检查酒店WiFi漏洞被判罚,专家:唯恐人不知的炫技非黑客精神
近日,一则“检查酒店WiFi漏洞被逮捕”的消息引起广泛关注。根据外媒报道,当地时间9月24日,一名中国安全工程师未经授权入侵新加坡一家酒店WiFi系统而被判罚5000美元。
据悉,该名工程师小Z系腾讯员工,8月29日赴新加坡参加一场安全比赛。9月25日,腾讯方面回应南都记者,在入住酒店期间,小Z发现酒店的 WiFi 系统存在默认登录口令,在个人博客撰写一篇分析的文章。因其博客公布默认口令的行为可能会被其他人恶意利用,或导致酒店遭受损失,因此被调查。
按照新加坡法律,未经授权公开密码的行为可能遭受最高一万美元的罚款和三年有期徒刑。不过在该案中,由于小Z的行为并未给酒店造成实际损害,所以检方最终作出判罚警示,免于刑期并结案。
案件虽已告一段落,但事件背后,安全人员进行研究时,如何规避法律风险,明确责任边界等话题仍值得探讨。
对此,南都记者采访了资深安全专家、华顺信安科技有限公司创始人赵武和北京众安天下科技有限公司创始人杨蔚。
A.未经授权入侵系统即违法
南都:这名安全工程师被判罚,问题出在未经授权吗?
赵武:理论上,任何私自、没有得到用户许可的攻击行为都是违法的。以前不少安全人员对此没有太大认知,认为入侵别人的系统做渗透测试,并未造成任何损失,但其实这种尝试也违反法律了。
我看过这名安全工程师在网上披露的分析文章,他的技术实力和具备的安全思维都不错。如果不公开披露一些真实信息,或许不会引起这么大的风波。虽然很心疼他的遭遇,但我认为更应该提醒安全从业者们,未经授权入侵系统即违反法律,大家应当有这种意识。
南都:安全技术人员入侵系统的原因是什么?
杨蔚:安全从业者天生有好奇心和兴趣爱好,而且出于职业习惯,生活中使用一些产品和业务的过程中,会发现使用过程中的一些问题,所以想要尝试,验证是否存在漏洞。
赵武:好比学车需要在道路上驾驶,安全技术人员也一样,想要验证所学到的技术。绝大部分安全研究者发起这类行为并没有恶意,只是确认学到的东西在实际网络是否可以运用,单纯地想要学习和获得成长。可是如果是获取了系统相关权限,并尝试在网上公开分享,其目的有可能就是为了证明自己有实力,想要炫技了。
B.有无授权,解释权不在白帽子
南都:安全人员入侵某个系统,是否获得授权如何界定?
赵武:未经授权的渗透是攻击、扫描还是访问或链接,大家的标准不一。但有一点可以确认,解释权不在白帽子这里。白帽子将漏洞报告给企业,就看对方怎么看了。有的公司可能会认为,白帽子说了一句“能不能给我一个公仔”,就是一种威胁和恐吓,于是报警抓人。
厂商对白帽子提交漏洞有反弹情绪,那么白帽子也不敢报告漏洞了。而现实是漏洞从未少过,一旦被不法分子利用,最终受害的是厂商。我认为,企业和白帽子之间应该建立有效的沟通机制。
南都:一方面是,法律规定未经授权不可入侵系统,另一方面是,白帽子其实也是在帮助厂商发现可能被利用的漏洞。如何看待其中的边界问题?
赵武:对于一些中小型企业来说,目前尚不具备建设网络安全防护的能力。即便是大型企业,产品或系统也可能存在漏洞,这就给黑客留下了入侵的空间。对企业而言,白帽子贡献漏洞所产生的价值不可忽视,比如一款网络产品可能面向几亿用户,通过漏洞发起终端攻击所能产生的危害巨大。如果白帽子不去发现和报告漏洞,这些问题依旧会存在,甚至可能被不法分子利用。所以白帽子的输入,有利于行业的发展。
但如果严格按照现有法规规定,未经授权即违法,是否会阻碍白帽子发现漏洞的积极性,所以有些问题值得探讨,比如无害、有价值且作出贡献的白帽子,在非授权扫描情况下,是否具有一定豁免权等。
南都:在实践中,安全人员获取授权,可进行合规尝试的情况有哪些?
赵武:一种是,双方签订合同,一方委托另一方做安全测试,在经过这种授权的情况下,入侵对方系统不存在法律风险。另一种是,现在很多知名的互联网企业设有SRC(Security Response Center)漏洞提交平台和应急响应中心,主动向白帽子发起漏洞邀约。但有几个要求,比如白帽子看到数据需点到为止,更不能获取,一旦发现漏洞必须报告。还有一种是,相关部门牵头推出的众测项目。这些都会对安全研究者的行为进行审计,一旦越过红线也可能有风险。
杨蔚:需要注意的是,有很多大的互联网公司虽然都开设了 SRC,但是严格意义上,企业没有跟安全研究人员签署明确的协议,划分责任和保密义务,只是默认统一相关规定和协议,所以安全研究人员需要严格遵守平台的规定和相关义务,切勿越界,且跟相关平台保持沟通和风险确认,减少法律风险。从法律的角度评估,一旦发生纠纷或走法务流程,安全技术人员可能也会面临法律风险,因为他们无法提交跟这些企业的相关书面凭证,来证明自己行为的合法性。
C.“研究点到为止,作恶的心一定不能有”
南都:在一篇文章中,你提到并不认为被判罚的这位安全工程师是一个真正的黑客,这是为什么?
赵武: 因为没有一个黑客会在进行破坏之后,堂而皇之地把这些细节拿出来,唯恐天下人不知。这是白帽子里很典型的一群人,他们“不知道”或者“不觉得”有相关的法律风险,并且纯粹地想要分享、炫耀技巧和能力。
南都:对于一些年轻的黑客来说,入侵某个平台的系统似乎是很常见的一件事。比如有网络安全专业的人称,学校好比一个天然的“靶场”?
杨蔚:大部分学校网站是学校老师负责维护的。据我了解,很多学生会在获得相关老师授权,且不影响学校网站运行的情况下进行测试。
赵武:每个服务器,一段时间内可能经历几万个扫描。我曾听到一个案例,有个白帽子拿自己的电脑在某平台上做扫描测试。同一时间段也有一名黑客在入侵该系统,在获取或破坏完系统后,这名黑客清空了自己的IP,掩盖了入侵的痕迹。等到企业发现系统存在问题后,锁定的是这名白帽子,虽然其实际没有造成任何破坏,但很难说清楚。
所以年轻的安全技术人员在做测试时,首先需要衡量是否能够承担风险,永远不能做破坏。如果有意无意中发现漏洞,应该第一时间通知相关单位,研究点到为止,作恶的心一定不能有。
南都:一些刚入门的黑客可能会认为,在平台间“自由穿行”是一件很酷炫的事情,并没有意识到这已经违法了。现在法律的严格要求下,黑客的这种酷炫感是否会降低了?
赵武:自由、分享和创造是褒义黑客的文化。入侵别人的系统但未造成实际伤害的行为,或许恶作剧的成分大一些。这种恶作剧很多情况本身不会留名,有人甚至认为技术手段不可能跟踪到他。
酷不酷在于对技术的理解和应用,就比如我说很多黑客能够破解一些软件,本身可能并不会对用户造成影响,但是已经足够酷炫了。所以我觉得,黑客的魅力不会降低,但是法律会让很多人约束在一定的边界内成长,长远看这倒是符合世界发展规律的,无限制的自由终究会出问题。
杨蔚:本质上很多人是好的,但还是有一些人因为炫技,引来很多黑产和犯罪团队的关注,被利益所误导而走弯路,他们错把炫技和利益绑得太紧了。
安全技术是一把双刃剑,有人会利用它去犯罪牟利,有些人会它来帮助企业和有关部门解决安全问题,打击犯罪。我觉得行业内应该有更多人站出来,提倡行业自律,让更多年轻从业者了解如何在安全道路上保护自己,明确安全责任边界。
D.安全从业者“红线”:不碰黑产
南都:针对安全研究者入侵系统等行为,国内有何相关的法律法规?
杨蔚:刑法有明确的网络犯罪相关的法律法规,涉及非法侵入计算机信息系统罪、非法获取和控制计算机信息系统罪、提供专门用于入侵、非法控制计算机信息系统的程序、工具罪等,还有去年颁布的《网络安全法》。
自《网络安全法》开始实施后,国家对网络安全犯罪的打击力度也越来越大,在这样的背景下,对于网络安全从业者的规范性要求更高,其中的责任边界也会更加清晰。
(注:据南都记者了解,2011年两高曾发布《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,对黑客攻击、网络病毒等违法犯罪活动有明确规定。《网络安全法》第27条也提到,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。)
南都:在你看来,安全从业者在做技术研究时,应当注意的事项是什么?
杨蔚:第一,没有企业授权不要对相关业务和产品进行测试。第二,安全研究技术问题和对相关目标进行测试,即便是在授权的范围内,没有跟对方确认情况下,不要过深入的对相关目标进行测试,不要影响企业业务的正常运行。第三,不要出于好奇而持有公民信息,不要搭建社工库,不要在云盘、电脑、手机中存储公民信息数据。
第四,在授权测试的过程中,获取到的商业文件、隐私数据等敏感的内容,及时删除不要留存。第五,遵守职业操守,不做漏洞交易、数据交易,提倡行业自律。第六,对外编写技术文章和披露漏洞细节时,对敏感的内容细节进行模糊处理,不要开放漏洞利用工具,点到为止,以免变成“传播犯罪方法”。第七,多学习法律知识,及时关注工作过程中涉及到的法律问题,不要过多炫技。
赵武:终身不碰黑产,不做任何破坏性活动;非礼勿视,非礼勿言。安全从业者有时是上帝视角,能接触到很多大众不知道的事情,所以要严格做到不看自己不该看的,不说自己不该说的;此外研究有度,点到为止,害人之心不可有。
在这个前提下,任何场合为了避免不必要的麻烦,研究人员在技术手段上务必保护好自己;最后实在想要交流,可在小范围技术圈里面向几个朋友,切忌广而告之,涉及隐私信息务必打码处理。
采写:南都记者 李玲
编辑:蒋琳
最新评论