欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

TK教主:关于“白帽子”的法律和道理

来源:公号皮相 作者:TK教主 时间:2016-06-27 TAG: 我要投稿

 TK教主:关于“白帽子”的法律和道理

在很多年前,当“Hacker”这个词被滥用,一些 Hacker 为了把自己和媒体中被称作“Hacker”的网络犯罪者——特别是没什么技术含量的——区分开,提出了“White Hat”和“Black Hat”的说法,国内通常译作“白帽黑客”和“黑帽黑客”。而“白帽子”在当今中国的语境中,又进一步特化了,特指向各个漏洞报告平台、厂商 SRC 提交漏洞的人。自“白帽子”诞生起,相关的争论就从来没有停止过。

先说说法律。

我国法律中和攻击入侵有关的主要是《刑法》第二百八十五、二百八十六两条,以及相关司法解释。这两条主要看:有没有越权控制系统,有没有越权获得数据,有没有破坏系统可用性。

常规端口扫描通常不会被认为是违法。那么漏洞扫描呢?通过获取版本号探测漏洞的方法显然也不算违法。但有些漏洞扫描需要在对方系统上实际执行命令才能判断漏洞是否存在,例如“Shellshock”。这种情况从理论上说,存在一个短暂的越权执行过程,但由于并未真正去试图控制系统,所以在实践中,通常不认为属于“非法控制”。

发送 "news.php?id=2-1" 这样的请求去探测是否存在 SQL 注入显然不算违法。而探测发现可能存在 SQL 注入,实际去尝试获取数据以判断是否真的存在漏洞,这种行为就比较模糊了。如果获取的数据是表的字段名、结构,不涉及用户数据,相对还好。而如果获取了用户数据,特别是用户名、密码,即“身份认证信息”就可能触犯《刑法》。

《刑法》第二百八十五条第二款:

违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

达到“情节严重”才是犯罪,那什么是情节严重呢?在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中是这样说的:

非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:

(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;

(二)获取第(一)项以外的身份认证信息五百组以上的;

(三)非法控制计算机信息系统二十台以上的;

(四)违法所得五千元以上或者造成经济损失一万元以上的;

(五)其他情节严重的情形。

实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节特别严重”:

(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;

(二)其他情节特别严重的情形。

明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照前两款的规定定罪处罚。

也就是说,入侵获取 10 组以上金融证券行业的用户身份认证信息,或 500 组以上一般系统的用户身份认证信息,或入侵了 20 台系统,就可以判刑了。如果获取 50 组以上金融证券行业的用户身份认证信息,或 2500 组以上一般系统的用户身份认证信息,或入侵了 100 台系统,就可以判三年以上。

所以,在测试网站漏洞的过程中,想避免触犯《刑法》,就要注意获取的信息种类和数量,也不要去植入后门。

再讲讲道理。

在今天,一个存储了大量有价值数据的网站,一定会被盯上,一定会有人尝试入侵。一定,一定,一定。

而安全是四维的,不是三维的。对绝大多数网站来说,即使此时此刻的入侵难度很大,但在一段不算长的时间内(比如说一年),被至少成功入侵一次的概率则非常大。因为新漏洞总会不断被发现,而程序员、系统管理员的工作不会永远完美无缺。

而如果有人和入侵者一样,也去不断尝试入侵这些网站,并且发现漏洞后及时告知网站,实际上就成为了恶意入侵的竞争者,很多漏洞可以在被恶意利用前被发现和修复。

在大多数国家,都有网络入侵的相关法律,然而从 Microsoft 到 Facebook,从腾讯到小米,很多公司都成立了 SRC,鼓励大家帮助寻找自己网站的漏洞。而这些寻找漏洞的过程,如果严格按照法律条文去抠字眼,很多可能都有问题。

TK教主:关于“白帽子”的法律和道理

(Facebook 定制的“White Hat”银行卡,用来给向他们报告漏洞的人发奖金)

有些人说“向厂商的 SRC 提交漏洞是合法的”。其实,合法不合法,看检测漏洞的行为本身,和提交给谁没关系。只不过建了 SRC 的厂商自然希望大家去提交漏洞,所以即使行为违反了法律,厂商通常也不会去报案,砸自己 SRC 的牌子。

法律通常都滞后于现实,而且往往滞后很多。上面提到的相关法条,是 2009 年《刑法》第七修正案中才加上的,司法解释是 2011 年才出来的。这些法条在当前形势下是否是最有利于维护信息安全的,还需要立法者去思考。但作为厂商,总是会选择在当前形势下最有利于把安全做好的方式。

厂商为什么要鼓励大家“入侵”自己的网站呢?因为没办法。对,没办法。在当前形势下,这可能是最好的选择。如果单纯靠法律就能解决安全问题,何必多此一举。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载