中國最大漏洞報告平臺烏云網(wǎng)和漏洞盒子暫停服務(wù)整頓
發(fā)布時間:2016-07-20
發(fā)布作者:睿思設(shè)計
查閱次數(shù):4090次
標(biāo)簽:烏云網(wǎng) 漏洞盒子 漏洞 黑客 白帽子
7月20日凌晨���,中國最大漏洞報告平臺烏云網(wǎng)(WooYun)突然無法訪問。網(wǎng)站公告稱����,烏云及相關(guān)服務(wù)將升級��,并稱將在最短時間內(nèi)回歸��。
漏洞報告平臺烏云網(wǎng)暫時關(guān)閉升級
與此同時��,澎湃新聞發(fā)現(xiàn)�����,7月19日��,企業(yè)級互聯(lián)網(wǎng)測試平臺漏洞盒子宣布����,暫停接受互聯(lián)網(wǎng)漏洞與威脅情報?����!鞍酌弊印焙诳蛨蟾媛┒吹捻撁嬉呀?jīng)無法查看。(編注:在IT界���,“白帽子”指的是正面黑客����,他們發(fā)現(xiàn)系統(tǒng)安全漏洞����,不會惡意去利用,而是公布漏洞��,讓系統(tǒng)所有方提前修補(bǔ)漏洞����。)
烏云網(wǎng)和漏洞盒子均是國家信息安全漏洞共享平臺的合作方(一共3個)。后者是由國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心,聯(lián)合國內(nèi)重要信息系統(tǒng)單位�����、基礎(chǔ)電信運(yùn)營商�����、網(wǎng)絡(luò)安全廠商�、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識庫。
對于這次漏洞報告平臺的關(guān)閉原因�,可以從漏洞盒子管理團(tuán)隊的公告中看出端倪。公告稱:“近期����,漏洞盒子管理團(tuán)隊將對互聯(lián)網(wǎng)漏洞與威脅情報項目中的流程制度、規(guī)范等進(jìn)行梳理�����。在改進(jìn)的過程中����,暫停該項目相關(guān)漏洞與威脅情報接受,新的流程將于近期上線�。相信能夠幫助‘白帽子’與企業(yè)之間建立真正信任的關(guān)系?!?/p>
烏云和漏洞盒子的整治行動,可能與國內(nèi)“白帽子”黑客圈子里關(guān)注度最高的“袁煒事件”有關(guān)聯(lián)���。
被逮捕的“白帽子”黑客袁煒父親的公開信《白帽子檢測漏洞到底是不是犯罪?》內(nèi)文�����。
據(jù)京華時報報道,袁煒是烏云上的一名白帽子��。2015年12月��,他在烏云提交了其發(fā)現(xiàn)的婚戀交友網(wǎng)站世紀(jì)佳緣的系統(tǒng)漏洞�����。在世紀(jì)佳緣確認(rèn)��、修復(fù)了漏洞并按烏云平臺慣例向漏洞提交者致謝后����,事情突然發(fā)生轉(zhuǎn)折。世紀(jì)佳緣在一個多月后以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報警����,4月份,袁煒被司法機(jī)關(guān)逮捕���。在不久前的第四屆網(wǎng)絡(luò)安全大會上,袁煒的父親發(fā)出公開信為兒子鳴冤�����,讓袁煒的遭遇成為網(wǎng)絡(luò)安全圈的熱門事件。
世紀(jì)佳緣CEO吳琳光對此事也高度關(guān)注���,并親自回應(yīng)稱:“在警方披露調(diào)查結(jié)果前�,世紀(jì)佳緣并不了解網(wǎng)站攻擊者與漏洞提交者有何種關(guān)聯(lián)����。世紀(jì)佳緣報警是出于對用戶隱私和公民信息安全的考慮,并不針對任何個人或組織����。”
“袁煒事件”引發(fā)了IT業(yè)內(nèi)關(guān)于“白帽子”黑客行為邊界的大討論�����。
國內(nèi)黑客界教父級人物�����、騰訊玄武實(shí)驗(yàn)室總監(jiān)于旸在微博寫道:“可能很多人不知道:按《刑法》285條第2款及相關(guān)司法解釋���,入侵獲取金融證券系統(tǒng)身份認(rèn)證信息10條以上�、一般系統(tǒng)500條以上,就可以判刑���?����!?/p>
“正邪的分界線也絕沒有那么清晰:'白帽子'在未授權(quán)情況下對某網(wǎng)站或服務(wù)器的滲透測試��,和真正準(zhǔn)備盜取數(shù)據(jù)的黑客所做的準(zhǔn)備工作是一模一樣的�。區(qū)別只在發(fā)現(xiàn)漏洞后的處置上����,是報告給管理者,還是盜走數(shù)據(jù)賣掉����。”軟件從業(yè)人員“蘇莉安”認(rèn)為�����。
相關(guān)人士認(rèn)為���,如果烏云無法為“白帽子”提供相應(yīng)的保護(hù)����、輔導(dǎo)��、支持��、規(guī)范�����、自律等措施�����,“白帽子”黑客被捕之后也沒有提供法律支援等措施�����,那么烏云只是保留作為漏洞報告平臺的工具屬性���,但其社群屬性就被淡化了����。
“如果最終判定構(gòu)成犯罪���,將對整個‘白帽子’群體造成極大的震懾��,沒有‘白帽子’還敢去給網(wǎng)站尋找��、發(fā)現(xiàn)漏洞��,這對于企業(yè)的商業(yè)利益以及用戶的信息安全都是非常不利的�。”長期研究IT行業(yè)的律師趙占領(lǐng)說�����。
國家信息安全漏洞共享平臺的另一合作方——補(bǔ)天漏洞響應(yīng)平臺尚未受到影響�����。截至7月20日凌晨2時��,澎湃新聞還能在網(wǎng)上看到“白帽子”黑客發(fā)現(xiàn)并報告的漏洞��。記者注意到�����,該平臺為奇虎360公司旗下�,并寫有《白帽子行為規(guī)范》��,“對于在補(bǔ)天漏洞響應(yīng)平臺發(fā)布的漏洞�,白帽子需要保證研究漏洞的方法����、方式���、工具及手段的合法性�,補(bǔ)天漏洞響應(yīng)平臺對此不承擔(dān)任何法律責(zé)任�。”
烏云是中國最早的漏洞報告平臺����,成立于2010年5月,主要創(chuàng)始人之一為百度前安全專家方小頓——這位1987年出生的國內(nèi)知名黑客“劍心”���,因在2010年2月和百度創(chuàng)始人兼董事長李彥宏一道參加湖南衛(wèi)視《天天向上》節(jié)目�,因?yàn)榕迅吒枰皇锥鵀槿怂?/p>
烏云網(wǎng)聚集了一群愛好安全技術(shù)的“宅男”��,他們也被稱作“白帽子”黑客��,為計算機(jī)廠商和安全研究者提供技術(shù)上的各種參考以及漏洞bug的修復(fù)��。他們在烏云上分享漏洞,只有得到核實(shí)并已經(jīng)采取防范措施解決問題后才會被公開漏洞詳情�。
如家酒店等開房信息泄露、13萬條鐵路售票網(wǎng)站網(wǎng)站12306用戶數(shù)據(jù)泄露��、騰訊7000萬QQ群用戶數(shù)據(jù)泄露等一系列曾經(jīng)轟動社會的泄漏事件��,均最早在烏云網(wǎng)上由白帽子報告并引起平臺方的重視�����。
對于“白帽子”找到的網(wǎng)絡(luò)安全漏洞���,中國廠商的回應(yīng)并不算熱情��。頂尖“白帽子”黑客團(tuán)隊KEEN負(fù)責(zé)人王琦曾告訴澎湃新聞���,中國廠商有時候會給予酬金,但大多數(shù)時候僅僅表示感謝���。
業(yè)務(wù)專線:15989169178
