最有温度的法律新媒体

政府竟“鼓励”黑客黑掉政府网站,这是怎么一回事?

作者 | 哈娃

源 | 智合法律新媒体


 本文系投稿,不代表智合立场

对于网络安全:荷兰说他们的规则是一份最好的引入负责任的漏洞披露制度的操作指引。

荷兰这个国家的开放,除了众所周知的“大红杏”(大麻、红灯区、同性婚姻)外,还体现在多个其他方面——比如对难民的帮助和积极宣传,比如英文授课项目在众多大学里的超高普及率,还比如,对政府网络安全漏洞的披露。

1荷兰的实践

荷兰的国家网络安全中心(National Cyber Security Centre,“NCSC”),负责中央政府及重要基础设施的网络安全,同时,以“建立一个安全、开放、稳定的信息社会”为大任。该机构在其网站上大方承认:“ICT(信息和通信技术)系统的安全性对NCSC来说至关重要。……不过,这些系统中可能在所难免地存在安全漏洞”。[6]

2013年1月,NCSC发布了一份关于“负责任的安全漏洞披露”的指引,鼓励白帽子按照该政策对其下辖网络的安全漏洞进行协同处理。[7]简要而言,白帽子应该:

  • 把漏洞信息发至NCSC的专用邮箱,并使用专用密钥对邮件进行加密;

  • 提供充分的信息,包括但不限于相关网站的IP地址或网址,以及对漏洞的描述;

  • 提供黑客的联系方式,例如邮箱或电话号码;

  • 发现漏洞后尽快报告;

  • 不向任何人透露漏洞信息,直至问题解决(先hold住);

  • 不进行任何超出必要范围的操作(好奇害死猫,激流勇退)。[8]

另一方面,NCSC也对黑客有诚恳的承诺,例如:

  • 不时向黑客报告进展(当监工的感觉);

  • 在合理期限内修复,最多不超过60天;

  • 经黑客同意,在公开报告中注明其名字(要出名了,为啥不同意);

  • 不追究黑客的任何法律责任。[9]

而且,黑客会获赠一件高大上的T恤,上书“I hacked my government and all I got was this lousy T-shirt”(我黑了政府的网站,得到的就是这件不中用的T恤衫)。喏,就是下面这货[10]:


同时,NCSC鼓励各公司和组织参照如上政策制定其自己的政策,促进白帽子和相关公司协力进行负责任的安全漏洞披露。在NCSC的带动下,众多公司公布了自己的安全漏洞披露政策。据Considerati公司(一家专长于IT和新媒体领域顾问服务的荷兰公司)的安全顾问Nathalie Falot女士介绍,此类政策通常要求白帽子遵守以下三个原则:

善意动机:黑客的出发点应该是出于维护网络安全;

适度:一旦确认了漏洞,黑客不应该有任何进一步的操作(例如复制、修改数据);

适当:发现漏洞后,黑客应首先和网站公司联系,直至漏洞修复后,才可以进行披露。

此外,荷兰检察机关也于2013年3月表态:严格遵守相关披露政策的黑客,将不被追究刑事责任。[11]

2013年9月,NCSC开心地在其网站上公开《负责任的披露政策有效耶!》一文,透露自当年1月份起,共收到了8份关于NCSC网络漏洞的报告,并已悉数解决。[12]

2015年4月在荷兰海牙召开的全球网络安全会议中,NCSC发布了一篇推广其漏洞披露制度的指引。该文件的副标题是:《荷兰的经验:一份最好的操作指引》。在该文件的开首,NCSC更是毫不谦虚地声称:“呈现在您眼前的,是一份最好的引入负责任的漏洞披露制度的操作指引”。

霸气侧漏有木有。

网络漏洞的危害大家都懂,那么黑客到底是个什么玩意呢?

2白帽子、黑帽子、灰帽子,及可能的法律责任


按照业内常识,黑客通常分为三种:白帽子(white hat),黑帽子(black hat)和灰帽子(grey hat)。

白帽黑客也称道德黑客(ethical hacker),是以发现、帮助修复网络安全隐患为目的的好极客。广义上,民间自发或有组织的以维护网络安全为己任的好极客,以及政府和私营企业里的网络安全专家,都属于这个群体。

相反,黑帽黑客是恶意利用网络漏洞或主动发起攻击,以造成破坏或谋取私人利益为目的的坏人。

对于灰帽黑客,业内定义和看法并不统一,有人认为灰帽子在动机、发现漏洞的手段、后续处理等方面,与黑帽或白帽有所不同,但根据具体情形,可能被视同白帽子或黑帽子。

黑帽子通常会触犯法律,例如:中国刑法体系中的间谍罪,破坏计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统的程序、工具罪,侵犯商业秘密罪,非法获取公民个人信息罪,出售、非法提供公民个人信息罪,以及民法体系中的侵权(侵犯隐私权),等等。

不过,白帽子和黑帽子的界限有时并不明显。在未经授权的情况下,去试探某个网站是否存在安全漏洞、是否可以抵挡模拟入侵,这是否合法?进而,安全测试过程中,白帽子很可能不可避免地接触到网站的内部数据,这是否合法?

举个例子,2005年,一家英国银行的网络安全顾问在某海啸援助网站上捐款后,未收到任何确认。这种不合常理的杳无音讯使他怀疑该网站是钓鱼网站。因此,他对该网站进行了安全测试,糟糕的是测试时触发了网站的报警系统,于是,一周后他遭到逮捕,并最终被处以刑事罚款,工作自然也丢了。[5]

那么问题来了,白帽子应该怎么做,才能避开法律的雷区?

3中国的现状

略懂了荷兰的成果,哈娃对中国的情况也做了初步了解。

1.实践

官方:网络安全企业与国家计算机网络应急技术处理协调中心(CNCERT)建设了国家漏洞信息共享平台(“CNVD”),主要负责政府及重大行业和基础设施网络的漏洞跟进与处理。[13]

民间漏洞发布平台:中国目前有几家运转良好的民间漏洞发布平台,例如乌云,补天和漏洞盒子。其中乌云早在2010年便已上线,已经积累了大量的经验。[14]这些平台上,有专职的安全专家,也有兼职人员,其中补天号称旗下有近2万名白帽子。[15]对于和政府网络及重要行业相关的漏洞,民间平台会将信息转达CNCERT跟进;其他漏洞,各平台和相关公司协作处理。[16]

各公司:诸多ICT领域的公司建立了网络安全部门,与漏洞发布平台合作,与白帽子们良性互动。例如,腾讯玄武实验室为2014年漏洞报告表现最佳的黑客颁发了12万元奖金。[17]

2.法律和规范

目前虽然没有针对白帽子进行漏洞披露的法律法规,不过,在中国互联网协会网络与信息安全工作委员会的组织下,2015年6月19日,前述三家民间漏洞发布平台,百度、腾讯等公司,以及CNCERT等32家单位签署了《中国互联网协会漏洞信息披露和处置自律公约》。该公约设定了各方的自律义务,确立了客观、适时、适度三项披露原则。这份公约,对于白帽子是一个原则性的指引,相信也会为司法机关办理相关案件提供参考。不知该公约有没有借鉴那份“最好的操作指引”?

总体而言,查询后的结论是:我们中国做的也不差。

4其他

在当今这个万物联网、越来越多的数据存放在网络中的时代,掌握计算机和网络技能的人,定然面对很多诱惑。例如,发现一个0day漏洞(尚未被发现或未被披露的、且一经公开通常有较大杀伤力的漏洞),可能为白帽子带来的是几千元,甚至仅是一份小礼物,但可能为黑帽子获利几十万。如果仅从眼前利益看,似乎做黑帽子明显比做白帽子更有诱惑。

那么问题又来了,如何防止白帽子变成黑帽子?如何把黑帽子变成白帽子?

首先,白帽子们底线要守住啰。白帽子收获的是业内的声望,只要活儿好,好工作和高收入指日可期;而黑帽子很可能面临牢狱之灾。黑帽子之所以一时收获大,正是因为风险高。其中轻重,需要黑客们理性对待。

其次,建议政府通过多种途径增加白帽子的成就感,例如促进白帽子和相关公司的良性互动,对白帽子进行公开宣传和各种形式的奖励。

再次,提高公安、司法机关的数字证据收集和分析能力,使黑帽子无处遁形。

最后,如能通过法律规定,或者更高层面的政策引导,对白帽子的行为规范及责任豁免进行明确表态,将更有利于提高司法确定性,让白帽子们更少顾虑来维护网络安全。

[1]三星输入法安全漏洞披露:全球超过6亿设备存在风险,https://www.nowsecure.com/keyboard-vulnerability/

[2]如何看待 2015 年 11 月草榴社区被脱裤?https://www.zhihu.com/question/37185593;

[3] 谭登元、郎小龙犯诈骗罪二审刑事裁定书,http://www.court.gov.cn/zgcpwsw/content/content?DocID=e295cec1-3068-4e2d-8670-2e5e8303cf36&KeyWord=%E8%B0%AD%E7%99%BB%E5%85%83

[4]关于「12306 撞库结论」,知道创宇博客,http://blog.knownsec.com/2014/12/12306_database_leak/

[5]海啸黑客被判有罪,http://www.theregister.co.uk/2005/10/06/tsunami_hacker_convicted/

[6]NCSC是神马?https://www.ncsc.nl/english/organisation

[7]关于负责任披露的指引,https://www.ncsc.nl/english/current-topics/news/responsible-disclosure-guideline.html

[8]Ibid.

[9]Ibid.

[10]图片来源:http://automatie-pma.com/pma/netwerken-en-bussystemen-pma/responsible-disclosure/。

[11]公诉部门对于遵守负责任的信息披露指引的道德黑客的政策, https://www.ncsc.nl/english/current-topics/news/policy-of-public-prosecution-service-on-ethical-hackers-in-line-with-responsible-disclosure-guidelines.html

[12]负责任的披露政策有效耶!https://www.ncsc.nl/actueel/nieuwsberichten/ncsc-resposible-disclosure-beleid-werkt.html

[13]CNVD简介,http://www.cnvd.org.cn/webinfo/list?type=7

[14]http://www.wooyun.org/

[15]http://loudong.360.cn/

[16]漏洞自律公约增强网络安全,http://yjs.cena.com.cn/2015-06/25/content_282056.htm

[17]Ibid.

 

____________________

编 | Sarah

编辑 | Angie

分类 | 投稿

 

未经允许不得转载:智合 » 政府竟“鼓励”黑客黑掉政府网站,这是怎么一回事?