ZKIZ Archives


烏雲網停擺

來源: http://www.infzm.com/content/118576

白帽子黑客是在“排雷”還是“撬保險櫃”,技術上很難分辨。(視覺中國/圖)

在互聯網世界,烏雲網一直扮演著“守護者”角色。但烏雲網模式自誕生起,就一直行走在灰色地帶,因而備受爭議。烏雲網此次危機,正是這一灰色地帶的風險爆發所致。

“我出去躲兩天。”

方小頓顯然沒有意識到事態的嚴重性,前不久,他在朋友圈發“跑路”信息時,還配上了一組做鬼臉的微信表情。以IT男為主的好友群體紛紛點贊,並配合字里行間的輕松姿態,附上留言:“方小遁”。

他終究沒能“逃遁“成功。2016年7月20日,著名漏洞報告平臺烏雲網(Woo Yun)貼出“服務升級”公告,網站一時無法訪問。與此同時,南方周末記者從多處信源獲悉,包括方小頓在內的“多名高管被抓”,烏雲網被迫停擺。方小頓網絡ID叫“劍心”,是烏雲網的創始人之一,也是赫赫有名的“白帽子”黑客。

在黑客江湖,一部分群體通過攻擊系統漏洞獲取數據,再把信息兜售至黑市牟利,被稱為“黑帽子”黑客;另一部分是“正面角色”,號稱只是將檢測出的bug提交至報告平臺進行公布,提醒、倒逼企業註重用戶的數據安全,被稱為“白帽子”黑客。

一般而言,白帽子先將自己發現的漏洞提交至漏洞報告平臺,審核通過後會粗略發布漏洞情況,並等待涉事單位認領。如若幾十天後仍沒有機構聯絡平臺,將進一步公布漏洞細節內容。一直以來,烏雲網以這種方式公布信息,敦促企業加強安全意識。

“往往不是黑帽子或者白帽子,而是斑馬,白天黑,晚上又洗白。”付德明對南方周末記者說,漏洞提交前,黑帽子與白帽子的身份界定模糊,提交後公布環節的流程不規範,造成烏雲網模式自誕生起,就在法律與道義上備受爭議。付德明在一家世界500強公司做企業網絡安全防衛工作。

此番烏雲網被查事件在業界造成震蕩,再次引發了一場網絡倫理的討論。

“這次是攤上更大的事兒了”

“這次是踩上雷了,幫不了他們(烏雲網)了。”一位與烏雲網有業務往來的IT人士劉萍告訴南方周末記者。

劉萍介紹,實際上烏雲網已經被查處,多名高管也“被抓”。

7月19日,另一家互聯網測試平臺漏洞盒子宣布,暫停接受互聯網漏洞與威脅情報。而且,“白帽子”黑客報告漏洞的頁面已經無法查看。漏洞盒子也發布了公告,稱“要對流程制度、規範等進行梳理”。

烏雲網成立於2010年5月份。在一期視頻演講節目中,方小頓回憶,自己在百度做網絡安全方面的工作時發現,國內除了BAT等幾個巨頭之外,很少有公司有強烈的網絡安全意識,並且願意耗費時間、精力保護用戶的數據信息。所以,有了成立一家平臺,敦促企業註重安全的念頭。

以網絡ID“劍心”為身份,在互聯網黑客江湖小有名氣的方小頓,聯合幾位同道者,成立了烏雲網。其宗旨是成為“自由平等”的漏洞報告平臺,為計算機廠商和安全研究者提供技術上的各種參考以及漏洞bug的修複。

據《電腦報》報道,烏雲網的成名戰發生在2011年年底。當年11月,烏雲網根據白帽子提供的各種材料,連續披露京東商城、支付寶、網易等互聯網巨頭存在高危漏洞,12月29日更是指出支付寶1500萬至2500萬用戶資料泄露,以及一家政務網444萬用戶信息泄露。

此後,烏雲網又相繼披露出酒店開房信息泄露、支付寶漏洞、搜狗瀏覽器泄露用戶數據、騰訊7000萬QQ群用戶數據泄露等一系列重大的漏洞事件。

中科院軟件研究院博導丁麗萍曾參加過烏雲網組織的圓桌會議。她對南方周末記者說,一直以來,烏雲網爭議的焦點是,有沒有權利檢測別人的漏洞,以及有沒有權利公開漏洞——即便有著高尚的出發點。

直到2015年12月,在烏雲網上提交漏洞的“白帽子”第一次“出事”。2015年12月,杭州的IT人士袁煒,在烏雲提交了他發現的世紀佳緣網站系統漏洞。

在世紀佳緣確認、修複了漏洞,並按烏雲平臺慣例向漏洞提交者致謝後,事態竟急轉直下,世紀佳緣不久後以“網站數據被非法竊取”為由報警。2016年4月份,袁煒被司法機關逮捕。

袁煒妻子戴女士告訴南方周末記者,袁煒是嚴格按照烏雲網的發布流程提交的漏洞,但是世紀佳緣在追究責任時,“繞過了烏雲,以及袁煒白帽子身份”。她說,袁煒的案子目前仍未出結果。

有人將此次烏雲網停擺與世紀佳緣漏洞相聯系,認為是上次事件的發酵。但是付德明予以否認。

烏雲網的創始人方小頓。(視覺中國/圖)

“探地雷”與“撬保險箱”

根據此前發布的《烏雲網漏洞審核機制改進公告》,白帽子黑客發現某處漏洞後,向烏雲網提交漏洞,烏雲網審核確認後,會把漏洞的概況在烏雲平臺上公布。

其中,普通漏洞披露流程為5天廠商確認期,10天向核心白帽子公開其漏洞細節,20天向普通白帽子公開,30天向實習白帽子公開。直到45天之後,企業仍未主動認領漏洞,則會向公眾公開其細節。

付德明認為,這其中的每一個環節的正當性,都值得深入探討。

他舉例說,有相應技術的黑客們,“黑”進一家企業的系統並發現漏洞,相當於一個江洋大盜撬開了銀行的保險櫃。按照白帽子、黑帽子約定俗成的分野,黑帽子黑客會直接將保險櫃中的財寶席卷一空;但是白帽子黑客的做法,是並不偷拿保險櫃中的“一針一線”,而是好心好意告訴銀行,保險櫃的鎖不夠安全,應該及時加固,更有甚者,會告訴銀行加固的方法。

付德明說,理論上看,即便銀行大門敞開,外人也沒有權利貿然闖入。

退一步講,如果銀行的保險櫃失竊,丟沒丟東西,只要清點一下數目即可。但是數字化的系統對於“闖入者”性質認定就極為複雜,因為數據有著極其容易複制的特性,偷看數據、複制數據都可以非常隱蔽地進行。“數據沒有丟失,但不代表沒有被偷看、複制。”他說。

“白帽子黑客說,我只是發現了漏洞,沒有偷看,更沒有複制,這在技術上比較難以界定。”丁麗萍兼任中國電子學會計算機取證專家委員會主任,她說,電子取證在技術上極為困難,因為類似於截屏這樣的行為,很難去追查。

於是,黑客們將一家企業的漏洞提交給烏雲網平臺之前,可操作的空間便已經很大。“說不定已經把數據賣了個遍,轉了幾手之後,再提交的。”付德明認為,在提交漏洞第一個環節發生之前,很難將白帽子與黑帽子的性質區分開來。

專註於網絡安全領域的盤古網絡技術有限公司創始人韓爭光告訴南方周末記者,他本人並不喜歡“撬保險櫃”的比喻,因為這帶著一種偏見,認定黑客們一定會做壞事。但是實際上,確實有很多具有“俠客”精神的白帽子,只是單純為了發掘漏洞,再提醒廠商修補漏洞,並不泄露信息。

“一些白帽子提醒企業後,只能得到很微小的獎勵,這與他們的勞動很不成正比。”韓爭光說。

相較於“撬保險櫃”,他更喜歡用“排地雷”的比喻。韓爭光認為,囿於開展業務的需求,系統內存儲著大量的用戶信息,這屬於公眾利益的一部分,企業有義務、有責任,對這些信息的安全負責。

但是事實上,絕大部分企業安全意識淡薄,並不怎麽把用戶的信息安全放在心上。白帽子檢測系統漏洞的行為,相當於排除地雷,倒逼企業不斷修複、加固系統,起到了維護公眾利益的作用。

世紀佳緣選擇報警之後,在業界引起較大反響。很多人認為,堵住烏雲網平臺這一正常途徑後,只會逼迫白帽子轉黑,最後損害的還是用戶利益。

但是,排除白帽子提交漏洞之前的動機不論,付德明認為,烏雲模式當中,審核、發布漏洞的流程也值得商榷。

他分析說,白帽子提交了漏洞之後,平臺要對這一漏洞的真實性進行審核,而審核的環節,其實是對系統的該處漏洞,又“攻擊”了一次。

審核通過後,平臺會將一部分漏洞通知企業,提醒其加強防範。但是也有大部分漏洞提醒直接發在平臺上,等待企業認領。

“所謂的認領,不是主動找企業,而是等著企業主動找上門。”付德明說,在這一環節,一些安全意識較強的互聯網巨頭,會有專門的安全職位負責在不同平臺巡視,所以能夠及時發現公布出來的安全隱患,早做溝通,予以解決。

但是絕大部分企業並不知道白帽子在平臺上作出了提醒,“甚至不知道烏雲網的存在。”所以即便是後來傾向於認為白帽子是在做好事,也沒有趕過去認領,因為這一環節只留給企業5天時間。

過了5天的認領期限,平臺會分批次向不同等級白帽子公布漏洞的大概情況。“這個時候,還不會公布細節,只是一些大概情況。”付德明說,到了這一步驟,情況變得糟糕起來,因為白帽子數量很多,即便不公布細節內容,也會有數量龐大的黑客開始在公布的系統提醒上挖掘,“像蒼蠅一樣,總會找出漏洞在哪”。

所以,從企業利益的角度出發,發現漏洞越及時,挽回損失的余地越大。

如若在這一環節當中,仍未見企業現身,45天後,烏雲網會在平臺上公布漏洞的細節內容。“告訴你哪里門沒鎖,這實際上等於公布數據信息了。”付德明認為,平臺沒有權利公布數據內包含的用戶信息。

對此,韓爭光分析,烏雲網的提交、審核、發布流程,借鑒了國外的經驗。之所以最後會有公開發布漏洞細節的環節,是為了敦促企業加強安全防範。“企業應該加強安全意識,保護好用戶的信息”。

誰來保障用戶信息?

《南方周末》曾經報道,2015年4月,一位ID名為“路人甲”的網友在蘇寧的實體店里購買了幾件電器後不久就多次接到400開頭的詐騙電話。他隨後對蘇寧系統進行測試,挖出了蘇寧信息泄露的漏洞。

蘇寧易購方面表示,已向南京玄武區公安局報案,並會全力配合警方調查,但是不會對受害者進行賠償。

韓爭光認為,白帽子之所以有存在的價值,是因為企業信息泄露後付出的代價很低,才需要白帽子們敦促企業,加強整個網絡世界的安全級別。

在這個問題上,付德明部分同意韓爭光的看法。他認為,正常的邏輯應該是,用戶把珠寶存在銀行保險櫃里被偷了,用戶不會自己去抓小偷,只需要銀行賠償損失即可。

如果網絡世界也遵循這一條規則,企業將會對因為保管用戶信息不嚴密導致信息泄露付出慘痛代價,自然而然會加強安全防禦,白帽子便也就沒有存在的必要。

“銀行不會找小偷測試防盜門牢固不牢固,這個不用你提醒。”付德明說。

知名IT與知識產權律師趙占領,曾代理過蘇寧易購信息泄露案子。他對南方周末記者介紹,理論上企業要為泄露用戶數據承擔責任,但是數據信息在技術上難以界定,“企業會說,這些數據不是在他們這里泄露的,或者說,即便是他們泄露的,但是詐騙案不是利用這些數據進行的。”

趙占領介紹,全國範圍內,用戶狀告企業泄露個人信息的案件並不多,勝訴的更少。原因在於,用戶自身缺乏權利意識,再加上訴訟成本很高,且企業賠償的案例並不多。“發生過很多起酒店開房信息泄露的事件,但是起訴的不多。”

丁麗萍介紹,新修訂的刑法286條,明確了企業保護用戶個人信息的責任主體。如果能夠認真執行,企業漠視網絡安全的情景應該會慢慢改變。

(應受訪者要求,付德明、劉萍為化名)

PermaLink: https://articles.zkiz.com/?id=207893

Next Page

ZKIZ Archives @ 2019