近日,“白帽”圈一则案件,搅得业界沸沸扬扬。
6月26日,北京的一次网络安全会议上,一位自称“白帽”黑客的父亲发布公开信,信中称,作为一名“白帽”,自己的儿子袁炜因在乌云网提交了世纪佳缘网的漏洞,遭到后者的举报被北京警方拘留。
“白帽”,是网络安全圈内对正面黑客的俗称,此类人员挖掘计算机系统或网络系统中的安全漏洞,但并不会恶意利用,而是通知厂商或在漏洞平台公布出来。这样,相关厂商可以及时修补漏洞,防止潜在问题发生,因而被称作网络“啄木鸟”。
这个事件引发了业界对漏洞发现方式的争论,而此案的核心——“漏洞”,在软硬件和系统中无处不在,又无所不能,越来越成为网络安全中至关重要的一环。
所谓百密一疏,不管是软件还是硬件,都或多或少存在有漏洞,可以说漏洞伴随着信息系统的产生而存在。漏洞有的来自于软件或系统设计时的缺陷,或者是编码问题,也可能是配置或使用过程中的错误。从著名的冲击波病毒到震网病毒,无一不是通过软件或系统的漏洞来实现的。
苍蝇不盯无缝的蛋,漏洞是网络攻击者最有力的工具,利用未公开的漏洞,攻击者不仅可以窃取数据信息,影响正常服务,还可以造成经济损失和其他重大后果。从更高层面来说,漏洞甚至可以成为网络战的重要武器,对重要信息系统产生严重威胁。
2014年7月,美国《时代》周刊发表题为《零世界大战——黑客如何窃取你的秘密》的封面文章,作者列夫·格罗斯曼称,网络战不是未来,而是已经存在,战利品是信息,而漏洞是武器,黑客则是军火商。
2010年震惊网络的“震网”病毒,首次让世人见识到利用信息系统攻击能源基础设施的威力,该病毒就利用了Windows操作系统的4个未被发现的漏洞,以及西门子公司工业控制系统中的漏洞。
而对漏洞的管理和修复能力,也从一个方面代表了一个国家的网络防御能力。2014年4月7日,OpenSSL软件严重漏洞“心脏出血”爆出,因为OpenSSL是目前互联网上应用最广泛的安全传输方法,其影响范围前所未有,不仅是网站,重要信息系统和网络服务也受到影响。知道创宇的ZoomEye对全球网络空间的漏洞修复态势做了调查,发现中国的修复率低于全球平均水平,说明我国的应急响应能力和整体的安全防御能力仍需要大力加强。
国外政府高度重视对漏洞资源的管控,通过建立完善的国家漏洞管理体系,将漏洞资源纳入国家管控机制。
2006年,美国政府建立了美国国家漏洞库(National Vulnerability Database,NVD),由国土安全部研究部署并提供建设资金,由美国国家标准与技术研究院负责技术开发和运维管理。
同时,美国通过网络安全立法,加强对漏洞的监管。美国于2015年出台了《瓦森纳协定》(Wassenaar Arrangement)的补充协定和《网络空间安全信息共享法》,作为针对未公开漏洞的出口限制禁令,以及企业间共享网络安全信息的法律保障。补充协定将未公开的软件漏洞(即零日漏洞)视为潜在的武器进行限制和监管,把黑客技术放入全球武器贸易条约出口限制的范围内,在未经特别许可的情况下,禁止在美国、英国、加拿大、澳大利亚以及新西兰等国之外销售零日漏洞及其相关产品。
但是,依据现行的《网络空间安全国家战略》,美国政府可通过美国国家漏洞库(NVD)面向全球收集漏洞,全球主要软硬件厂商的产品漏洞都在美国国家漏洞库的掌握之中。根据《华盛顿邮报》对斯诺登泄露的机密文件的分析,在美国国家安全局的预算中,有2510万美元用于“额外秘密购买软件漏洞”。而据美国媒体的报道,美国海军的网络战部门,曾经公开向安全行业出资收购知名商用软件的零日漏洞,目的是将其作为未来网络中的作战工具。通过“出口限制禁令”的“堵”和多部门对漏洞的“收”,美国正在增强对全球漏洞的掌控。
我国也高度重视对信息安全漏洞的管控,通过政策法规和专业机构,形成了一套管控体系。例如,中国信息安全测评中心负责建设运维国家级漏洞资源管理平台“国家信息安全漏洞库”(China National Vulnerability Database of Information Security,CNNVD)。2009年10月18日,国家信息安全漏洞库网站正式上线运行,对外提供漏洞分析、通报服务。经过多年发展建设,CNNVD通过社会提交、协作共享、网络搜集以及技术检测等方式,已积累信息技术产品漏洞8万余条,信息系统相关漏洞4万余条,相关补丁和修复措施2万余条,初步形成了信息安全漏洞的资源汇聚和处置管理能力。
虽然有国家层面的管控,但随着利益的驱动,法规的滞后,漏洞交易正在成为一种常态。
尽管各级机构努力利用自身在政策、技术、经济方面的优势,对所搜集的漏洞资源进行掌控,但管理机构不可能掌握并网罗所有的漏洞信息和漏洞挖掘者。民间一些技术高手往往将所发现的漏洞通过地下方式进行交易,获取可观的利润。
2015年初,网络上出现了一个名为“真正交易”(The Real Deal)的黑市,它的主要业务是向黑客兜售零日漏洞利用工具。上架的商品包括了从入侵苹果iCloud账户的方法到Windows的系统漏洞。“真正交易”使用Tor匿名技术加密连接,交易则使用比特币,以隐藏买家、卖家、管理员的身份,从而吸引高端黑客售卖零日漏洞、源代码,甚至提供黑客雇佣服务。
2015年11月,零日漏洞中间商Zerodium公司公布了一份不同类型“数字化入侵技术与软件目标”的漏洞报价的清单,这份清单列出了面向数十种不同应用程序及操作系统的具体黑客攻击方法,每一项都提供极为详细的实现方式以及对应的漏洞报价。
清单中包括本地特权逃逸(LPE)、缓解旁路(MTB)、远程代码执行(RCE)、远程越狱(RJB)、沙箱逃逸(SBE)、虚拟机逃逸(VME)六种漏洞攻击方式,交易价格从5千到50万美元,其中Apple iOS、Android、Adobe漏洞价格最高。
在漏洞交易中,甚至还有一些安全公司参与其中,将所发现和搜集的漏洞出售给“信任”的国家或组织。
随着漏洞交易市场日益完善,市场中流通的高危漏洞大量增加,其所造成的危害也日益严重。这种情况在国内也渐成规模,对此所带来的问题必须认真对待。
为了应对日益增加的漏洞,增加自身产品和服务的安全性,许多厂商纷纷成立安全应急响应部门(SRC),向社会收录旗下相关产品及业务的安全漏洞和威胁信息,并第一时间处置,及时消除安全隐患。据CNNVD报告显示,截至2015年底,国内已有近30余家厂商建立了相应部门。
在这方面,BAT大型互联网公司无疑起步最早。2012年5月,腾讯成立了“腾讯安全应急响应中心(TSRC)”,这是国内第一家此类机构。随后,百度和阿里巴巴也于2013年分别建立了各自的安全应急响应中心。2013年12月,360安全应急响应中心正式公布了《漏洞报告与处理流程》。至此,BAT互联网巨头和最大的互联网安全企业360完成了对安全应急响应部门的初期建立。紧接着,网易、新浪、金山、小米等互联网公司也纷纷加入应急响应建设的队伍中,收录各自产品的漏洞。
除了大型互联网公司,由于自身业务特性,为了避免巨大的经济和信誉损失,电子商务、保险金融公司也是SRC建设的急先锋。从2013年开始,几乎所有的知名电商如京东、苏宁、1号店、携程、去哪儿等公司的应急响应部门如雨后春笋般涌现。2015年滴滴出行和同程旅游也成立了应急响应部门。其中同程旅游在“同程安全应急响应中心”网站上宣布成为“国内第一家公开自家漏洞供白帽子们学习”的公司。在保险金融公司方面,平安集团成立了国内第一家保险金融类应急响应部门“平安安全应急响应中心”;阿里巴巴集团则在已建立集团应急响应中心的情况下,为支付宝、支付宝钱包、余额宝、招财宝、蚂蚁小贷和网商银行等蚂蚁金融服务集团的业务单独建立了“蚂蚁金服安全应急响应中心”。
国内传统硬件、软件服务厂商如联想、华为、中兴等企业也开始认识到漏洞的危害性,关注自身漏洞的收集和处置。2015年4月,联想安全应急响应中心漏洞提交平台正式上线,升级漏洞奖励计划。华为通过“华为产品安全事件响应团队(PSIRT)”统一接收、处理和公开披露华为产品和解决方案相关的安全漏洞。中兴通讯则公布了“白帽子奖励计划”,用以奖励发现其IT系统的安全漏洞或风险。
SRC的成立,让企业的信息安全部门不再是“身在此山中”,而是有了更多和外界合作的渠道。大部分厂商很乐意为自家的漏洞“买单”,为了吸引更多“白帽”发现、提交自家厂商的安全漏洞和威胁信息,绝大部分应急响应部门推出了多种奖励和激励机制,并收到很好的效果。例如,腾讯安全应急响应中心网站显示,“2015年共有334位安全从业人员协助腾讯应急响应中心发现和修复了大量漏洞,从而提升了腾讯自有安全系统的能力”,并“为每一位在2015年度为腾讯做出贡献的安全专家们准备了丰富的现金和礼品奖励”,其中漏洞发现数量最多的人员获得了12万元的最高奖励。根据奇虎公司360安全播报平台的报道,2015年360安全应急响应中心累计为白帽子发放了100万元的奖金和礼品,并宣布2016年会将奖励总额提高一倍,升至200万元。
各厂商应急响应部门的迅速建立和发展,打通了厂商与“白帽”之间的正规渠道,相应的奖励也使得更多的“白帽”关注并协助厂商发现漏洞与风险,很大程度上提高了厂商的信息安全程度。可以说,应急响应部门的建立,降低了厂商发现、修复漏洞的成本,提高了“白帽子”群体的收入,使得厂商和“白帽子”实现了双赢,而最终获益的还是广大消费者。
看完了诸多SRC和“白帽”们的愉快合作,回到文章开头的世纪佳缘案,截至目前,案件已进入检方审查阶段,尚在等待后续进展。
此事引发了业界两派观点针锋相对。已经习惯目前局面的“白帽”们认为,我们好心帮厂商发现漏洞,很多时候没有回报,厂商居然不顾道义,还来控告我们;另有一些人认为,现在很多“白帽”打着善意的旗号,未经许可就对网站进行攻击渗透,发现漏洞又公之与众,给厂商造成了很大困扰,明显触犯了法律,该管一管了。
从“潜规则”层面来说,“白帽”去发现厂商漏洞,并通知厂商,获得感谢或礼物,自身实力获得认可,业界口碑提升,厂商则及时封堵漏洞,双方皆大欢喜。这种情况是近年来厂商和“白帽”间的一种默认状态,也是SRC运作的一种常态。
而世纪佳缘这次的举动,则打破规则,将“白帽”的这种行为推到了法律的明面上。法律专家指出,关键点在于“白帽”的行为是否事先得到厂商同意,按照法律规定,如果没有得到厂商的授权,或者厂商没有和相关漏洞平台签订协议,“白帽”们的行为实则是在法律边缘走钢丝。我国刑法第二百八十五条、第二百八十六条,关于恶意利用计算机犯罪、非法获取计算机信息系统数据或者非法控制计算机信息系统等条文,以及相关的司法解释,已经明确指出了此类行为的界定和处罚标准。
而“白帽”对网站进行测试的过程中,还需要把握好尺度,是否在事先协商的边界内。有时“白帽”为了验证漏洞的有效性,有意无意地“越界”,触动了厂商最关键的资产——数据信息。这也正是世纪佳缘报警的主要理由。
此次事件该如何解决,如何保持业界这种微妙的平衡,给善意的“白帽”们留出发挥的空间,十分考验管理层面的智慧。如果将“白帽”们悉数封杀,那么以后发现的漏洞,很可能不会再出现在漏洞平台上,甚至不再通知厂商,而转成了地下交易,将给整个业界带来更大的隐患和危害;但如果个别“白帽”这种先斩后奏的局面成为常态,没有法律的红线作为保障,其中的浑水摸鱼者将给业界秩序的正常化、产业的安全感带来更大的混乱。
该如何平衡厂商、平台、“白帽”们的关系?资深白帽赵武是这样认为的,既可以认为是白帽们的“初心”所在,也是未来所希望看到的局面:“漏洞平台越来越多,接入的厂商越来越多,跟相关部门的合作越来越多,白帽子越来越多,越来越能管控自己在一个合理可控的区域,那么整个生态体系的抗风险能力就强了,它就从一个黑暗面逐步进化到台前。这难道不就是希望么?”
漏洞的发现和修复就像一场此起彼伏的战争,永无完结之时。未来的信息社会所能提供的服务越多,相应的漏洞也就越多。漏洞威胁的不仅仅是个人信息和财产、企业数据和信誉,也关系到国家重要信息系统、基础设施的安全。
当前执法机关,面对漏洞相关的案件不断增多,判定标准尺度宽严不一,亟待认真解决。有观点认为,目前应进一步明确法制规范,最好出台有关漏洞管控的最高司法解释。《网络安全法》(二审稿)新增的第25条,可以视为官方目前针对漏洞管理和利用的诸多问题而初步作出的政策表态。
我们希望有一个安全的网络空间,但实际上我们生活在一个“漏洞百出”的信息世界里。不管是讲道义还是讲法律,对漏洞的有效管控已经是势在必行。漏洞的发现和报告机制、漏洞的交易、漏洞的利用都应该有着法律的界限,相应的管理也需要与时俱进。
(本文刊登于《中国信息安全》2016年第7期,专题《漏洞的“管”和“用”》)
作者:袁胜
转载来源:中国信息安全(ID:chinainfosec)
