信息化觀察網(wǎng)

白帽黑客是指白帽匿名者（white hat hacker），其又稱為白帽子，是那些用自己的黑客技術(shù)來維護網(wǎng)絡(luò)關(guān)系公平正義的黑客，測試網(wǎng)絡(luò)和系統(tǒng)的性能來判定它們能夠承受入侵的強弱程度。近日，一封來自某“白帽黑客”父親的公開信意外在網(wǎng)絡(luò)信息安全圈內(nèi)外掀起不小波瀾。

公開信作者、浙江杭州的袁先生稱，其子袁某就是一名“白帽黑客”。2015年12月4日，袁某使用第三方漏洞報告平臺烏云網(wǎng)賬號提交了一份關(guān)于世紀佳緣網(wǎng)的漏洞報告，隨后，世紀佳緣確認并修復(fù)了該漏洞，并致謝烏云網(wǎng)及袁某。

4個月后，北京警方卻以涉嫌非法獲取計算機信息系統(tǒng)數(shù)據(jù)將袁某刑事拘留。原來，世紀佳緣網(wǎng)今年1月報警稱有4000余條實名注冊信息被竊取。目前案件處于審查階段，未有結(jié)論。袁先生在公開信中稱，其子檢測漏洞并無意圖或主動下載數(shù)據(jù)。

“白帽黑客”檢測漏洞是否構(gòu)成犯罪?有業(yè)內(nèi)專家指，維護網(wǎng)絡(luò)安全的“白帽黑客”群體實則游走在法律的邊緣地帶。

妻子:漏洞檢測為維護安全

6月26日，南都記者聯(lián)系到袁某妻子戴女士，她表示公開信內(nèi)容客觀真實。她回憶，被警方帶走前丈夫曾兩次提起世紀佳緣網(wǎng)的漏洞。

南都記者調(diào)查發(fā)現(xiàn)，袁某的烏云網(wǎng)賬號“ledoo”注冊于2015年10月19日，共提交11份不同網(wǎng)站的漏洞報告，其中，最后提交的世紀佳緣漏洞報告時間是2015年12月4日。

戴女士稱，提交完報告一段時間后，世紀佳緣曾通過烏云網(wǎng)聯(lián)系袁某，說要饋贈禮物表達感謝，戴女士表示丈夫并沒有收下禮物。她介紹，袁某熱愛網(wǎng)絡(luò)安全領(lǐng)域，經(jīng)?？磿@研到深夜，絕非貪圖禮物。

“怎么會出事呢?”戴女士認為，丈夫做“白帽黑客”以來一直未出現(xiàn)問題，提交漏洞報告也是為幫助世紀佳緣網(wǎng)維護安全。不解的戴女士聯(lián)系世紀佳緣網(wǎng)詢問，對方的回應(yīng)是袁某或與該網(wǎng)站資料泄露事件有關(guān)。對于世紀佳緣公司的報案，戴女士稱:“感覺就像被背叛，太冤屈了。”

自3月8日袁某被警方帶走后，袁某家屬至今未能與其見面。如今，該案已進入檢方審查階段。

世紀佳緣CEO:撰文否認“釣魚”一說

目前“白帽黑客”提交漏洞的途徑主要有兩種:一是通過烏云網(wǎng)、360補天平臺等漏洞平臺;二是通過各廠商自己設(shè)立的安全應(yīng)急響應(yīng)中心。不過，國內(nèi)廠商對網(wǎng)絡(luò)安全的重視程度不一，也并非每家廠商都設(shè)有安全應(yīng)急響應(yīng)中心，仍有不少“白帽黑客”通過漏洞平臺提交報告。

作為業(yè)內(nèi)知名的第三方漏洞平臺，烏云網(wǎng)擁有注冊的“白帽黑客”上萬人。此外，第三方漏洞平臺和各企業(yè)也存在合作關(guān)系。本案涉及的世紀佳緣2012年就與烏云網(wǎng)建立了合作關(guān)系。

公開信引發(fā)的討論不斷發(fā)酵，但世紀佳緣官方卻一直沒回應(yīng)。直到6月29日，世紀佳緣首席執(zhí)行官(CEO)吳琳光在某論壇發(fā)文回應(yīng)此事。但他表示因案件尚在公訴期間，文章內(nèi)容僅代表個人觀點。

吳琳光稱，2015年12月3日晚，公司安全人員發(fā)現(xiàn)有多個IP地址對其網(wǎng)站進行SQ L注入攻擊(注:SQ L注入攻擊是黑客對數(shù)據(jù)庫進行攻擊的常用手段之一)。隨后，安全人員通過技術(shù)手段阻斷了部分攻擊。次日，烏云網(wǎng)通知世紀佳緣其網(wǎng)站存在漏洞。該輪攻擊持續(xù)到12月4日晚上，直至安全人員將其完全修復(fù)。事后，世紀佳緣方面統(tǒng)計發(fā)現(xiàn)，攻擊總次數(shù)累計4000余次，共有900多條有效數(shù)據(jù)被攻擊者獲取。“出于對用戶數(shù)據(jù)和信息安全的擔憂，我們還是選擇了報警。”吳琳光稱。

吳琳光否認了“釣魚”一說。他表示，在警方披露調(diào)查結(jié)果前，世紀佳緣并不知道提交漏洞的“白帽子”和攻擊者是否同一人，“報警不針對任何個人或群體，公司也沒有聯(lián)系過袁某”。

IT法律律師:道義和法律不沖突

不過，吳琳光的回應(yīng)并沒能平息網(wǎng)絡(luò)安全圈內(nèi)的爭論。南都記者了解到，早在袁案發(fā)生之前，圈內(nèi)已有對此話題的激烈爭論。

“白帽黑客”自行檢測行為，應(yīng)該“講道義”還是“講法律”?多名互聯(lián)網(wǎng)法律方面的律師向南都記者表示，相關(guān)法律對于“白帽黑客”群體留有空間。中國電子商務(wù)協(xié)會政策法律委員會委員、互聯(lián)網(wǎng)法律專家于國富介紹，我國刑法對于“非法侵入”行為構(gòu)成犯罪規(guī)定了非常窄的范圍，侵入“國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計算機信息系統(tǒng)”等特定信息系統(tǒng)的才會成立。

對于普通的廠商計算機信息系統(tǒng)，僅僅實施了侵入行為，沒有破壞、控制、竊取數(shù)據(jù)等造成嚴重后果行為，不構(gòu)成犯罪。這意味著，“白帽黑客”在檢測漏洞時，只要不觸碰系統(tǒng)數(shù)據(jù)，在發(fā)現(xiàn)漏洞后立即提交報告給廠商，就不涉及犯罪。“法律這一方面在尺度設(shè)計上是合理的，也給善意的‘白帽黑客’以一定的發(fā)揮能力和實施公益的空間。”于國富說。

游走在鋼絲上的“白帽黑客”

法律給“白帽黑客”的行動劃定了紅線，但在現(xiàn)實中突破紅線的現(xiàn)象卻并不少見。一名從事網(wǎng)絡(luò)安全10余年的專家介紹，部分“白帽黑客”不止于發(fā)現(xiàn)漏洞，有時會通過漏洞進入系統(tǒng)越界操作，隨后向廠商提交漏洞報告，自稱“白帽黑客”---這在圈內(nèi)被戲稱為“洗白”。

值得注意的是，這種“洗白”并無法律依據(jù)。于國富介紹，在犯罪行為后實施補救措施并不影響犯罪性質(zhì)，而是否追究責任取決于企業(yè)的決策。

南都記者注意到，吳琳光在個人回應(yīng)中提到，袁某在檢測漏洞時使用的sqlmap是網(wǎng)絡(luò)黑客工具。據(jù)一名網(wǎng)絡(luò)安全從業(yè)人員介紹，sqlmap是安全圈內(nèi)常用的工具之一，它會自動將測試信息存儲到本地的一個隱藏文件夾，其中也包括一些敏感信息。另一名業(yè)內(nèi)人士則透露，一直以來網(wǎng)絡(luò)信息安全圈內(nèi)并沒有對安全工具和黑客工具加以區(qū)分，“其實是一套”。

根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》，獲取網(wǎng)絡(luò)金融服務(wù)的身份認證信息10組以上，或其它身份認證信息500組以上的，認定為非法獲取計算機信息系統(tǒng)數(shù)據(jù)。

這意味著，“白帽黑客”在使用諸如sqlm ap一類具有緩存功能的安全測試工具時，可能不經(jīng)意間就將自己置于法律風險中。

（原標題：白帽黑客:網(wǎng)絡(luò)安全維護）