信息來源：企業(yè)網(wǎng)

國內(nèi)兩個(gè)安全漏洞平臺同一天啟動(dòng)了升級及維護(hù)動(dòng)作。

伴隨而來的，還有坊間的傳聞。

兩個(gè)安全漏洞平臺聲明辟謠

7月19日晚間，有微博大號爆料稱安全漏洞平臺烏云網(wǎng)官方網(wǎng)站無法訪問，可能出現(xiàn)狀況。烏云網(wǎng)隨后在網(wǎng)站首頁發(fā)布聲明稱，烏云網(wǎng)及相關(guān)服務(wù)進(jìn)行升級，并將在最短時(shí)間內(nèi)，以最好的姿態(tài)回歸。烏云網(wǎng)同時(shí)在聲明中稱，“與其相信謠言，不如相信烏云”。

7月19日，另一企業(yè)級安全漏洞平臺漏洞盒子發(fā)布升級公告稱，管理團(tuán)隊(duì)對其網(wǎng)站進(jìn)行例行維護(hù)。維護(hù)期間，暫?；ヂ?lián)網(wǎng)漏洞與威脅情報(bào)接收。漏洞盒子公告稱，新版本上線后，會繼續(xù)幫助白帽子與企業(yè)之間建立真正的信任連接。

烏云方面相關(guān)人士對搜狐科技表示，外界的猜測沒有根據(jù)，烏云是否出了問題，幾天后就會見分曉。漏洞盒子團(tuán)隊(duì)隨后也發(fā)布聲明，稱其業(yè)務(wù)運(yùn)營按照年度計(jì)劃既定進(jìn)行，目前全線產(chǎn)品業(yè)務(wù)運(yùn)轉(zhuǎn)正常，與其他事件無任何關(guān)聯(lián)。

盡管如此，業(yè)界對于此次兩大平臺同時(shí)維護(hù)升級的原因仍在私下討論，認(rèn)為這一事件與之前世紀(jì)佳緣狀告白帽黑客引發(fā)的漏洞披露機(jī)制模式探討有關(guān)。

白帽黑客行走于法律邊緣

不作惡的黑客被稱為“白帽”，他們通過測試并提交相關(guān)企業(yè)、網(wǎng)站的漏洞，模式普遍得到了業(yè)界的認(rèn)可。但據(jù)搜狐科技了解，不少白帽在滲透測試過程中的動(dòng)作，會引起廠商或企業(yè)的擔(dān)心。

小米云平臺安全與隱私部首席安全官陳洋此前就在烏云白帽大會上表示，白帽黑客一些善意的測試，企業(yè)比較歡迎。但有時(shí)這些“白帽”的測試，有時(shí)會導(dǎo)致數(shù)據(jù)泄露或破壞。有的黑客甚至有些打著白帽子的旗號，去拖庫、交易這些數(shù)據(jù)。而諾亞財(cái)富安全負(fù)責(zé)人顧全民此前也稱，之前他們也收到過類似白帽提交的漏洞。這本來也是一件好事，但是后來他們企業(yè)的安全人員進(jìn)到后臺發(fā)現(xiàn)，這位“白帽”黑客做了兩件事情，但其告訴企業(yè)一件事情。這就讓企業(yè)與白帽之間很難建立信任關(guān)系。

世紀(jì)佳緣狀告白帽黑客后，安全圈不少人認(rèn)為白帽黑客與廠商地位對比中處于劣勢。早期曾經(jīng)在黑客領(lǐng)域叱咤風(fēng)云，如今已退出黑客圈的龔蔚（Goodwell）則認(rèn)為，在安全圈子里，白帽并不是綿羊，企業(yè)才是綿羊。龔蔚對白帽生態(tài)的發(fā)展也提出了相關(guān)疑問，如白帽子到底白在哪里、白帽的衡量標(biāo)準(zhǔn)、行為準(zhǔn)則、訴求等。

騰訊玄武實(shí)驗(yàn)室總監(jiān)于旸（TK教主）認(rèn)為，每個(gè)行業(yè)都有相應(yīng)的法律限制，由于Web網(wǎng)絡(luò)安全門檻較低，網(wǎng)絡(luò)安全從業(yè)人員更應(yīng)搞清楚這些法律條文，才能在從業(yè)過程中做到?jīng)]有后顧之憂。在行俠仗義的時(shí)候，順便調(diào)戲婦女，在安全測試的時(shí)候，順便拖庫倒賣，都不是英雄和白帽的正確姿勢。

IT與知識產(chǎn)權(quán)律師，中國互聯(lián)網(wǎng)協(xié)會信用評價(jià)中心法律顧問趙占領(lǐng)表示，從法律角度，國家已經(jīng)為網(wǎng)絡(luò)安全行為界定了明確的“邊界”。刑法第285、286條及相關(guān)司法解釋、正在制定的網(wǎng)絡(luò)安全法草案中，對涉及網(wǎng)絡(luò)安全的行為都有了明確的規(guī)定。但趙占領(lǐng)也同時(shí)強(qiáng)調(diào)，白帽黑客在做滲透測試的時(shí)候，絕對不要簡單地認(rèn)為，只要其獲取的數(shù)據(jù)低于刑法規(guī)定的某個(gè)數(shù)量，其行為就是安全的、可以不受懲處。比如獲取普通用戶身份認(rèn)證信息不到五百組，雖然不用負(fù)刑事責(zé)任，但根據(jù)后果，當(dāng)事人可能會受治安管理處罰法第29條的規(guī)定，受到相應(yīng)處罰。

江蘇省公安廳網(wǎng)安總隊(duì)科長、公安部網(wǎng)絡(luò)安全專家童瀛根據(jù)以往的案例告誡白帽黑客，在做滲透測試的時(shí)候一定要自律，千萬不要跨過這些邊界。人人都有好奇心，在入侵成功后，如果越線，追究法律責(zé)任時(shí)，滲透入侵的黑客會被定為主犯，將會受到法律的制裁。

白帽與黑帽的區(qū)別往往在一念之間。騰訊研究院2015年11月對外披露的數(shù)據(jù)顯示，在網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈中，相關(guān)黑產(chǎn)從業(yè)人員或已達(dá)到38萬余人，涉及6000多個(gè)大大小小的黑產(chǎn)團(tuán)伙。

網(wǎng)絡(luò)漏洞披露平臺或助紂為虐

業(yè)界對于軟件漏洞有一種看法，認(rèn)為只要是人制造的東西，不可避免就會存在缺陷。為了提升自身系統(tǒng)的安全性，Google、Facebook、微軟、戴爾等公司都有比較完善的漏洞披露機(jī)制。

但凡事都有兩面性，漏洞披露這件事情既有利也有弊。好的地方在于，漏洞披露能夠促進(jìn)企業(yè)及行業(yè)安全水平的提升。壞的地方是，企業(yè)在得知這一漏洞時(shí)，心懷不軌的黑客也能看到。對于技術(shù)高手來說，可能一個(gè)細(xì)微的提示，就能為其提供突破漏洞的思路。在廠商還沒有修復(fù)漏洞前，黑客也很可能會利用披露的信息入侵成功。

2011年底，包括CSDN、天涯在內(nèi)的多家知名網(wǎng)站被暴用戶數(shù)據(jù)庫被拖庫。這個(gè)里程碑式的事件也讓公眾第一次知道了“拖庫”這個(gè)概念。其實(shí)，在這一事件之前，拖庫已經(jīng)存在了很多年。于旸表示，漏洞不披露，不代表沒有人知道，不代表沒有人利用，不代表沒有人拿它去竊取用戶數(shù)據(jù)，不代表用戶的利益就不會受到損害。

據(jù)于旸介紹，發(fā)現(xiàn)漏洞后是否披露這一問題，業(yè)界已經(jīng)討論了一二十年的時(shí)間。目前全世界對漏洞的披露有一個(gè)共識，就是發(fā)現(xiàn)漏洞后需要披露。在美國，披露漏洞被認(rèn)為是言論自由的一部分，會受憲法修正案的保護(hù)。從法律角度講，無論什么時(shí)候，怎么披露漏洞，都是合法的。

雖然在美國披露安全漏洞在法律面前沒有問題，但從道義責(zé)任的角度，不少廠商認(rèn)為，黑客披露漏洞時(shí)，要負(fù)責(zé)任地披露，要考慮用戶的利益。但業(yè)界也有另一種聲音，認(rèn)為黑客在披露漏洞時(shí)考慮用戶的利益，但廠商更需要考慮用戶利益，如果黑客給廠商報(bào)告漏洞后，廠商置之不理，不及時(shí)修復(fù)漏洞，同樣是無視用戶利益的表現(xiàn)。

于旸表示，目前業(yè)界普遍的做法是，漏洞披露時(shí)間有時(shí)限，是對廠商的一種督促和壓力?，F(xiàn)在國內(nèi)一般漏洞披露時(shí)間是90天。而美國CERT（美國計(jì)算機(jī)緊急響應(yīng)中心）規(guī)定披露漏洞的時(shí)間是45天。據(jù)稱，漏洞披露時(shí)間有時(shí)間限制，是多方討論妥協(xié)的結(jié)果。但具體來講，安全漏洞披露的方式方法不當(dāng)、時(shí)間不當(dāng)，都可能會影響用戶利益，但不披露，同樣也會影響用戶利益。

匡恩網(wǎng)絡(luò)總裁孫一桉對搜狐科技表示，安全漏洞的披露同時(shí)還要考慮具體的行業(yè)，涉及到軍工、核電、國家安全的基礎(chǔ)設(shè)施漏洞披露時(shí)更要有責(zé)任感。任何一個(gè)負(fù)責(zé)任的研究機(jī)構(gòu)或個(gè)人，遇到這類漏洞時(shí)，都不會以公開化的方式披露。對于這一類漏洞攻擊手段的管理是每個(gè)國家面臨的挑戰(zhàn)，目前的趨勢是不少國家甚至?xí)堰@種漏洞列入戰(zhàn)略武器的一部分。目前國家網(wǎng)絡(luò)安全領(lǐng)域也在逐漸立法，敏感領(lǐng)域的安全漏洞一定不太可能會向公眾披露。

據(jù)搜狐科技了解，國內(nèi)某安全漏洞披露平臺就曾出現(xiàn)過披露國家重要部門應(yīng)用程序漏洞的例子，可能會造成敏感信息泄露。此前，烏云也曾披露過網(wǎng)易郵箱被拖庫的案例，但后來中國CERT（國家互聯(lián)網(wǎng)應(yīng)急中心）驗(yàn)證稱，根據(jù)已披露的數(shù)據(jù)無法支持“過億數(shù)據(jù)泄露”這一判斷。

漏洞披露平臺要找婆家？

趙占領(lǐng)律師認(rèn)為，安全漏洞平臺在披露相關(guān)漏洞時(shí)，需要特別注意法律風(fēng)險(xiǎn)。如果平臺方及白帽黑客發(fā)布的漏洞信息不實(shí)，雙方都需要承擔(dān)相應(yīng)的法律責(zé)任。

中科院軟件研究所研究員、中國電子學(xué)會計(jì)算機(jī)取證專委會主任委員、公安部三局特聘專家丁麗萍稱，國內(nèi)安全漏洞平臺有的在奉行“法不禁止即可為”的做法，但法律是一直在更改、完善的，建議漏洞平臺改進(jìn)目前的漏洞披露模式。公開披露漏洞的情況，等于是在昭告天下，告訴大家某家企業(yè)或網(wǎng)站的大門鑰匙藏在哪里，用什么辦法能進(jìn)到他家里。

丁麗萍建議，國內(nèi)的漏洞披露平臺能夠與國家相關(guān)部門合作，或有授權(quán)的機(jī)構(gòu)合作，如中國CERT或公安部國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心。通過與這些有披露權(quán)限的部門合作，漏洞披露平臺能夠得到相應(yīng)的授權(quán)，并且有統(tǒng)一的漏洞披露出口，在做漏洞披露時(shí)會更安全、更保險(xiǎn)。目前部分漏洞披露平臺采取的由白帽黑客自由提交漏洞的方式，很難保證中間環(huán)節(jié)不出紕漏。

據(jù)搜狐科技了解，目前國內(nèi)漏洞披露平臺普遍與中國CERT等部門有合作關(guān)系，有重大安全漏洞時(shí)，平臺方也會主動(dòng)向相關(guān)部門提交漏洞。但從實(shí)際操作來看，一般信息提交給相關(guān)部門時(shí)，平臺方也會同步在其平臺發(fā)布漏洞信息。

截止搜狐科技發(fā)稿時(shí)止，烏云平臺及漏洞盒子的“漏洞黑板報(bào)”欄目仍然無法正常訪問。不可否認(rèn)的是，隨著國家在網(wǎng)絡(luò)安全方面重視程度的提升及相關(guān)法律法規(guī)的完善，網(wǎng)絡(luò)漏洞檢測及披露這一敏感領(lǐng)域的工作也會更加規(guī)范。