下载掌阅APP,畅读海量书库
立即打开
据《南方周末》报道,包括创始人方小顿在内的乌云网数名团队成员2016年7月19日被警方带走。7月20日上午,乌云网无法访问,其后乌云网发公告称,官方正在进行升级。国内另一漏洞报告平台——漏洞盒子也在同日宣布,暂停接受互联网漏洞与威胁情报。这意味着国内两大知名漏洞报告平台先后进入“暂停”状态。
乌云网是国内最早以猎捕大型互联网公司漏洞而闻名的非营利性社区,是国内最大的白帽子聚集地和漏洞披露平台。
白帽这一群体合法性的讨论随着乌云网的关停一起被推上了舆论的风口浪尖,褒贬不一。但有一个共识是,乌云网的危机不是整个安全行业的危机,但是会推动敏感的白帽子群体甚至整个安全行业逐步走向合法和规范。
2016年9月13日,多个自媒体号称,阿里巴巴公司的4名工程师在阿里内部的月饼销售过程中,利用系统漏洞采取技术手段作弊,多刷了124盒月饼。阿里巴巴公司认为工程师的行为造成了福利分配不公正,并存在获利意图,因此开除了4人。因为作弊抢了月饼被开除,让网友为4个工程师感到十分惋惜。
1.漏洞是一种 “ 武器 ”
所谓百密一疏,不管是软件还是硬件,都或多或少存在漏洞,可以说漏洞伴随着信息系统的产生而存在。漏洞有的来自于软件或系统设计时的缺陷,或者是编码问题,也可能是配置或使用过程中的错误。从著名的冲击波病毒到震网病毒,无一不是通过软件或系统的漏洞来实现的。
漏洞是网络攻击者最有力的工具,利用未公开的漏洞,攻击者不仅可以窃取数据信息,影响正常服务,还可以造成经济损失和其他重大后果。从更高层面来说,漏洞甚至可以成为网络战的重要武器,对重要信息系统产生严重威胁。
2010年震惊网络的震网病毒,首次让世人见识到利用信息系统攻击能源基础设施的威力,该病毒就利用了Windows操作系统的4个未被发现的漏洞,以及西门子公司工业控制系统中的漏洞。
2014年7月,美国《时代》周刊发表题为《零世界大战——黑客如何窃取你的秘密》的封面文章,作者列夫·格罗斯曼称,网络战不是未来,而是已经存在,战利品是信息,而漏洞是武器,黑客则是军火商。
而对漏洞的管理和修复能力,也从一个方面代表了一个国家的网络防御能力。2014年4月7日,OpenSSL软件严重漏洞“心脏出血”爆出,因为OpenSSL是目前互联网上应用最广泛的安全传输方法,其影响范围前所未有,不仅是网站,重要信息系统和网络服务也受到影响。知道创宇的ZoomEye对全球网络空间的漏洞修复态势做了调查,发现中国的修复率低于全球平均水平,说明我国的应急响应能力和整体的安全防御能力仍需要大力加强。
随着利益的驱动,法规的滞后,漏洞交易正在成为一种常态。
尽管各级机构努力利用自身在政策、技术和经济方面的优势,对所搜集的漏洞资源进行掌控,但管理机构不可能掌握并网罗所有的漏洞信息和漏洞挖掘者。民间的一些技术高手往往将所发现的漏洞通过地下方式进行交易,获取可观的利润。
2015年初,网络上出现了一个名为“真正交易”(The Real Deal)的黑市,它的主要业务是向黑客兜售零日漏洞利用工具。上架的商品包括了从入侵苹果iCloud账户的方法到Windows的系统漏洞。“真正交易”使用Tor匿名技术加密连接,使用比特币交易,以隐藏买家、卖家和管理员的身份,从而吸引黑客售卖零日漏洞、源代码,甚至提供黑客雇佣服务。
2015年11月,零日漏洞中间商Zerodium公司公布了一份不同类型“数字化入侵技术与软件目标”的漏洞报价的清单,如图2-7所示。
在图2-7所示的这份清单中,列出了面向数十种不同应用程序及操作系统的具体黑客攻击方法,每一项都提供极为详细的实现方式及对应的漏洞报价。清单中包括本地特权逃逸(LPE)、缓解旁路(MTB)、远程代码执行(RCE)、远程越狱(RJB)、沙箱逃逸(SBE)和虚拟机逃逸(VME)6种漏洞攻击方式,交易价格从5000美元到50万美元,其中Apple iOS、Android和Adobe漏洞价格最高。
在漏洞交易中,甚至还有一些安全公司参与其中,将所发现和搜集的漏洞出售给“信任”的国家或组织。
图2-7 Zerodium公司公布的漏洞报价清单
来源:https://www.zerodium.com/program.html
随着漏洞交易市场日益完善,市场中流通的高危漏洞大量增加,其所造成的危害也日益严重。这种情况在国内也渐成规模,对此所带来的问题必须认真对待。
【案例2-1】中乌云网等白帽子网站被关停引发了业界两派观点针锋相对。已经习惯目前局面的“白帽”们认为,我们好心帮厂商发现漏洞,很多时候没有回报,厂商居然不顾道义,还来控告我们;另有一些人认为,现在很多“白帽”打着善意的旗号,未经许可就对网站进行攻击渗透,发现漏洞又公之于众,给厂商造成了很大困扰,明显触犯了法律,该管一管了。
从“潜规则”层面来说,“白帽”去发现厂商漏洞,并通知厂商,获得感谢或礼物,自身实力获得认可,业界口碑提升,厂商则及时封堵漏洞,双方皆大欢喜。这种情况是近年来厂商和“白帽”间的一种默认状态,也是安全应急响应中心(Security Response Center,SRC)运作的一种常态。
法律专家指出,按照法律规定,如果没有得到厂商的授权,或者厂商没有和相关漏洞平台签订协议,“白帽”们的行为实则是在法律边缘走钢丝。我国刑法第二百八十五条、第二百八十六条,关于恶意利用计算机犯罪、非法获取计算机信息系统数据或者非法控制计算机信息系统等条文,以及相关的司法解释,已经明确指出了此类行为的界定和处罚标准。
而且“白帽”对网站进行测试的过程中,还需要把握好尺度,必须在事先协商的边界内。有时“白帽”为了验证漏洞的有效性,有意无意地“越界”,触动了厂商最关键的资产——数据信息。这也正是乌云网被关停的主要理由。
此次事件该如何解决,如何保持业界这种微妙的平衡,给善意的“白帽”们留出发挥的空间,十分考验管理层面的智慧。如果将“白帽”们悉数封杀,那么以后发现的漏洞很可能不会再出现在漏洞平台上,甚至不再通知厂商,而转成了地下交易,将给整个业界带来更大的隐患和危害;但如果个别“白帽”这种先斩后奏的局面成为常态,没有法律的红线作为保障,其中的浑水摸鱼者将给业界秩序的正常化、产业的安全感带来更大的混乱。
漏洞的发现和修复就像一场此起彼伏的战争,永无完结之时。未来的信息社会所能提供的服务越多,相应的漏洞也就越多。漏洞威胁的不仅仅是个人信息和财产、企业数据和信誉,也关系到国家重要信息系统和基础设施的安全。
人们希望有一个安全的网络空间,但实际上却生活在一个“漏洞百出”的信息世界里。不管是讲道义还是讲法律,对漏洞的有效管控已经是势在必行。漏洞的发现和报告机制、漏洞的交易、漏洞的利用都应该有着法律的界限,相应的管理也需要与时俱进。
国外政府高度重视对漏洞资源的管控,通过建立完善的国家漏洞管理体系,将漏洞资源纳入国家管控机制。
2006年,美国政府建立了美国国家漏洞库(National Vulnerability Database,NVD),由国土安全部研究部署并提供建设资金,由美国国家标准与技术研究院负责技术开发和运维管理。同时,美国通过网络安全立法,加强对漏洞的监管。美国于2015年出台了《瓦森纳协定》(Wassenaar Arrangement)的补充协定和《网络空间安全信息共享法》,作为针对未公开漏洞的出口限制禁令,以及企业间共享网络安全信息的法律保障。补充协定将未公开的软件漏洞(即零日漏洞)视为潜在的武器进行限制和监管,把黑客技术放入全球武器贸易条约出口限制的范围内,在未经特别许可的情况下,禁止在美国、英国、加拿大、澳大利亚和新西兰等国之外销售零日漏洞及其相关产品。但是,依据现行的《网络空间安全国家战略》,美国政府可通过美国国家漏洞库(NVD)面向全球收集漏洞,全球主要软硬件厂商的产品漏洞都在美国国家漏洞库的掌握之中。通过“出口限制禁令”的“堵”和多部门对漏洞的“收”,美国正在增强对全球漏洞的掌控。
我国政府也高度重视对信息安全漏洞的管控,通过政策法规和专业机构,形成了一套管控体系。例如,我国于2017年6月1日起施行的《网络安全法》中,第25条、26条、60条、62条,可以视为官方目前针对漏洞管理和利用的诸多问题而初步做出的政策表态;中国信息安全测评中心负责建设运维的国家级漏洞资源管理平台CNNVD已于2009年10月18日正式上线运行,对外提供漏洞分析和通报服务,经过多年发展建设,CNNVD通过社会提交、协作共享、网络搜集及技术检测等方式,已积累信息技术产品漏洞8万余条,信息系统相关漏洞4万余条,相关补丁和修复措施2万余条,初步形成了信息安全漏洞的资源汇聚和处置管理能力。
为了应对日益增加的漏洞,增加自身产品和服务的安全性,许多厂商纷纷成立安全应急响应部门(SRC),向社会收录旗下相关产品及业务的安全漏洞和威胁信息,并在第一时间进行处置,及时消除安全隐患。各厂商应急响应部门的迅速建立和发展,打通了厂商与“白帽”之间的正规渠道,相应的奖励也使得更多的“白帽”关注并协助厂商发现漏洞与风险,很大程度上提高了厂商的信息安全程度。可以说,应急响应部门的建立降低了厂商发现和修复漏洞的成本,提高了“白帽”群体的收入,使得厂商和“白帽”实现了双赢,而最终获益的还是广大消费者。
图2-8所示为本书统计的部分全球著名漏洞信息平台。
图2-8 部分全球著名漏洞信息平台