2016年7月20日,“自由平等开放的漏洞报告平台”乌云网[1] 被迫停摆,包括乌云网创始人方小顿[2] 在内的多名高管突然被捕。乌云的存在可以说是为了修复人们长期缺失的安全意识和堪忧的安全生态,但是在当今中国的语境中,相应法规尚未完善以及市场环境不够成熟的情况下,乌云网所走的弯路或者做的努力都有待验证。
西电捷通作为一家领先的网络安全基础技术国际化研究机构。我们研究、设计和交付的网络安全基础协议如果被比喻成盾的话,那么渗透测试或者黑客工具就可以看作是矛。但是在西电捷通安全业务中渗透测试或者黑客工具的使用也可以视为一种有效的诊断措施,简单地说,渗透中找出的漏洞可以被进一步当做从产品的架构设计、研发、测试、运维、甚至完整的产品生命周期各个环节的安全规划输入信息,提前发现自身协议或者系统中的问题。
这个事件给西电捷通敲了个警钟,涉及到“矛”的时候,我们要有所为有所不为,因为也许就是大家的一个“无意之举”,我们西电捷通的公司负责人也有可能面临被带走的后果。所以,在相关法律法规出台之前,西电捷通不希望发生类似的事并为此付出如此沉痛的代价!
0x01:乌云网踩雷的原因究竟是什么?
乌云网作为这个行业的先行者,以漏洞披露作为其商业模式,确实帮助不少机构及时发现了漏洞。但像乌云这样一家民营公司,掌握如此多的安全漏洞,自诞生之日起,其本身就一直游走在法律的灰色地带。同时,乌云网的漏洞披露执行机制,让很多机构和个人也存有很多疑虑。据说圈内流行这样一种做法:黑客们入侵网站盗取信息,最后只要在乌云网向厂商提交漏洞,就可以洗白。以上种种都构成了这次乌云网踩雷的原因。
0x02:从法律角度来说,西电捷通人要了解什么呢?
作为西电捷通的员工,我们有必要重点了解一下漏洞测试的法律边界或者说临界点。
1) 漏洞测试的法律边界在哪里?[3]
我国法律中和攻击入侵有关的主要是《刑法》第二百八十五条、二百八十六条这两条,以及相关司法解释。这两条主要看:有没有越权控制系统,有没有越权获得数据,有没有破坏系统可用性。
简单来理解就是说:入侵获取 10 组以上金融证券行业的用户身份认证信息,或 500 组以上一般系统的用户身份认证信息,或入侵了 20 台系统,就可以判刑了。如果获取 50 组以上金融证券行业的用户身份认证信息,或 2500 组以上一般系统的用户身份认证信息,或入侵了 100 台系统,就可以判三年以上。
如何在漏洞测试过程中避免触犯《刑法》,那么就要注意获取的信息种类和数量,更不要去尝试植入后门。如果从规避自身风险的角度来讲尽量不要触碰一些身份认证信息,所谓身份认证信息,包括帐号、密码、口令、数字证书等。
2) 黑客到底有没有黑白之分?
在IT世界里,黑客分为两种,一种是“黑客”,把系统漏洞兜售到黑市上,谋取巨额利益。另一种则是“白帽子”,把系统漏洞提交给厂商,让厂商及时修复漏洞从而保护用户信息。两者有一个共同点,他们都能够发现计算机和网络系统上的漏洞。但是在一个刚刚对信息安全有些概念的国家里,人们还没有足够的能力去完全辨别“白帽子”的工作和“黑客”有什么区别。两种黑客之间,实际上仅有一线之隔,都游走在法律的边缘。
举一个形象例子[4]来看:有相应技术的黑客们,“黑”进一家企业的系统并发现漏洞,相当于一个江洋大盗撬开了银行的保险柜。按照白帽子、黑帽子约定俗成的分野,黑帽子黑客会直接将保险柜中的财宝席卷一空;但是白帽子黑客的做法,是并不偷拿保险柜中的“一针一线”,而是好心好意告诉银行,保险柜的锁不够安全,应该及时加固,更有甚者,会告诉银行加固的方法。
退一步讲,如果银行的保险柜失窃,丢没丢东西,只要清点一下数目即可。但是数字化的系统对于“闯入者”性质认定就极为复杂,因为数据有着极其容易复制的特性,偷看数据、复制数据都可以非常隐蔽地进行。“数据没有丢失,但不代表没有被偷看、复制,这在技术上比较难以界定。”
0x03:从技术角度来说,西电捷通人如何避免踩上雷?
作为西电捷通人,如果有哪位公司安全技术工程师对挖掘漏洞这方面有浓厚的兴趣或者工作之余做了一些白帽子的工作。但是通过这次事件也应该引起注意,明确哪些红线不能踩:
1) 不要随意使用黑客工具进行非授权测试
未授权的黑盒安全测试从法律角度讲是违法的,也就说没有经过厂商的同意和授权,进行渗透的过程本身就是非法渗透的过程。更重要的是,很多检测工具在检测过程中,可能会涉及到自动缓存数据的问题。或许我们并不愿意获取这个数据,但是检测过程中,工具有可能把数据存储在我们的电脑上,这个情况下就会导致非法获取计算机信息数据。
2) 漏洞测试要经过授权或者报备
如何真正做到负责任的漏洞披露或者测试[5],这个问题值得我们深思。有一些渗透测试是必要的,但是没有授权的渗透无异于无证驾驶。如果大家要在公司内部进行渗透测试,一定要事先在IT或者相关协作上进行报备;如果大家要对其他厂商、企业、个人进行渗透测试一定要经过授权后,注意是授权后,是授权后,授权后(重要的事说三遍)!那什么是经过授权的渗透测试?要有正规的书面/邮件认定,像这样的(模板)。
0x04:从职业操守来说,西电捷通人需要选择做正确的事情!
西电捷通的安全技术工程师们可能会问:“为什么部队里的军人需要实战练习,相互搏击,而不是对着沙袋天天锤?原因很明显,只有在最真实的环境中,才会遇到很多意想不到的问题,而攻克这些问题,才能真正使得技术得以提升,同理,安全人员如果只是拿着虚拟机测试环境在那一遍又一遍的测试的话,多半也是没什么进步的,所以我们不可避免的会接触一些实际环境。”
OK,西电捷通的安全技术工程师们有极强的安全敏感性当然是很好的,但是当面临利益诱惑时要选择做正确的事情。引用《黑客追击令》里非常出名的一句话:“我能从全世界的每一个 ATM 机里取出钱,但是我没有”, 这正是公司要求大家在工作行为上需要做到的应有的自律。
0x05:公司寄语
在日后的工作中,西电捷通希望大家真正将安全融入工作的各个方面,基于对抗的安全研发核心理念并紧扣公司的核心业务进行研究,以及更加全面的判断和有效验证西电捷通公司各安全产品的工程化实现安全性。顾城的一句诗似乎可以道出西电捷通人目前所做的事情:“黑夜给了我黑色的眼睛,而我却用它寻找光明”。
如果您是有兴趣的“技术爱好者”可以选择加入安全可视化团队,与他们一起在遵从国家和地区安全法规的基础上,将你所掌握的技术适当地转化为可视化应用案例,解决客户和基础安全技术之间的认识和理解盲区,提供能够充分满足不同需求的安全可视化解决方案。
[1] 乌云成立于2010年,可以说是中国最大的民间漏洞平台兼“白帽子”聚集地。乌云不止有漏洞报告平台,还有安全领域的知识库、讨论社区,还有众测平台 ( http://ce.wooyun.org )。乌云网此前曝出了多个互联网平台信息泄漏事件,如此前的铁道部官网12306用户数据泄露一事,为乌云网赢得了公众不少好感。
[2] 方小顿,网络ID叫“剑心”,是乌云网的创始人之一,也是赫赫有名的“白帽子”黑客。
[3] 参考TK教主(Tombkeeper)微信公众号的评论文章《关于“白帽子”的法律和道理》
[4] 引用自南方周末记者李在磊的报道文章(http://www.infzm.com/content/118576),借鉴了傅德明(化名)的比喻和个人观点
[5] 互联网工作组在RFC2026《负责任的漏洞披露过程》草案中提到“报告者应确保漏洞是真实的。“