顺时百度负面信息处理公司

当前位置: 主页 > 舆情监控 >

【网络舆情播报】“白帽子提交漏洞信息被抓捕”事件舆情分析报告

浏览:/ 2017-04-01 11:38

 

   【网络舆情播报】“白帽子提交漏洞信息被抓捕”事件舆情分析报告

 【网络舆情播报】“白帽子提交漏洞信息被抓捕”事件舆情分析报告


  1、舆情综述

  相对于“黑帽黑客”,“白帽黑客”(也称“白帽子”)指的是正面的黑客。他们能识别出计算机或网络系统中的漏洞,将其公布给厂商修复,以免“黑帽黑客”从中盗取信息、牟利。

  近日,一组“白帽子检测漏洞到底是不是犯罪”的照片引起了网络安全领域的广泛关注,照片是致第四届网络安全大会的一封信,发信人自称是白帽子实习生袁炜的父亲,信中称,白帽子袁炜因在乌云网提交世纪佳缘漏洞而遭到后者举报被抓。

  众多主流媒体及行业媒体,包括《搜狐网》、《新浪科技》、《网易新闻》、《环球网》、《DoNews》、《融合网》、《IT之家》以及《中国日报》、《京华时报》等媒体对此事件给予报道和转载。

  截止至2016年7月4日,相关新闻报道492篇,博客353篇,微博312篇,论坛主帖221篇。图1.“白帽子提交漏洞信息被抓”事件媒体报道情况

  2、事件回顾

  2016年6月23日,第四届网络安全大会期间,来自浙江杭州的袁先生以“白帽子检测漏洞到底是不是犯罪”为题,书写《致第四届网络安全大会》的一封信。

  信件显示,事件主人公袁先生的儿子袁炜是一名乌云网的实习白帽子,用户名Ledoo。2015年12月3日,袁炜发现世纪佳缘网站存在漏洞,由于信心不足,他下班后又在自己家中对世纪佳缘网的漏洞进行了测试,并于12月4日向世纪佳缘网提交了发现的漏洞,同年12月7日,世纪佳缘确认并修复了该漏洞,同时致谢乌云网和袁炜。

  不过,2016年1月18日,世纪佳缘报警称有4000余条实名注册信息被不法分子窃取。2016年3月8日,袁炜遭到警方刑事拘留,并于4月12日被批准逮捕。罪名为“非法侵入计算机信息系统罪”。

  基于2009年2月28日,全国人大常委会颁布《中华人民共和国刑法修正案(七)》,在刑法第285条中增加两款作为第二款、第三款,其中第2款规定:“违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”

  此外,按照我国法律规定,构成非法侵入计算机信息系统罪的认定标准中,有一条是获取身份认证信息500组以上。从这一标准来看,袁炜获取了超过900条有效数据,或许是检方批捕袁炜的主要原因。

  图2. “白帽子提交漏洞信息被抓”事件回顾

  3、各方声音

  3.1 乌云网法律顾问:白帽子的正常行为构成犯罪的可能性较小

  至于破坏计算机信息系统罪,需要具备三种情况之一:破坏计算机信息系统功能,即对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;破坏计算机信息系统中存储、处理或者传输的数据和应用程序;故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行。白帽子的行为通常都不涉及这三种情况,如果涉及,一般也不属于白帽子。

  3.2 世纪佳缘网:回应“钓鱼”说法

  关于袁炜被抓,坊间传出世纪佳缘“钓鱼”的说法,有人质疑为何世纪佳缘在向乌云和漏洞提交者致谢后的一个多月又突然报警。对此,世纪佳缘CEO吴琳光则在知乎上解释称:“在漏洞修复过程中,我们发现有900多条有效数据被攻击者获取,出于对用户数据和信息安全的担忧,我们选择了报警。”他同时表示,“在警方披露调查结果之前,我们并不知道提交漏洞的白帽子和攻击者是同一个人。世纪佳缘报警是出于对用户隐私和公民信息安全的考虑,并不针对任何个人或组织。”

  3.3 IT法律律师:道义和法律不冲突

  据《南方都市报》7月3日刊文称,“白帽黑客”自行检测行为,应该“讲道义”还是“讲法律”?多名互联网法律方面的律师表示,相关法律对于“白帽黑客”群体留有空间。中国电子商务协会政策法律委员会委员、互联网法律专家于国富介绍,我国刑法对于“非法侵入”行为构成犯罪规定了非常窄的范围,侵入“国家事务、国防建设、尖端科学技术领域的计算机信息系统”等特定信息系统的才会成立。

  对于普通的厂商计算机信息系统,仅仅实施了侵入行为,没有破坏。控制、窃取数据等造成严重后果行为,不构成犯罪。这意味着,“白帽黑客”在检测漏洞时,只要不触碰系统数据,在发现漏洞后立即提交报告给厂商,就不涉及犯罪。“法律这一方面在尺度设计上是合理的,也给善意的‘白帽黑客’以一定的发挥能力和实施公益的空间。”

  4、舆情点评与分析

  自此事件发生之后,乌云平台不少挖洞的白帽子开始以匿名的方式提交漏洞信息来规避被抓捕的风险。长期以来,关于黑客与白帽子的身份,互联网安全的边界应该如何界定一直备受争论,这次事件更是引发网络安全界的广泛关注。

  对于此次事件,多数网友表示世纪佳缘网的做法很过分,但是白帽子袁炜的行为确实是违法的。然而,也有不少人表示,这次事件世纪佳缘认为自己的数据被注入,读取而报案是符合法律规定的,但是打破了厂商与白帽子之间心照不宣的潜规则。

  4.1 舆情点评一:明规则与潜规则

  中国对计算机信息安全是有严格法律规定的。入侵计算机系统,获取数据,控制权限都是违法的。也就是说白帽子入侵任何计算机系统,无论做了破坏,还是没做破坏,无论是获取了数据,还是没获取,被入侵的公司或者机构都是可以报案的。

  这次世纪佳缘认为自己的数据被非法盗用,读取而报案是符合法律规定的,这是明规则。按照明规则,白帽子必须是被攻击公司聘请来对自己系统发起攻击,以检验系统的安全性,健壮性。我们经常看到苹果,微软,特斯拉等公司发起过活动,邀请技术人员对自己的产品发起攻击,给破解者若干奖励。

  双方也可以通过协议形式,约定一次攻击的权利责任,对系统的安全与健壮性做测试,这是明规则,不涉及违法。但是,在实际运行中,逐渐出现了另外一种白帽子。这种白帽子并没有经过厂家授权,而是先攻击后通知。

  当厂商的服务器接入互联网,这些白帽子就发起攻击,寻找系统漏洞,找到漏洞后给厂商确认,而厂商一般不会去追究这些白帽子的责任,反而会给予金钱或者礼品的回报。因为厂商知道,这些白帽子发现的漏洞如果不通知自己,就会被黑客广泛利用,造成数据泄漏,删除,服务中止等严重后果。

  而且由于网络的匿名性,事后即使报案追查,在有意藏匿身份的黑客面前也是很无力的。因为网络世界是全球的,权力仅仅在一国。跨国的网络犯罪追查成本极高。所以厂商虽然不太愿意自己的漏洞被发现攻击,但是对于提供漏洞信息的白帽子基本还是合作态度。而不会去报案,这是潜规则。

  4.2 舆情点评二:世纪佳缘的破例

  理论上说,厂商邀请发起攻击,相当于安全测试的外包,厂家出钱,白帽子出力,发现漏洞,提升系统的安全性。而白帽子自己攻击系统,发现漏洞然后告知厂家,获取金钱和礼物的回报,有点类似于强买强卖。厂家原本是不愿意为漏洞买单的,但是漏洞发现了,不买单可能会有极高的损失,厂家还是买了。

  对白帽子来说,这种游走法律边缘的做法一方面可以满足他们对技术与破解的成就感,另外一方面还可以获取一些报酬同时又不是赤裸裸的黑客犯罪,有些人也乐于此。这些人应该说是有情怀的,而非完全利益驱动。

  如果利益驱动,那么他们会破解系统后,拖走全部数据,然后在黑色产业链中高价出售来牟利,虽然这违法,但是蓄意犯罪的黑客会有办法隐藏自己的身份,让追查变得极其困难。事实上,国内外的泄漏事件很多,而真正报案抓住犯罪者的很少。而白帽子认为是帮助厂家测试,所以并不太注意隐匿自己的身份。

  而世纪佳缘这次是破例了,打破了长期以来形成的一种自然默契。严格按照法律办事,攻击就是犯罪,我就要报案。而另外一方的白帽子对此没有准备,没有做任何藏匿身份的举动,甚至被钓鱼主动提供身份地址,于是顺利被抓。

  4.3 舆情点评三:未来的互联网

  这个事件对网络安全行业是一个警告,世纪佳缘的破例,无论是偶然的黑天鹅事件(指那些难以预测,且不寻常的事件,通常会引起市场连锁负面反应甚至颠覆),还是蓄意的事件,对整个行业都会带来影响。

  未邀请的白帽子攻击被视为非法,有被抓的可能。那么这些漏洞以后就不会再公开出来,也不会通知厂商。而是进入黑产,成为商品贩卖。而商品的购买者则会利用漏洞盗取数据,甚至删除数据造成服务中止。而互联网会变得比以前更加危险。很多网站的个人隐私数据完全依靠互联网厂商自身的技术力量进行防护。

  然而,我们要知道,仅仅是世纪佳缘就从乌云那里获得了42个数据漏洞的信息,并且进行了修复。如果这42个漏洞没有人通知世纪佳缘,而是拿到黑色产业链去贩卖,那么世纪佳缘的用户还有隐私可言吗?这次事件一出,未来不会再有白帽子把漏洞信息给世纪佳缘了,以后世纪佳缘就要靠自己的力量来保护千万用户的隐私信息了。用户只能祈祷世纪佳缘能够有足够投入聘请第一流的网络安全专家了。对于其他互联网公司来说,是学习世纪佳缘还是继续潜规则对未来用户的互联网安全有很大影响。

  如果都学世纪佳缘,拒绝非邀请的白帽子攻击和漏洞通知,那么互联网会空前的危险。对于用户来说,就要谨慎的登录个人信息。APP也好,网页也好,只相信最大的BAT这几家公司,其他非要注册,那么就一个网络一套密码、ID和信息,而不能通用。否则,只要有一家安全不到位被破解,被撞库成功,用户就没有安全和隐私可言了。

  5、“白帽子”的处境

  5.1 不受法律保护的“白帽子”

  虽然白帽子的称谓中有一个“白”字,但他们实际处在一个灰色地带。据北京富润律师事务所黄锦深律师介绍,按法律规定来说,只要是没有获得企业的授权,白帽子自发挖漏洞的行为都是违法的,即便是通过漏洞平台,企业注册了该平台的账号,也不能算作授权。

  通过袁炜事件,很多白帽子也第一次知道了一个临界点,按照我国法律规定,构成非法侵入计算机信息系统罪的认定标准中,有一条是获取身份认证信息500组以上。从这一标准来看,袁炜获取了超过900条有效数据,或许是检方批捕袁炜的主要原因。

  对于袁炜案件,黄锦深认为,虽然符合立案标准,但是从目前披露的情况看,很难判断袁炜是否有主观恶意,也没有造成严重的损失,最终的判决应该不会很重。如果世纪佳缘能够对他的行为表示谅解,也有可能减轻他的处罚。

  5.2 “白帽子”的未来

  “这次可能会成为白帽子史上的一个标志性事件。”有安全领域人士认为,袁炜事件的最终解决和后续影响,可能左右白帽子这个群体的今后走向,“未来白帽子的生存环境会更好或者更坏都有可能。”并表示,“以袁炜事件为契机,国内主要的漏洞响应平台应该联合起来,主动和执法部门进行沟通和研究,明确白帽子行为的界限,有一个明确的司法界定,把原来灰色的部分真正变成白色”。这样既能让真正的白帽子的工作有了保障,也能预防白帽子“涉黑”。

  “这是更好的可能性,当然也有更坏的。”有关专家表示,如果白帽子和企业之间的对抗加深,矛盾加剧,那么从执法部门的角度考虑,很可能就会对白帽子的管理更加严苛,白帽子的活动空间就会被压缩,面临更多个人安全上的威胁。那样对白帽子整体打击会很大。

  “不管未来如何,眼下起码有一点需要改进,那就是漏洞平台的作用。”专家认为,像乌云这样的平台,应该为白帽子们提供更好的法律支持,而不是把白帽子推出去,让他们自己去打官司。

  5.3 给“白帽子”的建议

  日前,信息系统安全专家原浩律师就此事件,对于白帽子提出几点建议:

  图3.信息系统安全专家给“白帽子”的建议

  (1)考虑自己行为可能与哪些组织发生关系,通过协议明确下来,比如与平台、比如与渗透测试委托方、比如平台与渗透测试委托方,都需要相互穿插印证。

  (2)无论是测试还是侵入,一切行为都会留下痕迹,侦查和检察都有经验,关键时候是个人数据,还是测试数据,还是更为敏感的个人或生产数据,会形成证据链来验证白帽子的行为。这个案子提及的900多条数据的定性,可能会成为重要的定罪量刑依据。另一个就是证明侵入行为人到底是谁?英美法上有个“排除合理怀疑”,最终总是要有个行为人实施,但这个认定有一定的技术难度,有了技术结论,还需要看各方技术论证的能力。

  (3)刑法和治安管理处罚法都明确的是“侵入”,不是“入侵”。瓦森纳协定和美国EAR对入侵软件的定义:特殊设计或修改的以规避计算机或网络设备(包括移动电话、智能终端等,下同)监测工具的软件,以及导致计算机或网络设备保护措施无效的软件。

  入侵软件可能运行从计算机或网络设备提取数据或信息,修改系统或用户数据;或修改程序的标准执行路径或进程以执行外部指令等——除了特定的几类软件,入侵软件是用于测试还是侵入系统,完全在行为人的一念之间。

  6、结语:网络安全离不开法律的保护

  在行业之外,法律法规还需要不断完善。近日,备受关注的《网络安全法》草案在十二届全国人大常委会第二十一次会议上迎来第二次审议。草案二审稿进一步强化国家的责任和公民、组织的义务,加强关键信息基础设施保护,协同推进网络安全与发展,切实维护国家网络主权、安全和发展利益。

  相比于一审稿,草案在安全保护的主体、范围、措施等方面均进行了“扩容”。值得注意的,草案二审稿在强调关键信息基础设施保护的同时,大量增加了数据安全保护的内容,并更进一步提出了对个人信息泄露的防护。

  当然,有法可依并不意味着网络安全从此就可以安全无忧了,草案会界定行业中包括互联网公司、互联网安全公司应该肩负的责任和义务,相信也会对白帽子提交漏洞的行为做出相应界定。不论对于机构还是个人,网络安全关乎全体网民的利益。网络安全的责任,国家、公司或机构、或白帽子们都责无旁贷。


  更多相关【网络舆情】知识推荐阅读:【网络舆情知识】全媒时代如何研判与处置企业舆情?

  本文由顺时公关公司编辑收集于网络,不代表本站任何观点。如有侵犯权益,请联系本站管理员!顺时科技公关公司专业研究品牌维护、危机公关处理,网络公关处理,企业政府危机公关处理,负面消息信息处理,提供专业百度口碑维护方案,维护企业品牌信誉及政府名誉!如需了解更多相关公关资讯,请关注顺时科技公关公司官网。

上一篇:【网络舆情知识】全媒时代如何研判与处置企业舆情?

下一篇:【网络舆情播报】高考志愿被同班同学篡改,舆情发展为何一边倒?

本栏目相关文章

关于本站

扫一扫关注微信公众号、加微信
点击关注微博