网络安全“白帽子”：不为赚钱 "黑"化只在一念间(2)

？？？？赵占领说，“白帽子”和漏洞披露平台之间有两种关系。第一种是平台提供信息发布服务，平台是信息存储空间，“白帽子”把发现的漏洞信息提交给平台，平台按照自己的流程把给互联网企业，该公开的时候公开。在这种情况下，两者之间就是信息发布服务者和用户的关系。szi鄂东网|www.xianzhaiwang.cn

？？？？中科院软件研究所研究员丁丽萍认为，目前漏洞披露平台大多采取用户自由提交漏洞信息的模式，在这种模式下，“白帽子”怎么定义、怎么审核这些提交漏洞的人？这些问题成为关键。漏洞披露平台很难保证每个用户没有在利益驱动下做违法的事情。szi鄂东网|www.xianzhaiwang.cn

？？？？“白帽子”与漏洞披露平台之间的另一种关系，来自于一个商业模式，安全“众测”或称“众包”的模式。漏洞披露平台接受一些互联网企业的安全外包任务，平台将任务发布给平台上的技术高手完成项目。szi鄂东网|www.xianzhaiwang.cn

？？？？专家告诉记者，在这种情况下，企业的安全意识成为关键因素。丁丽萍说，企业分成两类，一类是欢迎挖漏洞的；另一类的态度是“我有漏洞你管得着吗？你公布试试，你攻进来试试”。后一种态度虽然不讲理，但也不是不合法的。刑法修正案在第二百八十六条中增加了企业责任条款。丁丽萍认为，法律对企业提出了要求，由于企业不注重信息安全防护而导致用户数据大量泄露，需要承担刑事责任。因此，企业可能会更欢迎“白帽子”来挖漏洞。szi鄂东网|www.xianzhaiwang.cn

？？？？“白帽子”面临法律风险szi鄂东网|www.xianzhaiwang.cn

？？？？法律专家告诉记者，“白帽子”自发进行测试时，面临着多层次的法律风险。szi鄂东网|www.xianzhaiwang.cn

？？？？有些“白帽子”对网站进行测试时，并不十分了解他们使用的软件，测试一开始就蕴藏着风险。赵占领告诉记者，有一些针对常见漏洞的检测工具软件在网上很容易找到；比较特殊或复杂的漏洞检测工具软件，则来自“技术社区”分享，仅在技术爱好者圈子中流传；还有些“白帽子”自己写检测程序。“白帽子”使用的软件可能有自动缓存功能。“白帽子”在检测过程中，主观上没有获取数据的想法，但测试软件可能会把数据存储在电脑上。这种行为是否属于刑法所定义的获取数据，目前还没有类似案例，最终还要看司法机关怎么认定。szi鄂东网|www.xianzhaiwang.cn

？？？？赵占领告诉记者，互联网企业认为“白帽子”发现的漏洞有价值时，可能会给予精神上的感谢或者物质上的奖励，但这不是必须给予的。不过，如果“白帽子”拿着找到的漏洞，以公开漏洞、透露给别人或攻击漏洞相要挟，要求互联网企业支付一定的金钱，则有可能构成敲诈勒索。szi鄂东网|www.xianzhaiwang.cn

？？？？赵占领说，“白帽子”了解最多的法律是刑法第二百八十五条、第二百八十六条关于网络安全的规定，但他们常常忽略了即便没有构成刑事犯罪，也有可能触犯治安管理处罚法。szi鄂东网|www.xianzhaiwang.cn

？？？？“白帽子”常忽视的，还有侵犯隐私权、知识产权等民事法律风险。朱巍说，“白帽子”使用插件、外挂的方式，或嵌入式的方式，把自己想要的功能加入别人的软件之中达到他们的目的，这可能侵犯了他人的知识产权，严重的还会涉及到知识产权相关刑事责任。szi鄂东网|www.xianzhaiwang.cn

？？？？“我们是搞技术的，钻研安全漏洞，我们并不钻研法律漏洞，对法律也是一知半解。”“白帽子”张某坦言，“白帽子”对法律的了解程度不深。不过，对于与互联网企业的沟通模式，张某也有自己的想法。szi鄂东网|www.xianzhaiwang.cn

？？？？现有的模式是企业发出授权，然后“白帽子”参与测试。能不能有所变化？张某给出一个模型：“白帽子”在测试前，先向企业发出申请，这个申请带上明确个人信息。当企业认为“白帽子”的测试有问题时，马上联系“白帽子”终止测试。这种模式可以保护“白帽子”的主动参与积极性，同时也给互联网企业保留了主动权。szi鄂东网|www.xianzhaiwang.cn

？？？？丁丽萍建议，漏洞披露平台和一些官方的机构合作，在获得授权的情况下进行漏洞挖掘和披露，从而降低法律风险。在授权合作模式下，漏洞披露平台将获得的漏洞信息提交给公安部门，由公安部门介入处理；或提交给国家互联网应急中心，由国家互联网应急中心向对方发出通知，告知对方系统有漏洞以及可能造成大量数据泄露、国家财产或者群众利益的损失等后果。（记者张昊）szi鄂东网|www.xianzhaiwang.cn

网络安全“白帽子”：不为赚钱 "黑"化只在一念间

文章地址: http://news.xianzhaiwang.cn/toutiao/404419.html