乌云这次玩雷终于炸到自己了 多名高管被带走调查
针对近日网上流传“白帽社区平台乌云网多名高管被捕”一事。财新记者从多个渠道确认,乌云网近十多名团队成员被警方带走,包括乌云网创始人方小顿。目前,各方尚不清楚乌云网因何出事。“事情发生得很突然,乌云网的人自己也不知道出了什么事。”一位接近乌云网的知情人士告诉财新记者,“大概一个礼拜前,是下午,乌云网近十多名团队成员被警方带走。乌云网的人说,当时没有什么手续,也没有通知。”
上述知情人士向财新记者透露,乌云网创始人方小顿当天被带走。财新记者多次联系方小顿,未获回复。方小顿的微信朋友圈早已于7月18日停止更新。他在最后一条朋友圈里称,“比天赋更重要的是变强起来的勇气,希望回来能有更好的自己。”当时的他还在朋友圈里推荐乌云的一款产品“唐朝安全巡航”,并配上大笑的表情。
7月8日-9日,方小顿曾在2016年乌云白帽大会上公开露面。当时,他与中科院软件研究所研究员丁丽萍、公安部网络安全专家童瀛等业内知名人士一起探讨系统漏洞披露模式的边界问题。与会人士介绍,当天的方小顿看不出有何异样,情绪也很稳定。
另一位与乌云有合作往来的人士称,当时带走的人里面没有乌云市场负责人邬迪。财新记者试图联系邬迪,但他的电话已处于呼叫转移状态。
7月19日,乌云网已经无法登陆。7月20日凌晨,乌云发布了一则升级公告,称为了更好地向用户提供服务,乌云及相关服务将进行升级。在这则公告里,乌云还称,“我们将在最短的时间内,以最好的姿态回归。”但直至7月28日,乌云仍处宕机状态。
上述与乌云有合作往来的人士向财新记者透露,乌云网并非相关部门封掉了,而是乌云自己的人决定停掉,估计是规避风险。“8月上旬,成都将召开一个有关网络安全的大会,本来是邀请了乌云的人做演讲。现在也取消了。”一位接近乌云的人士称。
一位多年活跃在乌云平台上的白帽对财新记者表示,真实的情况到底是什么很难知道。关心乌云的人基本都在默默地等着,希望乌云赶紧恢复。
事出原因不明引猜测
乌云网出事消息传出后,白帽们及互联网圈内人士纷纷猜测其出事原因。大体有三种说法:一是杭州IT人士袁炜在乌云平台提交了世纪佳缘网站系统漏洞,世纪佳缘按照惯例修复漏洞并致谢乌云网之后,突然以“网站数据被非法窃取”为由报警。之后北京朝阳区人民检察院于2016年4月批捕袁炜。检方已决定对袁炜提起公诉,乌云可能受到牵连。二是乌云平台上的白帽测试了相关政府部门的网络系统,乌云受到牵连。三是7月全国多名艾滋病患者信息被泄漏,乌云因在平台上公布过中疾控疫情网存在系统漏洞受调查。
中国互联网协会信用评价中心法律顾问赵占领分析,乌云网受世纪佳缘事件影响的可能性不太大。按照相关法律,技术人士利用漏洞机会实施犯罪行为,比如获取数据、破坏系统等。这些行为本身不是在平台上发生的,而是发生在平台之外的行为。平台做的只是将漏洞通过图片、文字等形式公布出来,平台的行为也可能是法律问题,但不是犯罪问题。
“平台涉及的法律问题可能包括白帽发布漏洞不实或不准确,平台因对漏洞信息负有审核责任,造成共同侵权。”赵占领认为。
“白帽”社区边界在哪里?
乌云网的定位是一个位于厂商和安全研究者之间“自由平等”的漏洞报告平台,由原百度“80后”高级安全工程师方小顿联合几位同行创办,2010年5月正式上线,核心的运营思路遵循开放和分享的原则。
短短6年间,乌云被业内誉为中国最大的白帽聚集地,2014年大概有近5000名白帽活跃在乌云网上。按照互联网圈普遍定义,白帽是指拥有高超的互联网技术,能够发现网络漏洞或风险点,但并不以此作恶的人。
“白帽发现漏洞,乌云审核通过,会提供给相关公司让其认领并修复。只有在相关公司不认领的情况下,乌云才会在平台上向公众予以公开。”上述多年活跃在乌云平台上的白帽向财新记者介绍,“报告漏洞都是免费的,乌云并不向企业收费,是非营利性的机构。”
按照乌云的流程,一般10天向核心白帽子公开其漏洞细节,20天向普通白帽子公开,30天向实习白帽子公开。直到45天之后,企业仍未主动认领漏洞,则会向公众公开其细节。
一位熟悉乌云运作模式的人士称,从商业盈利的角度,乌云现在也会接受商业公司的委托进行安全测试,譬如乌云的一些产品唐朝安全巡航、安全众测等。但这与白帽主动在乌云平台报告漏洞是完全分开的。
白帽在未经公司允许的情况下是否能主动去测试其系统安全?按照相关法律,测试系统漏洞的行为不违法,就像你去敲敲门发现别人的门没锁立刻告诉别人,是善意提醒。但是,如果发现别人门没锁,进去别人家里则另当别论。
赵占领认为,涉及白帽的犯罪行为主要有三种:一是非法侵入计算机系统罪,但该犯罪行为指的是被入侵对象必须是国家事务或国防系统。一般情况下,如果不是政府网站的话,白帽一般不会涉及;二是非法获取计算机信息数据罪,这个罪名成立需要有三个条件:必须要有入侵或者通过其他方法获取数据,而且情节严重。“情节严重”包括金融机构的金融身份认证信息达到十组以上,其他的身份认证信息达到500组以上,或者是非法控制计算机系统等具体条件;三是操纵、破坏计算机信息系统罪,包括控增加、删除、修改、干扰计算机系统,或者是对数据有相应的删除行为,甚至倒卖数据等。
“这些年,乌云上报的漏洞已经非常多了。如果是有黑客做了啥坏事,那应该是相关部门去查那个黑客,乌云平台辅助配合调查。”上述多年活跃在乌云平台上的白帽说。
白帽子黑客是在“排雷”还是“撬保险柜”,技术上很难分辨。(视觉中国/图)在互联网世界,乌云网一直扮演着“守护者”角色。但乌云网模式自诞生起,就一直行走在灰色地带,因而备受争议。乌云网此次危机,正是这一灰色地带的风险爆发所致。“我出去躲两天。”方小顿显然没有意识到事态的严重性,前不久,他在朋友圈发“跑路”信息时,还配上了一组做鬼脸的微信表情。以IT男为主的好友群体纷纷点赞,并配合字里行间的轻松姿态,附上留言:“方小遁”。他终究没能“逃遁“成功。2016年7月20日,著名漏洞报告平台乌云网(Woo Yun)贴出“服务升级”公告,网站一时无法访问。与此同时,南方周末记者从多处信源获悉,包括方小顿在内的“多名高管被抓”,乌云网被迫停摆。方小顿网络ID叫“剑心”,是乌云网的创始人之一,也是赫赫有名的“白帽子”黑客。在黑客江湖,一部分群体通过攻击系统漏洞获取数据,再把信息兜售至黑市牟利,被称为“黑帽子”黑客;另一部分是“正面角色”,号称只是将检测出的bug提交至报告平台进行公布,提醒、倒逼企业注重用户的数据安全,被称为“白帽子”黑客。一般而言,白帽子先将自己发现的漏洞提交至漏洞报告平台,审核通过后会粗略发布漏洞情况,并等待涉事单位认领。如若几十天后仍没有机构联络平台,将进一步公布漏洞细节内容。一直以来,乌云网以这种方式公布信息,敦促企业加强安全意识。“往往不是黑帽子或者白帽子,而是斑马,白天黑,晚上又洗白。”付德明对南方周末记者说,漏洞提交前,黑帽子与白帽子的身份界定模糊,提交后公布环节的流程不规范,造成乌云网模式自诞生起,就在法律与道义上备受争议。付德明在一家世界500强公司做企业网络安全防卫工作。此番乌云网被查事件在业界造成震荡,再次引发了一场网络伦理的讨论。“这次是摊上更大的事儿了”“这次是踩上雷了,帮不了他们(乌云网)了。”一位与乌云网有业务往来的IT人士刘萍告诉南方周末记者。刘萍介绍,实际上乌云网已经被查处,多名高管也“被抓”。7月19日,另一家互联网测试平台漏洞盒子宣布,暂停接受互联网漏洞与威胁情报。而且,“白帽子”黑客报告漏洞的页面已经无法查看。漏洞盒子也发布了公告,称“要对流程制度、规范等进行梳理”。乌云网成立于2010年5月份。在一期视频演讲节目中,方小顿回忆,自己在百度做网络安全方面的工作时发现,国内除了BAT等几个巨头之外,很少有公司有强烈的网络安全意识,并且愿意耗费时间、精力保护用户的数据信息。所以,有了成立一家平台,敦促企业注重安全的念头。以网络ID“剑心”为身份,在互联网黑客江湖小有名气的方小顿,联合几位同道者,成立了乌云网。其宗旨是成为“自由平等”的漏洞报告平台,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。据《电脑报》报道,乌云网的成名战发生在2011年年底。当年11月,乌云网根据白帽子提供的各种材料,连续披露京东商城、支付宝、网易等互联网巨头存在高危漏洞,12月29日更是指出支付宝1500万至2500万用户资料泄露,以及一家政务网444万用户信息泄露。此后,乌云网又相继披露出酒店开房信息泄露、支付宝漏洞、搜狗浏览器泄露用户数据、腾讯7000万QQ群用户数据泄露等一系列重大的漏洞事件。中科院软件研究院博导丁丽萍曾参加过乌云网组织的圆桌会议。她对南方周末记者说,一直以来,乌云网争议的焦点是,有没有权利检测别人的漏洞,以及有没有权利公开漏洞——即便有着高尚的出发点。直到2015年12月,在乌云网上提交漏洞的“白帽子”第一次“出事”。2015年12月,杭州的IT人士袁炜,在乌云提交了他发现的世纪佳缘网站系统漏洞。在世纪佳缘确认、修复了漏洞,并按乌云平台惯例向漏洞提交者致谢后,事态竟急转直下,世纪佳缘不久后以“网站数据被非法窃取”为由报警。2016年4月份,袁炜被司法机关逮捕。袁炜妻子戴女士告诉南方周末记者,袁炜是严格按照乌云网的发布流程提交的漏洞,但是世纪佳缘在追究责任时,“绕过了乌云,以及袁炜白帽子身份”。她说,袁炜的案子目前仍未出结果。有人将此次乌云网停摆与世纪佳缘漏洞相联系,认为是上次事件的发酵。但是付德明予以否认。乌云网的创始人方小顿。(视觉中国/图)“探地雷”与“撬保险箱”根据此前发布的《乌云网漏洞审核机制改进公告》,白帽子黑客发现某处漏洞后,向乌云网提交漏洞,乌云网审核确认后,会把漏洞的概况在乌云平台上公布。其中,普通漏洞披露流程为5天厂商确认期,10天向核心白帽子公开其漏洞细节,20天向普通白帽子公开,30天向实习白帽子公开。直到45天之后,企业仍未主动认领漏洞,则会向公众公开其细节。付德明认为,这其中的每一个环节的正当性,都值得深入探讨。他举例说,有相应技术的黑客们,“黑”进一家企业的系统并发现漏洞,相当于一个江洋大盗撬开了银行的保险柜。按照白帽子、黑帽子约定俗成的分野,黑帽子黑客会直接将保险柜中的财宝席卷一空;但是白帽子黑客的做法,是并不偷拿保险柜中的“一针一线”,而是好心好意告诉银行,保险柜的锁不够安全,应该及时加固,更有甚者,会告诉银行加固的方法。付德明说,理论上看,即便银行大门敞开,外人也没有权利贸然闯入。退一步讲,如果银行的保险柜失窃,丢没丢东西,只要清点一下数目即可。但是数字化的系统对于“闯入者”性质认定就极为复杂,因为数据有着极其容易复制的特性,偷看数据、复制数据都可以非常隐蔽地进行。“数据没有丢失,但不代表没有被偷看、复制。”他说。“白帽子黑客说,我只是发现了漏洞,没有偷看,更没有复制,这在技术上比较难以界定。”丁丽萍兼任中国电子学会计算机取证专家委员会主任,她说,电子取证在技术上极为困难,因为类似于截屏这样的行为,很难去追查。于是,黑客们将一家企业的漏洞提交给乌云网平台之前,可操作的空间便已经很大。“说不定已经把数据卖了个遍,转了几手之后,再提交的。”付德明认为,在提交漏洞第一个环节发生之前,很难将白帽子与黑帽子的性质区分开来。专注于网络安全领域的盘古网络技术有限公司创始人韩争光告诉南方周末记者,他本人并不喜欢“撬保险柜”的比喻,因为这带着一种偏见,认定黑客们一定会做坏事。但是实际上,确实有很多具有“侠客”精神的白帽子,只是单纯为了发掘漏洞,再提醒厂商修补漏洞,并不泄露信息。“一些白帽子提醒企业后,只能得到很微小的奖励,这与他们的劳动很不成正比。”韩争光说。相较于“撬保险柜”,他更喜欢用“排地雷”的比喻。韩争光认为,囿于开展业务的需求,系统内存储着大量的用户信息,这属于公众利益的一部分,企业有义务、有责任,对这些信息的安全负责。但是事实上,绝大部分企业安全意识淡薄,并不怎么把用户的信息安全放在心上。白帽子检测系统漏洞的行为,相当于排除地雷,倒逼企业不断修复、加固系统,起到了维护公众利益的作用。世纪佳缘选择报警之后,在业界引起较大反响。很多人认为,堵住乌云网平台这一正常途径后,只会逼迫白帽子转黑,最后损害的还是用户利益。但是,排除白帽子提交漏洞之前的动机不论,付德明认为,乌云模式当中,审核、发布漏洞的流程也值得商榷。他分析说,白帽子提交了漏洞之后,平台要对这一漏洞的真实性进行审核,而审核的环节,其实是对系统的该处漏洞,又“攻击”了一次。审核通过后,平台会将一部分漏洞通知企业,提醒其加强防范。但是也有大部分漏洞提醒直接发在平台上,等待企业认领。“所谓的认领,不是主动找企业,而是等着企业主动找上门。”付德明说,在这一环节,一些安全意识较强的互联网巨头,会有专门的安全职位负责在不同平台巡视,所以能够及时发现公布出来的安全隐患,早做沟通,予以解决。但是绝大部分企业并不知道白帽子在平台上作出了提醒,“甚至不知道乌云网的存在。”所以即便是后来倾向于认为白帽子是在做好事,也没有赶过去认领,因为这一环节只留给企业5天时间。过了5天的认领期限,平台会分批次向不同等级白帽子公布漏洞的大概情况。“这个时候,还不会公布细节,只是一些大概情况。”付德明说,到了这一步骤,情况变得糟糕起来,因为白帽子数量很多,即便不公布细节内容,也会有数量庞大的黑客开始在公布的系统提醒上挖掘,“像苍蝇一样,总会找出漏洞在哪”。所以,从企业利益的角度出发,发现漏洞越及时,挽回损失的余地越大。如若在这一环节当中,仍未见企业现身,45天后,乌云网会在平台上公布漏洞的细节内容。“告诉你哪里门没锁,这实际上等于公布数据信息了。”付德明认为,平台没有权利公布数据内包含的用户信息。对此,韩争光分析,乌云网的提交、审核、发布流程,借鉴了国外的经验。之所以最后会有公开发布漏洞细节的环节,是为了敦促企业加强安全防范。“企业应该加强安全意识,保护好用户的信息”。谁来保障用户信息?《南方周末》曾经报道,2015年4月,一位ID名为“路人甲”的网友在苏宁的实体店里购买了几件电器后不久就多次接到400开头的诈骗电话。他随后对苏宁系统进行测试,挖出了苏宁信息泄露的漏洞。苏宁易购方面表示,已向南京玄武区公安局报案,并会全力配合警方调查,但是不会对受害者进行赔偿。韩争光认为,白帽子之所以有存在的价值,是因为企业信息泄露后付出的代价很低,才需要白帽子们敦促企业,加强整个网络世界的安全级别。在这个问题上,付德明部分同意韩争光的看法。他认为,正常的逻辑应该是,用户把珠宝存在银行保险柜里被偷了,用户不会自己去抓小偷,只需要银行赔偿损失即可。如果网络世界也遵循这一条规则,企业将会对因为保管用户信息不严密导致信息泄露付出惨痛代价,自然而然会加强安全防御,白帽子便也就没有存在的必要。“银行不会找小偷测试防盗门牢固不牢固,这个不用你提醒。”付德明说。知名IT与知识产权律师赵占领,曾代理过苏宁易购信息泄露案子。他对南方周末记者介绍,理论上企业要为泄露用户数据承担责任,但是数据信息在技术上难以界定,“企业会说,这些数据不是在他们这里泄露的,或者说,即便是他们泄露的,但是诈骗案不是利用这些数据进行的。”赵占领介绍,全国范围内,用户状告企业泄露个人信息的案件并不多,胜诉的更少。原因在于,用户自身缺乏权利意识,再加上诉讼成本很高,且企业赔偿的案例并不多。“发生过很多起酒店开房信息泄露的事件,但是起诉的不多。”丁丽萍介绍,新修订的刑法286条,明确了企业保护用户个人信息的责任主体。如果能够认真执行,企业漠视网络安全的情景应该会慢慢改变。
不好意思确认收货完了,出差刚回来 买了几个了,很好! 还行 简单好用,后期使用过程中出现的问题客服也都很及时的帮忙解决了,大赞! 还有其他应收款也不能设置个人往来,软件功能太简单了,都不能算一个合格的财务软件 发货很快,客服很好很耐心,然后软件很简单容易操作 此用户没有填写评论! 上当受骗了又不给退货
页:
[1]