乌云网停摆
在互联网世界,乌云网一直扮演着“守护者”角色。但乌云网模式自诞生起,就一直行走在灰色地带,因而备受争议。乌云网此次危机,正是这一灰色地带的风险爆发所致。
“我出去躲两天。”
方小顿显然没有意识到事态的严重性,前不久,他在朋友圈发“跑路”信息时,还配上了一组做鬼脸的微信表情。以IT男为主的好友群体纷纷点赞,并配合字里行间的轻松姿态,附上留言:“方小遁”。
他终究没能“逃遁“成功。2016年7月20日,著名漏洞报告平台乌云网(Woo Yun)贴出“服务升级”公告,网站一时无法访问。与此同时,南方周末记者从多处信源获悉,包括方小顿在内的“多名高管被抓”,乌云网被迫停摆。方小顿网络ID叫“剑心”,是乌云网的创始人之一,也是赫赫有名的“白帽子”黑客。
在黑客江湖,一部分群体通过攻击系统漏洞获取数据,再把信息兜售至黑市牟利,被称为“黑帽子”黑客;另一部分是“正面角色”,号称只是将检测出的bug提交至报告平台进行公布,提醒、倒逼企业注重用户的数据安全,被称为“白帽子”黑客。
一般而言,白帽子先将自己发现的漏洞提交至漏洞报告平台,审核通过后会粗略发布漏洞情况,并等待涉事单位认领。如若几十天后仍没有机构联络平台,将进一步公布漏洞细节内容。一直以来,乌云网以这种方式公布信息,敦促企业加强安全意识。
“往往不是黑帽子或者白帽子,而是斑马,白天黑,晚上又洗白。”付德明对南方周末记者说,漏洞提交前,黑帽子与白帽子的身份界定模糊,提交后公布环节的流程不规范,造成乌云网模式自诞生起,就在法律与道义上备受争议。付德明在一家世界500强公司做企业网络安全防卫工作。
此番乌云网被查事件在业界造成震荡,再次引发了一场网络伦理的讨论。
“这次是摊上更大的事儿了”
“这次是踩上雷了,帮不了他们(乌云网)了。”一位与乌云网有业务往来的IT人士刘萍告诉南方周末记者。
刘萍介绍,实际上乌云网已经被查处,多名高管也“被抓”。
7月19日,另一家互联网测试平台漏洞盒子宣布,暂停接受互联网漏洞与威胁情报。而且,“白帽子”黑客报告漏洞的页面已经无法查看。漏洞盒子也发布了公告,称“要对流程制度、规范等进行梳理”。
乌云网成立于2010年5月份。在一期视频演讲节目中,方小顿回忆,自己在百度做网络安全方面的工作时发现,国内除了BAT等几个巨头之外,很少有公司有强烈的网络安全意识,并且愿意耗费时间、精力保护用户的数据信息。所以,有了成立一家平台,敦促企业注重安全的念头。
以网络ID“剑心”为身份,在互联网黑客江湖小有名气的方小顿,联合几位同道者,成立了乌云网。其宗旨是成为“自由平等”的漏洞报告平台,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。
据《电脑报》报道,乌云网的成名战发生在2011年年底。当年11月,乌云网根据白帽子提供的各种材料,连续披露京东商城、支付宝、网易等互联网巨头存在高危漏洞,12月29日更是指出支付宝1500万至2500万用户资料泄露,以及一家政务网444万用户信息泄露。
此后,乌云网又相继披露出酒店开房信息泄露、支付宝漏洞、搜狗浏览器泄露用户数据、腾讯7000万QQ群用户数据泄露等一系列重大的漏洞事件。
中科院软件研究院博导丁丽萍曾参加过乌云网组织的圆桌会议。她对南方周末记者说,一直以来,乌云网争议的焦点是,有没有权利检测别人的漏洞,以及有没有权利公开漏洞——即便有着高尚的出发点。
直到2015年12月,在乌云网上提交漏洞的“白帽子”第一次“出事”。2015年12月,杭州的IT人士袁炜,在乌云提交了他发现的世纪佳缘网站系统漏洞。
在世纪佳缘确认、修复了漏洞,并按乌云平台惯例向漏洞提交者致谢后,事态竟急转直下,世纪佳缘不久后以“网站数据被非法窃取”为由报警。2016年4月份,袁炜被司法机关逮捕。
袁炜妻子戴女士告诉南方周末记者,袁炜是严格按照乌云网的发布流程提交的漏洞,但是世纪佳缘在追究责任时,“绕过了乌云,以及袁炜白帽子身份”。她说,袁炜的案子目前仍未出结果。
有人将此次乌云网停摆与世纪佳缘漏洞相联系,认为是上次事件的发酵。但是付德明予以否认。
“探地雷”与“撬保险箱”
根据此前发布的《乌云网漏洞审核机制改进公告》,白帽子黑客发现某处漏洞后,向乌云网提交漏洞,乌云网审核确认后,会把漏洞的概况在乌云平台上公布。
其中,普通漏洞披露流程为5天厂商确认期,10天向核心白帽子公开其漏洞细节,20天向普通白帽子公开,30天向实习白帽子公开。直到45天之后,企业仍未主动认领漏洞,则会向公众公开其细节。
付德明认为,这其中的每一个环节的正当性,都值得深入探讨。
他举例说,有相应技术的黑客们,“黑”进一家企业的系统并发现漏洞,相当于一个江洋大盗撬开了银行的保险柜。按照白帽子、黑帽子约定俗成的分野,黑帽子黑客会直接将保险柜中的财宝席卷一空;但是白帽子黑客的做法,是并不偷拿保险柜中的“一针一线”,而是好心好意告诉银行,保险柜的锁不够安全,应该及时加固,更有甚者,会告诉银行加固的方法。
付德明说,理论上看,即便银行大门敞开,外人也没有权利贸然闯入。
退一步讲,如果银行的保险柜失窃,丢没丢东西,只要清点一下数目即可。但是数字化的系统对于“闯入者”性质认定就极为复杂,因为数据有着极其容易复制的特性,偷看数据、复制数据都可以非常隐蔽地进行。“数据没有丢失,但不代表没有被偷看、复制。”他说。
“白帽子黑客说,我只是发现了漏洞,没有偷看,更没有复制,这在技术上比较难以界定。”丁丽萍兼任中国电子学会计算机取证专家委员会主任,她说,电子取证在技术上极为困难,因为类似于截屏这样的行为,很难去追查。
于是,黑客们将一家企业的漏洞提交给乌云网平台之前,可操作的空间便已经很大。“说不定已经把数据卖了个遍,转了几手之后,再提交的。”付德明认为,在提交漏洞第一个环节发生之前,很难将白帽子与黑帽子的性质区分开来。
专注于网络安全领域的盘古网络技术有限公司创始人韩争光告诉南方周末记者,他本人并不喜欢“撬保险柜”的比喻,因为这带着一种偏见,认定黑客们一定会做坏事。但是实际上,确实有很多具有“侠客”精神的白帽子,只是单纯为了发掘漏洞,再提醒厂商修补漏洞,并不泄露信息。
“一些白帽子提醒企业后,只能得到很微小的奖励,这与他们的劳动很不成正比。”韩争光说。
相较于“撬保险柜”,他更喜欢用“排地雷”的比喻。韩争光认为,囿于开展业务的需求,系统内存储着大量的用户信息,这属于公众利益的一部分,企业有义务、有责任,对这些信息的安全负责。
但是事实上,绝大部分企业安全意识淡薄,并不怎么把用户的信息安全放在心上。白帽子检测系统漏洞的行为,相当于排除地雷,倒逼企业不断修复、加固系统,起到了维护公众利益的作用。
世纪佳缘选择报警之后,在业界引起较大反响。很多人认为,堵住乌云网平台这一正常途径后,只会逼迫白帽子转黑,最后损害的还是用户利益。
但是,排除白帽子提交漏洞之前的动机不论,付德明认为,乌云模式当中,审核、发布漏洞的流程也值得商榷。
他分析说,白帽子提交了漏洞之后,平台要对这一漏洞的真实性进行审核,而审核的环节,其实是对系统的该处漏洞,又“攻击”了一次。
审核通过后,平台会将一部分漏洞通知企业,提醒其加强防范。但是也有大部分漏洞提醒直接发在平台上,等待企业认领。
“所谓的认领,不是主动找企业,而是等着企业主动找上门。”付德明说,在这一环节,一些安全意识较强的互联网巨头,会有专门的安全职位负责在不同平台巡视,所以能够及时发现公布出来的安全隐患,早做沟通,予以解决。
但是绝大部分企业并不知道白帽子在平台上作出了提醒,“甚至不知道乌云网的存在。”所以即便是后来倾向于认为白帽子是在做好事,也没有赶过去认领,因为这一环节只留给企业5天时间。
过了5天的认领期限,平台会分批次向不同等级白帽子公布漏洞的大概情况。“这个时候,还不会公布细节,只是一些大概情况。”付德明说,到了这一步骤,情况变得糟糕起来,因为白帽子数量很多,即便不公布细节内容,也会有数量庞大的黑客开始在公布的系统提醒上挖掘,“像苍蝇一样,总会找出漏洞在哪”。
所以,从企业利益的角度出发,发现漏洞越及时,挽回损失的余地越大。
如若在这一环节当中,仍未见企业现身,45天后,乌云网会在平台上公布漏洞的细节内容。“告诉你哪里门没锁,这实际上等于公布数据信息了。”付德明认为,平台没有权利公布数据内包含的用户信息。
对此,韩争光分析,乌云网的提交、审核、发布流程,借鉴了国外的经验。之所以最后会有公开发布漏洞细节的环节,是为了敦促企业加强安全防范。“企业应该加强安全意识,保护好用户的信息”。
谁来保障用户信息?
《南方周末》曾经报道,2015年4月,一位ID名为“路人甲”的网友在苏宁的实体店里购买了几件电器后不久就多次接到400开头的诈骗电话。他随后对苏宁系统进行测试,挖出了苏宁信息泄露的漏洞。
苏宁易购方面表示,已向南京玄武区公安局报案,并会全力配合警方调查,但是不会对受害者进行赔偿。
韩争光认为,白帽子之所以有存在的价值,是因为企业信息泄露后付出的代价很低,才需要白帽子们敦促企业,加强整个网络世界的安全级别。
在这个问题上,付德明部分同意韩争光的看法。他认为,正常的逻辑应该是,用户把珠宝存在银行保险柜里被偷了,用户不会自己去抓小偷,只需要银行赔偿损失即可。
如果网络世界也遵循这一条规则,企业将会对因为保管用户信息不严密导致信息泄露付出惨痛代价,自然而然会加强安全防御,白帽子便也就没有存在的必要。
“银行不会找小偷测试防盗门牢固不牢固,这个不用你提醒。”付德明说。
知名IT与知识产权律师赵占领,曾代理过苏宁易购信息泄露案子。他对南方周末记者介绍,理论上企业要为泄露用户数据承担责任,但是数据信息在技术上难以界定,“企业会说,这些数据不是在他们这里泄露的,或者说,即便是他们泄露的,但是诈骗案不是利用这些数据进行的。”
赵占领介绍,全国范围内,用户状告企业泄露个人信息的案件并不多,胜诉的更少。原因在于,用户自身缺乏权利意识,再加上诉讼成本很高,且企业赔偿的案例并不多。“发生过很多起酒店开房信息泄露的事件,但是起诉的不多。”
丁丽萍介绍,新修订的刑法286条,明确了企业保护用户个人信息的责任主体。如果能够认真执行,企业漠视网络安全的情景应该会慢慢改变。
(应受访者要求,付德明、刘萍为化名)
原文:http://www.infzm.com/content/118576
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文