针对近日网上流传“白帽社区平台乌云网多名高管被捕”一事。财新记者从多个渠道确认,乌云网近十多名团队成员被警方带走,包括乌云网创始人方小顿。目前,各方尚不清楚乌云网因何出事。
“事情发生得很突然,乌云网的人自己也不知道出了什么事。”一位接近乌云网的知情人士告诉财新记者,“大概一个礼拜前,是下午,乌云网近十多名团队成员被警方带走。乌云网的人说,当时没有什么手续,也没有通知。”
上述知情人士向财新记者透露,乌云网创始人方小顿当天被带走。财新记者多次联系方小顿,未获回复。方小顿的微信朋友圈早已于7月18日停止更新。他在最后一条朋友圈里称,“比天赋更重要的是变强起来的勇气,希望回来能有更好的自己。”当时的他还在朋友圈里推荐乌云的一款产品“唐朝安全巡航”,并配上大笑的表情。
7月8日-9日,方小顿曾在2016年乌云白帽大会上公开露面。当时,他与中科院软件研究所研究员丁丽萍、公安部网络安全专家童瀛等业内知名人士一起探讨系统漏洞披露模式的边界问题。与会人士介绍,当天的方小顿看不出有何异样,情绪也很稳定。
另一位与乌云有合作往来的人士称,当时带走的人里面没有乌云市场负责人邬迪。财新记者试图联系邬迪,但他的电话已处于呼叫转移状态。
7月19日,乌云网已经无法登陆。7月20日凌晨,乌云发布了一则升级公告,称为了更好地向用户提供服务,乌云及相关服务将进行升级。在这则公告里,乌云还称,“我们将在最短的时间内,以最好的姿态回归。”但直至7月28日,乌云仍处宕机状态。
上述与乌云有合作往来的人士向财新记者透露,乌云网并非相关部门封掉了,而是乌云自己的人决定停掉,估计是规避风险。“8月上旬,成都将召开一个有关网络安全的大会,本来是邀请了乌云的人做演讲。现在也取消了。”一位接近乌云的人士称。
一位多年活跃在乌云平台上的白帽对财新记者表示,真实的情况到底是什么很难知道。关心乌云的人基本都在默默地等着,希望乌云赶紧恢复。
事出原因不明引猜测
乌云网出事消息传出后,白帽们及互联网圈内人士纷纷猜测其出事原因。大体有三种说法:一是杭州IT人士袁炜在乌云平台提交了世纪佳缘网站系统漏洞,世纪佳缘按照惯例修复漏洞并致谢乌云网之后,突然以“网站数据被非法窃取”为由报警。之后北京朝阳区人民检察院于2016年4月批捕袁炜。检方已决定对袁炜提起公诉,乌云可能受到牵连。二是乌云平台上的白帽测试了相关政府部门的网络系统,乌云受到牵连。三是7月全国多名艾滋病患者信息被泄漏,乌云因在平台上公布过中疾控疫情网存在系统漏洞受调查。
中国互联网协会信用评价中心法律顾问赵占领分析,乌云网受世纪佳缘事件影响的可能性不太大。按照相关法律,技术人士利用漏洞机会实施犯罪行为,比如获取数据、破坏系统等。这些行为本身不是在平台上发生的,而是发生在平台之外的行为。平台做的只是将漏洞通过图片、文字等形式公布出来,平台的行为也可能是法律问题,但不是犯罪问题。
“平台涉及的法律问题可能包括白帽发布漏洞不实或不准确,平台因对漏洞信息负有审核责任,造成共同侵权。”赵占领认为。
“白帽”社区边界在哪里?
乌云网的定位是一个位于厂商和安全研究者之间“自由平等”的漏洞报告平台,由原百度“80后”高级安全工程师方小顿联合几位同行创办,2010年5月正式上线,核心的运营思路遵循开放和分享的原则。
短短6年间,乌云被业内誉为中国最大的白帽聚集地,2014年大概有近5000名白帽活跃在乌云网上。按照互联网圈普遍定义,白帽是指拥有高超的互联网技术,能够发现网络漏洞或风险点,但并不以此作恶的人。
“白帽发现漏洞,乌云审核通过,会提供给相关公司让其认领并修复。只有在相关公司不认领的情况下,乌云才会在平台上向公众予以公开。”上述多年活跃在乌云平台上的白帽向财新记者介绍,“报告漏洞都是免费的,乌云并不向企业收费,是非营利性的机构。”
按照乌云的流程,一般10天向核心白帽子公开其漏洞细节,20天向普通白帽子公开,30天向实习白帽子公开。直到45天之后,企业仍未主动认领漏洞,则会向公众公开其细节。
一位熟悉乌云运作模式的人士称,从商业盈利的角度,乌云现在也会接受商业公司的委托进行安全测试,譬如乌云的一些产品唐朝安全巡航、安全众测等。但这与白帽主动在乌云平台报告漏洞是完全分开的。
白帽在未经公司允许的情况下是否能主动去测试其系统安全?按照相关法律,测试系统漏洞的行为不违法,就像你去敲敲门发现别人的门没锁立刻告诉别人,是善意提醒。但是,如果发现别人门没锁,进去别人家里则另当别论。
赵占领认为,涉及白帽的犯罪行为主要有三种:一是非法侵入计算机系统罪,但该犯罪行为指的是被入侵对象必须是国家事务或国防系统。一般情况下,如果不是政府网站的话,白帽一般不会涉及;二是非法获取计算机信息数据罪,这个罪名成立需要有三个条件:必须要有入侵或者通过其他方法获取数据,而且情节严重。“情节严重”包括金融机构的金融身份认证信息达到十组以上,其他的身份认证信息达到500组以上,或者是非法控制计算机系统等具体条件;三是操纵、破坏计算机信息系统罪,包括控增加、删除、修改、干扰计算机系统,或者是对数据有相应的删除行为,甚至倒卖数据等。
“这些年,乌云上报的漏洞已经非常多了。如果是有黑客做了啥坏事,那应该是相关部门去查那个黑客,乌云平台辅助配合调查。”上述多年活跃在乌云平台上的白帽说。
====================================分割线================================
本文转自d1net(转载)