2015年12月3日17:00至2015年12月4日10:00开放。许,非法访问11个IP地址,如“124.160.67.131”,入侵者读取代购源码网站数据库,与读取操作相关的数据库数据信息为932.
在袁震案引发的讨论中,许多程序员认为“白帽子”利用涉及阅读信息的漏洞,善意取得并非违法。在这方面,黄道立说,“中国的刑法规定了所有未经授权的计算机信息系统访问,这些都不是直接针对漏洞挖掘行为的规则。任何利用系统安全漏洞实施入侵的实体都可能违反规定未经授权侵犯计算机信息系统也是各国刑事立法的共同打击。在身份鉴定标准中,黄道立解释说,根据两个高级司法解释,500多套除在线金融服务的身份认证信息外,身份认证信息构成刑法规定的“严重情况”。将面临三年监禁或刑事拘留,单一或一次处罚。“该量化标准有经历了大量的实证检验和研究讨论制定过程,法规本身没有问题。有些人认为元浩为白&白,’新人’更多地访问某些数据是可以理解的,但这不是一个被认为是信念的因素。 ”的
在实践中,还有一个“白帽子”使用与黑客相同的软件来进行漏洞测试。例如,袁伟使用一个名为SQLmap的安全测试软件,它带有一个缓存功能,并会自动测试。信息存储在本地隐藏文件夹中。
“如果‘白帽’采矿过程中使用的自动化工具导致违反刑法获得的数据量,他们应该考虑调整功能或使用其他规范化工具。 “陶道道告诉记者,在实践中,”白帽子“作为技术人员,对法律知识知之甚少,目前比较紧迫的问题是立法规范,指导”白帽子“,为其创造适当的法律环境。/p>
“目前,没有法律来规范漏洞的利用。刑法主要从行为的角度进行规范。在确定‘白帽子’是否有利于破解,检验漏洞,主要是强调结果。由于当时当事人的主观意愿无法客观地确定,可能是考试的疏忽,或者可能是一个思想与故意保留数据之间的差异。 谢永江说,在法律不明确的情况下,利用漏洞的“白帽子”本身存在风险,现有的法律规范倾向于保护公司利益。如果袁震的行为确实构成法律规定的获取信息的定罪标准,他仍需承担相应的法律责任。
目前,中国还没有形成一个系统的法律制度来规范善意利用漏洞的法律规范。一些法律法规和部门规定相对分散,如保守的国家秘密法,公安管理法和刑法。这些法律没有明确界定“白帽子”的行为界限。黄道立强调,在新法律和配套法规出台之前,现行法律和司法解释应成为客观要求,必须接受和预先考虑挖掘的实施。
应尽快制定行业标准
“法律始终是技术发展的基础。谢永江说,作为中国网络空间安全协会的负责人,通过行业协会召集专业人士制定行业标准,以“挖掘漏洞”并利用漏洞,会更快。行业标准可以建立“白帽子”的注册标准,规范工具的使用,在采矿行为的界限上形成行业共识,并统一利用漏洞的授权规则。黄道立还认为,法律规范需要进一步完善和合理化,具体的技术规范可以给予市场优化。
比较武运网的公开披露制度,只有市场内披露模式和国家信息安全漏洞共享平台模型,谢永江认为,漏洞平台有强制漏洞漏洞,存在实际和法律风险:一,公众不一定了解脆弱性的细节,舆论采取相应的预防措施。其次,漏洞披露的细节可能会导致“黑帽”的攻击,从而增加了漏洞的危害。但是,如果制造商在收到漏洞报告后未修复漏洞,则由于漏洞而导致用户信息泄露。 “白帽”的漏洞报告可能成为制造商未履行网络安全管理义务和用户信息泄露事件的错误。证据,可以声称用户的损失。
西安交通大学法学院和360公司对“白帽”奖励模式进行了专题研究,并发布了《白帽子安全漏洞挖掘风险报告》。目前,各种漏洞披露平台都有一定的尝试和探索意义。 “从目前国内外漏洞平台的发展阶段来看,似乎没有单一的模式。 ”参与编写报告的黄道立告诉记者。
根据该报告,“Facebook”仅在2015年就向210个“白帽子”发放了936,000美元的漏洞奖励。漏洞奖励计划,漏洞购买计划(VPP)和漏洞奖励计划吸引了更多的“白帽子”加入安全研究,这在网络安全中已经司空见惯。
在国外漏洞公共测试平台“First Hacker”(HackerOne)上,公众调查企业向黑客支付了发现漏洞的奖励。 “第一个黑客”从企业奖励中获得了20%的费用。 “第一个黑客”还为企业提供付费服务模型,如漏洞订阅服务,漏洞披露指导和安全咨询。目前,“第一个黑客”帮助500多家公司发现了超过20,000个漏洞,并已向超过3,200名独立安全研究人员颁发了超过600万美元的奖励,其中一项漏洞奖励高达30,000美元。从国际惯例来看,黑市交易的高回报显然比中国企业目前的低水平脆弱性奖励更具吸引力。这也是黑市产业链形成和发展的关键因素。黄道立说“白帽子”;是一群倡导自由,依靠自己的技术追求或维护网络安全等漏洞的人,并希望从中实现不同的价值观,因此‘白帽子&rsquo因商业化而不会消失。因此,建立一个持久的高安全性漏洞奖励机制是支持和鼓励白人和白人的最佳方式。 ”的
国外“白帽子”如何免责
事实上,国内外存在大量数据泄露安全事件。但是,一方面,了解漏洞暴露或数据泄漏需要用户具备某些技术能力。另一方面,是否采取法律行动需要法律能力和成本。黄道立说,目前的“白帽子”并不是因为漏洞被提起的消息不多,但并不意味着违法行为没有或没有。如何通过法律规范“白帽子”行为已成为值得研究的重要课题。
从各国法律来看,利用安全漏洞的行为一般根据主体和行为动机产生不同的法律后果。例如,在美国,早在1998年《数字千年版权法》,获得了安全测试的边界(包括“白帽”):安全漏洞信息的获取和利用,仅用于保护计算机的所有者或操作者被测系统。为了安全起见。
对于团队或个人(如“白帽”)获取的漏洞信息,美国《网络安全法》在制造商未获得授权时也规定了披露规则:首先,披露应采取适当措施保护漏洞信息;披露时,应删除可用于识别特定人员的信息。第三,不应利用脆弱性来获得不公平的竞争优势。同时,“白帽子”是指“白帽子”。可以免于在“善意辩护”中利用漏洞的法律责任。
关于漏洞检测和披露问题,11月7日刚刚宣布的《中华人民共和国网络安全法》规定:“开发网络安全认证,测试,风险评估和其他活动,以释放系统漏洞,计算机病毒,网络攻击,网络入侵等。安全性信息应符合国家有关规定。 &quoquo;黄道立表示,网络安全法的出台为下属法的发展铺平了道路,可能涉及自发利用漏洞和内容的发布。
漏洞信息或成战略资源
《中国互联代购源码网站发展状况及其安全报告(2016)》显示:截至2015年12月底,中国代购源码网站总数达到426.7万;由于各种安全漏洞,该代购源码网站面临黑客攻击目标业务系统并窃取用户的有价值信息。攻击威胁的目标,公共互联网环境仍面临更严重的安全局面。
“信息技术的快速发展促进了计算机规模的扩大,增加了个人,企业甚至社会和国家对网络安全的需求。 ‘黑帽’ ‘灰色帽子’如利用漏洞来攻击无穷无尽的事件,以及更加多样化和复杂化的手段,无处不在的网络风险使得安全成为一个普遍存在的问题,&ns;白帽子’由于其道德和道德偏见,它已成为企业甚至政府机构获取漏洞和升级系统的重要途径。维护信息系统的作用是不可替代的。 ”黄道立说。
国家互联网应急中心运营部副主任严汉兵也表示,2009年后,天天平台,五云网,漏洞框,“白帽”等多个漏洞报告平台已经建立。漏洞的发现和报告已成为整体漏洞发现和处置系统的重要组成部分。
网络安全漏洞与企业和个人的信息安全有关,甚至涉及国家安全。 “发达国家长期以来一直将脆弱性信息作为战略资源。 ”谢永江说。
例如,2013年,世界主要工业设备和武器制造国家的常规武器和民用技术协议《瓦森纳协定》规定零日(0day)漏洞(指的是被发现后立即被利用的安全漏洞)还有危险的武器出口。条约的规范性目标。脆弱性信息本身不仅被禁止用于犯罪或出口到“专制政权”,用于入侵计算机系统的相应软件,硬件设备和组件也受到同等限制。 2015年5月20日,美国工业和安全局发布了《瓦森纳协定》的实施草案,其中规定禁止在不同国家之间交换漏洞信息。因此,它被认为是美国公司或个人向海外制造商报告漏洞的出口行为。有必要提前申请政府许可,否则将被视为非法。
“漏洞信息本身具有一定的应用价值。我相信有可能在国家层面建立漏洞信息库,获取企业和个人发现的漏洞,包括’ white hat‘在网络战正在成为现实的情况下。准备技术储备工作。 ”谢永江建议。
漏洞信息的挖掘和保护也受到了中国政府的关注。 4月19日,习近平主席在网络安全和信息化研讨会上强调,“建立统一,高效的网络安全风险报告机制,智能共享机制,研究和判断处理机制,准确把握网络安全风险规律。趋势,趋势。建立政府和企业网络安全信息共享机制,并利用企业掌握的大量网络安全信息,龙头企业必须率先参与这一机制。 ”漏洞发现也被写为中国《国家信息化发展战略纲要》编写的“全天候全方位网络安全意识”的重要组成部分。
谢永江透露,中国网络空间安全协会目前正在建设中,并将在未来设立分支机构,对“白帽”和安全漏洞等问题的法律定位进行专题研究。
