二、漏洞测试的界线在哪里?
李:好的,下面有请赵律师,从法律的角度来谈一谈这个事情。
赵占领(以下简称“赵”):这个案子,因为具体的情况也不是非常的清楚,而现在也已经进入法律程序,所以我这里更多是谈一些共性的问题,特别是白帽子的渗透测试,这个事情法律的边界到底在哪里。
赵占领
我给大家做一个简单的介绍,这块可能涉及到刑法的几个罪名。一个是非法侵入计算机系统罪,这个是有要求的,被入侵对象必须是国家事务或国防系统。但一般情况下,如果不是政府网站的话,这个白帽子一般不会涉及。
第二个,非法获取计算机信息数据罪,这个罪名成立需要有三个条件。第一是必须要有入侵,通过其他方法获取数据,而且情节严重。这个“情节严重”也是有具体规定,包括几种情况,一种是金融机构的金融身份认证信息,是在十组以上,其他的身份认证信息是在500组以上;或者是非法控制计算机系统,这个前提是要有控制行为存在,20台以上;还有一个是造成经济损失的,具体有一个数额。
还有一个就是破坏计算机信息系统罪,这个要有几种行为,一个是对于计算机的程序有增加、删除、修改、干扰,或者是对数据有相应的删除行为。
最后一个是使用或者传播计算机病毒等破坏性程序,并造成影响。当然有些走的更远,可能涉及到获取之后再把数据倒卖出去,那是其他的罪名,而且这个是明确违法的行为。
像今天这个我们现在关注的案例,主要涉及到非法获取计算机信息系统数据。这里面白帽子在安全检测的时候,其边界是比较有原则性的。具体怎么操作,这个边界在哪儿?
我个人的理解,首先有入侵的问题,只是入侵而不符合其他两个条件的话,这种可能现在还不是一个犯罪,不属于违法行为,不属于治安管理处罚法。但现在正在修订的网络安全法草案,里面对这个则有新的规定,即使你没有造成危害,也不符合刑法285规定的三个条件,有可能也违反了网络安全法,虽然现在这个只是草案。所以这是一个要注意的一个地方。
另外在入侵之后,获取数据这方面,实际上需要重点把握的是身份认证信息。无论是金融机构的,还是其他系统的,都是指这个。所谓身份认证信息,包括帐号、密码、口令、数字证书等。但是我们可能在检测过程中,在触碰这个信息之前,可能不清楚这个数据到底它是不是身份认证信息,可能只有你接触之后才能判断。但是一旦接触之后,违法的风险可能就已经存在了。特别是达到500组以上。所以在白帽子在检测的时候,只要涉及数据这块,实际上无论它是不是身份认证信息,从规避自身风险的角度来讲还是不要触碰的为好。因为你不确定这里面的信息到底属于不属于身份认证信息。所以从法律的角度讲,我觉得应该就到此为止了。
另外,涉及到一个问题,就是我们很多检测工具在检测过程中,可能会涉及到自动缓存数据的问题。从白帽子角度讲,我可能没有想获取这个数据,但是检测过程中,工具有可能把数据存储在电脑上。这个情况下,它属不属于非法获取数据,现在也没有类似的案例可以参考,也不确定我们公安部门和司法机构的态度和做法。但从我个人角度讲,我觉得可能他们会更倾向于认为这也是获取数据。
除非你能提供其他的证据,比如说我检测过程中,只是从行为上来判断,我只是进行检测,而且这个存在我电脑上的数据,我没有进行任何的修改删除,甚至没有接触。但是,这是一种在有争议情况下的观点,最终怎么认定,现在也是一个非常有争议的事情。
我个人理解就是从规避这个风险角度来讲,你使用的检测工具,你要尽可能确定它是没有问题的。大家关心这个案子,这个是可以理解,因为大家很多都是白帽子,或者对安全比较感兴趣的朋友,包括我本人也非常关注。但是通过这个案子,我们也希望它能成为对这个行业、对白帽子行为的规范的一个机会,也希望安全行业,白帽子,还有类似于乌云的漏洞收集平台,能够更好的发挥其价值。
李:赵律师,你的意思是说,虽然法律这方面的规定可能不是那么详细,但是对于白帽子来说,在进行测试的时候,要尽量谨慎和小心?
赵:对,要尽量谨慎。其中最核心的一点就是不要去接触这些数据,另外使用的检测工具也要确认不要有问题。
李:500组数据这个问题,如果是499组呢?是不是就没问题?
赵:499组可能从刑法角度讲是不构成的犯罪的,但是499组获取的数据,并同时造成危害的,即使不构成刑法,也可以按《治安管理处罚法》去处罚。
李:我明白了,虽然不到那个程度,但仍然是违法的。小顿,你作为乌云社区的创始人,此次事件发生后乌云一直没有发声,现在请你来谈一谈。
方小顿(以下简称“小顿”):其实我本人一直是说话比较少的,很多人问为什么乌云一直没有出来发声,因为我本人更喜欢做事情,而不是去说。
方小顿
事情发生后,我们其实也和家属一直在一起面对这个事情,我们会一起往下走。其实好多事情,我觉得背后有很多的因素和原因。但是这个案子本身还在处理中,所以我们现在也没有办法去多讲。
但是从乌云平台的角度,从我们一直在构建的白帽子和企业关系的角度,这个案子如此受关注是有道理的,这也是乌云运营这么多年来,我本人认为唯一一个不是很严重的行为而导致这么严重的后果的个案。所以乌云把各方专家邀请过来,请大家一起具体的来谈一谈,谈一谈我们有哪些能做的事情,有哪些我们能帮助家属,以及帮助更多白帽子的事情。
还有一点我觉得也很重要,就是乌云将来能做什么事情?怎么样能够从平台的角度,从整个行业的角度,把白帽子漏洞测试这个事情做好?而不能说因为一个个案,就把很多年积累的东西全部推翻。
现在的事情,法律也好,我相信它一定有一个明确的边界,有一些明确的东西。我觉得对于将来来说,这个东西更需要我们的关注。
李:TK,我之前看过你写的一篇关于这个事件的文章,我感觉你又跨了一个界,跨到了法律界(笑)。那么你就结合法律和安全技术,来谈一谈吧。
于旸(以下简称“TK”):我确实是比较关注和信息安全相关的法律,因为我本身从事这个行业。实际上从刑法修正案,刚开始针对这块有约束,我就一直在很仔细地看这个法条,包括后来出的司法解释等内容。
于旸
为什么呢?因为你做这行你就需要去看法律,因为跟你有关系,你必须要知道,知道这个边界在哪里,你才能“在河边走而不湿鞋”,你得知道这个河堤的边沿在什么地方。如果你根本不知道这个边沿在哪儿,你跑到河边走,你就容易湿鞋;可能今天不湿,明天也会湿。但是你如果就在河堤上,在一个很明确的线上,你在这上面走,那就可以保证你的安全。
我们做这个行业,很多人会在类似的案件出来之后,有一种看法,觉得你做这个行业,就是游走在法律边缘。我觉得这个看法是一种情绪化。因为法律的边界,你如果很清晰地知道这一点的话,你就可以达到一个比较安全的状态。
一般安全会议的圆桌论坛,嘉宾都是搞技术或者搞管理的,但是你看今天咱们的会场,有三位法律相关人士。所以我觉得咱们今天应该把这个“边界”搞清楚。可能在座的各位之前很多对这块没有特别关注,但是实际上开公司的人,他需要对公司法清楚,搞建筑的人则需要对建设方面的政策了解清晰,才能保证所做的事情是可以放心的,没有后顾之忧。同理,搞安全技术的也一样。
我刚才说到这个情绪化,我也看到现在网上的讨论,有两个方向不同的情绪化。一方面有些人觉得,我早就说你们白帽子是违法的,你看现在终于被抓了,但其实你去问他让他说一下,到底违了什么法,他不一定能说上来,因为他是出于某种情绪才这样说的。还有另外一头的情绪,这些人觉得白帽子是好心好意为你这个网站提交漏洞,你却“狗咬吕洞宾”。但其实这也是一种情绪,就是说我们既然谈法律,那就说法律到底是怎么规定的,不要扯到道德上。
另外,人一旦陷入情绪化之后,对概念不太容易讲清楚,我们刚才谈了半天白帽子,其实谈的就是白帽子的行为。但是我看到有些讨论,他把这个白帽子的行为泛化,有些白帽子一边做测试,一边转手就把这个数据拿去卖了。这个明显也是一种情绪化了,你既然都卖数据了,那这个行为还是我们说的白帽子的行为么?明显不是!打个可能不太恰当的比方,大侠客行侠仗义的时候顺便调戏一下妇女,那就不是大侠而是“淫贼”了。要是有人说这些大侠都不是什么好东西,这个说法当然就是有问题的,这完全是一种情绪的宣泄,而不是理性的讨论。
李:童队,您从监管从公安的角度给我们谈一谈?
童瀛(以下简称“童”):在这个问题上,我不谈具体的案子。但我们国家是法制社会,因此跟大家提几个数字,希望大家可以记住。
童瀛
第一个285,第二个286,之后还有10、20和500,另外还有一个5倍。因为这个从我们警方来说,其实这个界线很久之前就存在。我们国家制定了《刑法》之后,就有了第285条和286条,上面都已经写的很明确了。那么为什么我刚才又说到了10和20,这里有提到获取金融类的数据是十组。另外可能在这个事情上,大家可能提到更多的是500,500组的这个事情,也是一个关键点,这个是我们的一个准绳。你到这个线,那我们就可以判你三年。如果超过这个,最后还提到一个5倍的概念,5倍就可能是3到7年这么一个情况。
作为执法机关来说,我们做我们往常的一些案件当中,很多这种案子,因为在座的更多的都是白帽子,大部分做Web安全。我们觉得Web安全,是一个比较入门的东西,比TK他们做的系统安全相对门槛要低一些。大家的入门的这种教材、环境网上会更多一些,但另一个角度来看,可能Web安全存在问题也就更多一些。
因为在乌云平台上,每年漏洞提交上来的数量非常多,而且大部分都是Web安全类的,以前也有过类似的案例,所以我经常会说,白帽子或者做相关事情的人,千万不要跨了这个线。
可能大家都听说过,一个WebShell的作者,当时也是入侵了网站拿到了数据,但是这些数据被别人加以利用,最后整个案子的涉案金额达到了400万元。但定性的时候,第一主犯当时定的就是这个做漏洞测试的人,因为如果你没有进去,没拿到数据,那么之后其他人拿到数据再做的这些事情,也就不可能会发生。所以说在这个里面,大家一定是以法律为准绳,千万不要踏过这个线。
另外白帽子在做一些事情的时候,一定要自律。可能当你进去以后,或者说是当你测试这个漏洞成功以后,你可能看到了一些东西。人都是有好奇心的,觉得我再进一步看一看,我再进一步把这个数据再多获取一点,那我想这时候你可以对照一下我前面说的这些法律条文,如果你越线了,那我们只好用法律来惩罚你。