数据价值-DataValues

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 537|回复: 0

正义的黑客--阳光下的白帽子

[复制链接]

1万

主题

1万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
39797
发表于 2017-3-28 11:49:00 | 显示全部楼层 |阅读模式
    个人信息泄露严重,频发的系统漏洞隐患让网络安全问题愈发受到广泛关注,你是否会想这些漏洞到底是谁发现的?
         
       


         
          发现这些安全漏洞,并不是某个人或者某个公司,而是一个被称为“白帽子”的群体。白帽子也属于黑客,但是做的事情和黑客又有些区别,他们是网络世界白与黑的交集。
         
          “黑客”这一词汇来自于英文“Hacker”,泛指擅长IT技术的人群、水平高超的电脑专家,尤其是程序设计人员,简单而言可以理解为“电脑高手”,在我国部分地区也会音译为骇客。
         
          从技术上讲,有时发现漏洞、验证漏洞的过程,与利用漏洞进行破坏的原理并无二致。但重点在于寻找漏洞的初衷以及最终结果。这也是为什么黑客行业中会分化出白帽子、灰帽子、甚至黑帽子这几种称呼。
         
          ■ 白帽子:亦称白帽黑客、白帽子黑客,是指那些专门研究或者从事网络、计算机技术防御的人,他们通常受雇于各大公司,是维护世界网络、计算机安全的主要力量。很多白帽还受雇于公司,对产品进行模拟黑客攻击,以检测产品的可靠性。
         
          ■ 灰帽子:亦称灰帽黑客、灰帽子黑客,是指那些懂得技术防御原理,并且有实力突破这些防御的黑客——虽然一般情况下他们不会这样去做。与白帽和黑帽不同的是,尽管他们的技术实力往往要超过绝大部分白帽和黑帽,但灰帽通常并不受雇于那些大型企业,他们往往将黑客行为作为一种业余爱好或者是义务来做,希望通过他们的黑客行为来警告一些网络或者系统漏洞,以达到警示别人的目的,因此,他们的行为没有丝毫恶意。
         
          ■ 黑帽子:亦称黑帽黑客、黑帽子黑客,他们专门研究病毒木马、研究操作系统,寻找漏洞,并且以个人意志为出发点,攻击网络或者计算机。(以上资料来自知乎姜鑫)
         
          实践中,“白帽子”(也称“道德黑客”)向一些互联网平台或者软件制造商反馈、发布安全漏洞,敦促其修复完善相关漏洞的行为时有发生。
         
       


       
         
          白帽子一般通过以下四种方式提交漏洞:通过自己去联系网站管理人员提交;通过国家信息安全漏洞共享平台提交;通过官方的漏洞平台;通过第三方漏洞提交平台。
         
          飞速发展的互联网信息技术全面融入社会生产生活,深刻改变着全球经济格局、利益格局、安全格局,但同时也带来了纷繁复杂的社会治理和法律问题,如何界定白帽子行为也成为了目前信息安全行业一个亟待解决的问题。
         
          我们常听到的说“一念成魔,一念成佛”。“黑”与“白”的界定很多时候也需要从业者自身对道德和底线的把控,而如何在法律层面界定“白帽子”,对于“白帽子”挖掘漏洞过程中获取的个人信息及商业数据如何加强保护等问题,司法实务中对相关问题的处理方式也不尽一致。
         
          “白帽子”的法律定性
         
          “肯定‘白帽子’行为的观点实际上反映了一种目的论的定性思路,但这并不符合现行立法精神。”北京大学法学院教授杨明认为,我国关于网络安全管理的一系列法律法规,包括网络安全法、全国人大常委会《关于维护互联网安全的决定》、国务院《计算机信息系统安全保护条例》等,对非法侵入计算机信息系统行为采取的都是“客观行为”的规制思路。遵循规范法学的解释方法,“白帽子”行为显然已非法侵入计算机信息系统、违反了前述之诸多法律法规。
         
          武汉大学法学院教授、博士生导师皮勇赞同这一观点。他提出,在刑事法层面,“白帽子”所实施的行为,符合刑法第285条第2款规定的非法获取计算机信息系统数据罪的构成要件,属于非法获取计算机信息系统数据的行为,可根据具体案情作出是否构罪处理。
         
          在“白帽子”行为的犯罪认定原则上,北京师范大学刑事法律科学研究院暨法学院副教授吴沈括认为,鉴于典型“白帽子”行为的相对有益性以及罪刑法定之精神,目前对于“白帽子”行为的犯罪化处理需要付诸更高水平的审慎考量,在司法裁量过程中坚持以事实为依据,以法律为准绳,在深入分析具体案件的事实和技术特质的基础上,尽力确保非直接刑事规范的精确运用。而对于“白帽子”自身的行为准则和风险防范而言,一是需要在主观上始终秉持善意利用的技术精神,坚决摒弃恶意侵害的不良意图;二是应当主动掌握和遵循现行法律规范所划定的行为红线。
         
          “挖掘”漏洞的性质界定
         
          与出售安全漏洞、盗取他人信息的网络黑客不同,“白帽子”只是挖掘漏洞,并不恶意去利用,但其行为往往并未得到相关企业的授权。这种情况下,应将“白帽子”挖掘漏洞的行为认定为“善意侵入”,还是刑法意义上的“非法侵入”,尚需要理论和实务层面统一界定标准。
         
          杨明认为,对“白帽子”挖掘漏洞的性质界定,关键在于如何认定“非法侵入”。而对刑法意义上的“非法侵入”界定,吴沈括主张有必要在实在法规范层面准确领会刑事立法者对于特定法益保护的基本立场。具体而言,一方面,立法对于某些特定的信息网络系统秉持着严格保护的立场,尤其是刑法第285条明文规定应当通过刑罚惩处“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统”的行为。对此,行为人侵入系统时主观意图的正当善恶与否,并不会在根本上影响其客观行为的刑法评价,这是“白帽子”应当严肃对待的“第一条行为红线”。
         
          另一方面,对于侵入上述三类信息系统以外的其他信息系统,立法则提高了刑事处罚门槛、限缩了刑事责任范围。作为主要的规范依据,刑法第285条第2款在“侵入”这一基础性要素之外,还明确要求行为应同时符合“非法获取(数据)”或者“非法控制(系统)”等要素并且“情节严重”,才能以非法获取计算机信息系统数据罪或者非法控制计算机信息系统罪予以刑事处罚,这是“白帽子”应当高度注意的“第二条行为红线”。
         
          除了坚持立法解释原则外,北京市朝阳区检察院检察官王爱强认为,判断“挖掘”漏洞的性质还需要判断行为人的主观心理。如果“白帽子”是单纯进行漏洞检测,根据刑法谦抑性原则,无须刑事司法进行调节;如果“白帽子”在发现漏洞后,超过了检测漏洞的必要,就不再具有善意,应认定为刑法意义上的“非法侵入”。
         
          “获取”“发布”漏洞的危险性分析
         
          互联网漏洞检测中,“白帽子”通常会使用和网络黑客相同的软件获取被检测企业的信息,其获取的信息往往远超漏洞测试的合理范畴,漏洞平台一般会公开发布被检测企业的漏洞信息,进而与被检测企业产生争议。“白帽子”和漏洞平台的上述行为是否具有社会危害性?漏洞平台是否有权公布被检测企业的安全漏洞?
         
          皮勇认为,“白帽子”获取漏洞信息和漏洞平台公布漏洞信息的行为具有社会危害性,漏洞平台无权公布漏洞信息,特别是不能以营利或者出于商业目的进行公布。吴沈括则主张,在评判其行为的社会危害性时应坚持相对严格的立场,秉持风险防控也即底线或者红线思维,而不是传统的管制型价值判断思维。一方面,“白帽子”应自觉树立防控风险的审慎意识,以严格必要为限,最大限度地缩小“查漏(漏洞)”过程中获取的各类信息范围;另一方面,应按照刑法有关特殊信息的保护规范,有区别地判定其行为的社会危害性,为“白帽子”划定更为具体、更具可操作性的行为红线。
         
          皮勇建议,先从行政立法入手,规范信息网络系统的安全检测和通知行为,待理论研究和实践总结成熟后,将其中无法适用现有刑法规定的严重危害社会的行为予以犯罪化处置,设立新的罪名或者完善相关司法解释规定。(以上材料来自检察日报)
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|Archiver|手机版|DataValues ( 赣ICP备16006919号-3 点击这里给我发消息 DataValues

GMT+8, 2019-2-17 14:36 , Processed in 0.125350 second(s), 34 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表