“白帽子”与漏洞披露平台之间的另一种关系,来自于一个商业模式,安全“众测”或称“众包”的模式。漏洞披露平台接受一些互联网企业的安全外包任务,平台将任务发布给平台上的技术高手完成项目。
专家告诉记者,在这种情况下,企业的安全意识成为关键因素。丁丽萍说,企业分成两类,一类是欢迎挖漏洞的;另一类的态度是“我有漏洞你管得着吗?你公布试试,你攻进来试试”。后一种态度虽然不讲理,但也不是不合法的。刑法修正案(九)在第二百八十六条中增加了企业责任条款。丁丽萍认为,法律对企业提出了要求,由于企业不注重信息安全防护而导致用户数据大量泄露,需要承担刑事责任。因此,企业可能会更欢迎“白帽子”来挖漏洞。
“白帽子”面临法律风险
法律专家告诉记者,“白帽子”自发进行测试时,面临着多层次的法律风险。
有些“白帽子”对网站进行测试时,并不十分了解他们使用的软件,测试一开始就蕴藏着风险。赵占领告诉记者,有一些针对常见漏洞的检测工具软件在网上很容易找到;比较特殊或复杂的漏洞检测工具软件,则来自“技术社区(论坛)”分享,仅在技术爱好者圈子中流传;还有些“白帽子”自己写检测程序。“白帽子”使用的软件可能有自动缓存功能。“白帽子”在检测过程中,主观上没有获取数据的想法,但测试软件可能会把数据存储在电脑上。这种行为是否属于刑法所定义的获取数据,目前还没有类似案例,最终还要看司法机关怎么认定。
赵占领告诉记者,互联网企业认为“白帽子”发现的漏洞有价值时,可能会给予精神上的感谢或者物质上的奖励,但这不是必须给予的。不过,如果“白帽子”拿着找到的漏洞,以公开漏洞、透露给别人或攻击漏洞相要挟,要求互联网企业支付一定的金钱,则有可能构成敲诈勒索。
赵占领说,“白帽子”了解最多的法律是刑法第二百八十五条、第二百八十六条关于网络安全的规定,但他们常常忽略了即便没有构成刑事犯罪,也有可能触犯治安管理处罚法。
“白帽子”常忽视的,还有侵犯隐私权、知识产权等民事法律风险。朱巍说,“白帽子”使用插件、外挂的方式,或嵌入式的方式,把自己想要的功能加入别人的软件之中达到他们的目的,这可能侵犯了他人的知识产权,严重的还会涉及到知识产权相关刑事责任。
“我们是搞技术的,钻研安全漏洞,我们并不钻研法律漏洞,对法律也是一知半解。”“白帽子”张某坦言,“白帽子”对法律的了解程度不深。不过,对于与互联网企业的沟通模式,张某也有自己的想法。
现有的模式是企业发出授权,然后“白帽子”参与测试。能不能有所变化?张某给出一个模型:“白帽子”在测试前,先向企业发出申请,这个申请带上明确个人信息。当企业认为“白帽子”的测试有问题时,马上联系“白帽子”终止测试。这种模式可以保护“白帽子”的主动参与积极性,同时也给互联网企业保留了主动权。
丁丽萍建议,漏洞披露平台和一些官方的机构合作,在获得授权的情况下进行漏洞挖掘和披露,从而降低法律风险。在授权合作模式下,漏洞披露平台将获得的漏洞信息提交给公安部门,由公安部门介入处理;或提交给国家互联网应急中心,由国家互联网应急中心向对方发出通知,告知对方系统有漏洞以及可能造成大量数据泄露、国家财产或者群众利益的损失等后果。
