本篇文章1401字,读完约4分钟
Wuyun.com不能正常登录。其网站是7月20日发布的通知,称“为了更好地为大家提供服务,五云及相关服务将进行升级。”公告还强调“相信乌云总比听信谣言好。”
吴云的关门。引起了广泛的讨论,并把“白帽子”小组带到了公众面前。自诞生以来,私有网络漏洞挖掘平台一直行走在灰色地带,因此备受争议。
早在今年年初,“白帽子”魏源就因在Wuyun.com嘉园钻了空子而被警方刑事拘留,并于4月12日被警方逮捕。
“对于‘白帽子’的身份,我认为要给出一个正确的说法,我们不能隐瞒它。”近日,交通大学信息安全法律研究中心主任马在第四届中国互联网安全大会网络安全与法治论坛上说。
尴尬的“白帽子”
北京邮电大学互联网治理与法律研究中心常务副主任谢永江在论坛上强调,网络漏洞的披露有两个方面,一是可能引发网络攻击,二是有助于防范网络攻击。
“是否被所有存在漏洞的企业授权,可能是侵犯‘白帽子’平台的最重要的法律依据。”谢永江说道。
在这方面,他建议尽快出台关于网络脆弱性挖掘和披露的规则,以便与网络脆弱性相关的平台和平台上的"白帽子"能够知道它们的界限在哪里。
目前,我国的“白帽子”黑客还没有形成一个系统的法律体系,而是散见于一些法律、法规和部门规章中,包括《保守国家秘密法》、《治安处罚法》、《刑法》等。和仍在第二次审查中的网络安全法。
公安部第三研究所网络安全法律研究中心主任黄道立表示,目前我国法律对安全漏洞的挖掘、报告、交易和利用缺乏直接规定,主要针对未经授权的访问行为规定了一些接受条款,没有涉及安全漏洞、“白帽子”和平台等新概念。同时,对脆弱性挖掘行为也缺乏积极的规范性指导。
“如果我们分析现有的刑法和治安处罚法,‘白帽子’漏洞挖掘行为很容易突破法律界限,对企业发展和安全保障产生一定的负面影响。”她说。
在1998年的数字千年版权法中,美国对未经授权的访问有明确的规定。从2001年建立网络犯罪法律规定到2013年建立明确的网络攻击法规,欧盟网络漏洞挖掘法律体系日趋完善。
黄道里建议,国内法律应界定关键基础设施的内涵和外延,确定相关主体的概念和法律地位,对白帽的身份和法律平台的法律地位给予一定的确定性,规范白帽的权利和义务,明确一些钻法律漏洞的免责条件。
"法律应该通过适当的措施将白帽子和平台真正融入安全行业."她说。
“白帽子”人才短缺
在论坛上,国家互联网应急中心运行部副主任闫透露,自2009年以来,中国已经建立了许多漏洞报告平台。Cnvd是在国家一级建立的。从2011年到2016年,收集的漏洞数量增加了一倍,著名的民间漏洞收集平台如补天平台、黑云和漏洞箱收集的漏洞数量也增加了一倍。
然而,目前中国还没有系统的“白帽子”黑客培训计划。自2000年起,韩国开始选拔人才到相关学校学习深造。
在论坛上,韩国中华人民共和国最高人民检察院网络的检察官和调查员朱品焕介绍说,韩国甚至有中学生少年攻击防御比赛,大学可以直接招收少年黑客在防御比赛中获胜。此外,进入国防大学相关专业,全年学费优惠,并提供生活补贴。
“民间漏洞挖掘平台上‘白帽子’黑客的增长证明了他们的能力。我们应该为“白帽子”的成长提供更顺畅的渠道,给予法律保护和政策支持。”马胡敏说道。
中国互联网学会学术部秘书长胡刚表示,由于信息网络环境中漏洞是不可避免的,我们应该大胆地拥抱漏洞,欢迎它们,并以更加开放和包容的态度对待它们。