白帽子:正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。这样,系统将可以在被其他人(例如黑帽子)利用之前来修补漏洞。7月20日,国内著名的“乌云”和“漏洞盒子”两大漏洞发布平台均宣布停业整顿,由于二者皆是国家信息安全漏洞共享平台的合作方且汇聚了大量的白帽子群体,此事引起了业内及社会的持续关注与讨论。
“乌云”是国内最早的漏洞报告平台,许多轰动社会的泄露事件最早均在乌云网上发布,如13万条铁路售票官网用户数据泄露、7000万QQ群用户数据泄露等。分析认为此次停业或与漏洞披露细节触犯法律有关。今年4月份,来自乌云平台的白帽子袁炜因漏洞披露被捕,彻底暴露了白帽子行为的法律风险。
法律专家认为,目前国内白帽漏洞检测可能涉及的刑法罪名主要有4条:一是非法侵入计算机系统罪;二是非法获取计算机信息数据罪;三是破坏计算机信息系统罪;四是使用或者传播计算机病毒等破坏性程序,并造成影响。可以说,国内大部分漏洞检测行为离触及法律仅一步之遥。相比于国内大型漏洞发布平台近期发生的异常,国外的白帽群体和平台机构近来越发受到政府和企业的重视。今年5月,美国国防部就完成了全球首个由政府发起的漏洞赏金计划,吸引了上千名白帽子。同时,一些主流的漏洞平台也是大型企业们竞相合作的对象。造成国内外白帽生存环境差异的原因,除双方政府和企业支持程度不同,黑客文化差异等方面的因素外,还在于对白帽行为管理制度有所差异。以美国为例,在对白帽子的管理中已经形成了一些预防性规范,如美国国防部限制白帽攻击的网站范围,企业要求白帽平台需在其授权下进行漏洞收集和披露,且无特殊要求不能接触漏洞细节等,这些预防性的规范切实规避了一些白帽触及窃取信息等罪名的风险。
创造适宜的环境,白帽才能成为网络空间安全主动防御的有效手段业界对白帽披露漏洞的行为有着两极化的评价,但不可否认的是,白帽的出现确实帮助很多企业弥补了大量系统漏洞。从美国国防部以及部分大型互联网企业的做法来看,利用好白帽就等于掌握了一项有效的主动防御手段,这也显现出未来网络空间安全防御可能由被动转向主动的趋势。国内也需尽早研究完善对白帽的培养、招募和管理制度,包括监管制度和法律约束等,应使这样的群体为网络安全作出更大的贡献。作者丨包宏
|
