資源共享吧|易語言論壇|逆向破解教程|輔助開發(fā)教程|網(wǎng)絡安全教程|m.hailashopping.com|我的開發(fā)技術隨記

標題: 烏云網(wǎng)多名高管被帶走 白帽社區(qū)邊界問題引關注 [打印本頁]
作者: yinglong    時間: 2016-7-29 00:23
標題: 烏云網(wǎng)多名高管被帶走 白帽社區(qū)邊界問題引關注
針對近日網(wǎng)上流傳“白帽社區(qū)平臺烏云網(wǎng)多名高管被捕”一事。財新記者從多個渠道確認,烏云網(wǎng)近十多名團隊成員被警方帶走,包括烏云網(wǎng)創(chuàng)始人方小頓。目前,各方尚不清楚烏云網(wǎng)因何出事。

  “事情發(fā)生得很突然,烏云網(wǎng)的人自己也不知道出了什么事。”一位接近烏云網(wǎng)的知情人士告訴財新記者,“大概一個禮拜前,是下午,烏云網(wǎng)近十多名團隊成員被警方帶走。烏云網(wǎng)的人說,當時沒有什么手續(xù),也沒有通知!

  上述知情人士向財新記者透露,烏云網(wǎng)創(chuàng)始人方小頓當天被帶走。財新記者多次聯(lián)系方小頓,未獲回復。方小頓的微信朋友圈早已于7月18日停止更新。他在最后一條朋友圈里稱,“比天賦更重要的是變強起來的勇氣,希望回來能有更好的自己!碑敃r的他還在朋友圈里推薦烏云的一款產(chǎn)品“唐朝安全巡航”,并配上大笑的表情。

  7月8日-9日,方小頓曾在2016年烏云白帽大會上公開露面。當時,他與中科院軟件研究所研究員丁麗萍、公安部網(wǎng)絡安全專家童瀛等業(yè)內(nèi)知名人士一起探討系統(tǒng)漏洞披露模式的邊界問題。與會人士介紹,當天的方小頓看不出有何異樣,情緒也很穩(wěn)定。

  另一位與烏云有合作往來的人士稱,當時帶走的人里面沒有烏云市場負責人鄔迪。財新記者試圖聯(lián)系鄔迪,但他的電話已處于呼叫轉(zhuǎn)移狀態(tài)。

  7月19日,烏云網(wǎng)已經(jīng)無法登陸。7月20日凌晨,烏云發(fā)布了一則升級公告,稱為了更好地向用戶提供服務,烏云及相關服務將進行升級。在這則公告里,烏云還稱,“我們將在最短的時間內(nèi),以最好的姿態(tài)回歸。”但直至7月28日,烏云仍處宕機狀態(tài)。

  上述與烏云有合作往來的人士向財新記者透露,烏云網(wǎng)并非相關部門封掉了,而是烏云自己的人決定停掉,估計是規(guī)避風險!8月上旬,成都將召開一個有關網(wǎng)絡安全的大會,本來是邀請了烏云的人做演講,F(xiàn)在也取消了!币晃唤咏鼮踉频娜耸糠Q。

  一位多年活躍在烏云平臺上的白帽對財新記者表示,真實的情況到底是什么很難知道。關心烏云的人基本都在默默地等著,希望烏云趕緊恢復。

  事出原因不明引猜測

  烏云網(wǎng)出事消息傳出后,白帽們及互聯(lián)網(wǎng)圈內(nèi)人士紛紛猜測其出事原因。大體有三種說法:一是杭州IT人士袁煒在烏云平臺提交了世紀佳緣網(wǎng)站系統(tǒng)漏洞,世紀佳緣按照慣例修復漏洞并致謝烏云網(wǎng)之后,突然以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報警。之后北京朝陽區(qū)人民檢察院于2016年4月批捕袁煒。檢方已決定對袁煒提起公訴,烏云可能受到牽連。二是烏云平臺上的白帽測試了相關政府部門的網(wǎng)絡系統(tǒng),烏云受到牽連。三是7月全國多名艾滋病患者信息被泄漏,烏云因在平臺上公布過中疾控疫情網(wǎng)存在系統(tǒng)漏洞受調(diào)查。

  中國互聯(lián)網(wǎng)協(xié)會信用評價中心法律顧問趙占領分析,烏云網(wǎng)受世紀佳緣事件影響的可能性不太大。按照相關法律,技術人士利用漏洞機會實施犯罪行為,比如獲取數(shù)據(jù)、破壞系統(tǒng)等。這些行為本身不是在平臺上發(fā)生的,而是發(fā)生在平臺之外的行為。平臺做的只是將漏洞通過圖片、文字等形式公布出來,平臺的行為也可能是法律問題,但不是犯罪問題。

  “平臺涉及的法律問題可能包括白帽發(fā)布漏洞不實或不準確,平臺因?qū)β┒葱畔⒇撚袑徍素熑,造成共同侵?quán)!壁w占領認為。

  “白帽”社區(qū)邊界在哪里?

  烏云網(wǎng)的定位是一個位于廠商和安全研究者之間“自由平等”的漏洞報告平臺,由原百度“80后”高級安全工程師方小頓聯(lián)合幾位同行創(chuàng)辦,2010年5月正式上線,核心的運營思路遵循開放和分享的原則。

  短短6年間,烏云被業(yè)內(nèi)譽為中國最大的白帽聚集地,2014年大概有近5000名白帽活躍在烏云網(wǎng)上。按照互聯(lián)網(wǎng)圈普遍定義,白帽是指擁有高超的互聯(lián)網(wǎng)技術,能夠發(fā)現(xiàn)網(wǎng)絡漏洞或風險點,但并不以此作惡的人。

  “白帽發(fā)現(xiàn)漏洞,烏云審核通過,會提供給相關公司讓其認領并修復。只有在相關公司不認領的情況下,烏云才會在平臺上向公眾予以公開!鄙鲜龆嗄昊钴S在烏云平臺上的白帽向財新記者介紹,“報告漏洞都是免費的,烏云并不向企業(yè)收費,是非營利性的機構(gòu)。”

  按照烏云的流程,一般10天向核心白帽子公開其漏洞細節(jié),20天向普通白帽子公開,30天向?qū)嵙暟酌弊庸_。直到45天之后,企業(yè)仍未主動認領漏洞,則會向公眾公開其細節(jié)。

  一位熟悉烏云運作模式的人士稱,從商業(yè)盈利的角度,烏云現(xiàn)在也會接受商業(yè)公司的委托進行安全測試,譬如烏云的一些產(chǎn)品唐朝安全巡航、安全眾測等。但這與白帽主動在烏云平臺報告漏洞是完全分開的。

  白帽在未經(jīng)公司允許的情況下是否能主動去測試其系統(tǒng)安全?按照相關法律,測試系統(tǒng)漏洞的行為不違法,就像你去敲敲門發(fā)現(xiàn)別人的門沒鎖立刻告訴別人,是善意提醒。但是,如果發(fā)現(xiàn)別人門沒鎖,進去別人家里則另當別論。

  趙占領認為,涉及白帽的犯罪行為主要有三種:一是非法侵入計算機系統(tǒng)罪,但該犯罪行為指的是被入侵對象必須是國家事務或國防系統(tǒng)。一般情況下,如果不是政府網(wǎng)站的話,白帽一般不會涉及;二是非法獲取計算機信息數(shù)據(jù)罪,這個罪名成立需要有三個條件:必須要有入侵或者通過其他方法獲取數(shù)據(jù),而且情節(jié)嚴重!扒楣(jié)嚴重”包括金融機構(gòu)的金融身份認證信息達到十組以上,其他的身份認證信息達到500組以上,或者是非法控制計算機系統(tǒng)等具體條件;三是操縱、破壞計算機信息系統(tǒng)罪,包括控增加、刪除、修改、干擾計算機系統(tǒng),或者是對數(shù)據(jù)有相應的刪除行為,甚至倒賣數(shù)據(jù)等。

  “這些年,烏云上報的漏洞已經(jīng)非常多了。如果是有黑客做了啥壞事,那應該是相關部門去查那個黑客,烏云平臺輔助配合調(diào)查。”上述多年活躍在烏云平臺上的白帽說。





歡迎光臨 資源共享吧|易語言論壇|逆向破解教程|輔助開發(fā)教程|網(wǎng)絡安全教程|m.hailashopping.com|我的開發(fā)技術隨記 (http://m.hailashopping.com/) Powered by Discuz! X3.4