最近网安圈有白帽子频繁以个人名义披露各家厂商的安全漏洞,着实为各家厂商以及安全从业人员敲响了警钟。反观整个事件,我们换个角度,漏洞真的是以个人或者组织名义想报就能报的吗?今天小编也借这个机会,和各位来共同探讨下这个问题。
先抛出我们的观点,不管是个人还是组织,如果找到了哪家安全厂商的产品漏洞,不论是从维护整个网络安全产业秩序的角度出发,还是从个人保护自己的角度出发,都建议大家按照《网络安全漏洞管理规定》,依法披露漏洞。
从维护整个网络安全产业秩序,共建和谐社会的角度来看。安全产品需要维护,不断更新和迭代以适应不断变化的网络安全环境。技术的发展使得安全攻防随之升级,这个过程难免会发现漏洞。一般而言,厂商在知道了自己有漏洞的前提下,一定会第一时间组织力量修复漏洞,维护用户安全。试想下如果在没有通知 CNVD 和厂商的角度下,私自暴露漏洞,黑客可能会第一时间利用漏洞进行对用户的攻击,给用户和整个社会直接带来损失。这个一定是我们不想看到的。
从保护个人的角度,在未通知厂商的前提下披露漏洞的行为,本身就已经违反了《网络安全漏洞管理规定(征求意见稿)》,笔者了解到,其实多部委一直在共同协商,不断完善相关法律条款,管理这类行为。由于漏洞披露导致了部分用户被黑客攻击,进而造成用户的巨大损失,漏洞的违法披露者是难辞其咎的。所以建议广大的白帽还是要学会保护自己,依法披露漏洞。
网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显出法律规定的灰色地带。同时,国内外不同主体基于不同动机和利益驱动,开展了广泛的网络安全漏洞披露实践,并已经引发各方对不利法律后果的反思。
Q1:最近关于漏洞披露问题讨论很多,关于漏洞相关的披露机制是怎样的?
A1:一般情况下,当发现一个漏洞之后,可以先上报国家信息安全漏洞共享平台 CNVD(China National Vulnerability Database,),CNVD 通知厂商需要在 90/10 天内修复,厂商采取漏洞修补或防范措施后再予以公开,这样能最大程度的保护用户的安全,同时促进整个行业有序发展。如果发现漏洞而没有上报 CNVD,而是直接披露,这是有一定风险和隐患的。
Q2:漏洞披露有哪几种类型,原则是什么?
A2:常见的披露类型主要有不披露、完全披露、负责任的披露和协同披露四种。
漏洞被发现后,就进入了漏洞披露阶段。漏洞发现者有可能不披露漏洞,对安全漏洞的相关信息完全保密,既不报送给厂商,又不向公众公开这就是不披露。与此相反,漏洞发现者也可能公开完全披露相关的漏洞信息,未事先对厂商进行告警,厂商没有充分的时间修复漏洞,漏洞信息也直接暴露给了潜在的恶意攻击者,这就是完全披露,也被称作不负责任的披露。
漏洞发现者先报送漏洞,待厂商修复漏洞后,厂商再公告相关漏洞信息并发布补丁,这就是负责人的披露。当然,实践过程中漏洞发现者和厂商也可能存在争议。在负责任披露的基础上,引入了协调者,协调者通常在各方利益相关者之间扮演信息传达或信息经纪人的角色,这就是协同披露。
原则上,一般采用的是负责任的披露。协同披露强调漏洞信息的共享,各方的协同合作,更为有利于保护网络安全。
Q3:漏洞披露违规存在什么样的风险?
A3:首先是用户安全风险。
违规披露漏洞,会导致漏洞传播。许多知名的开放社区都是零门槛的,很多黑客也埋伏在其中,这就导致了漏洞被公开后的一段时间内容黑客活动激增。在厂商发布漏洞补丁和用户更新之前,这样的安全风险是难以把控的。一个著名的例子就是 Mirai 僵尸网络,该僵尸网络在 2016 年攻击了美国的物联网设备,使美国多个城市的互联网瘫痪。实际上最初,它是用于对 Telnet 的嵌入式监听设备进行暴力攻击。后来,Mirai 源代码被发布到开源社区,产生了模仿版本,用于对通过 SecureShell(SSH) 的监听硬件进行暴力攻击。直到今年,Mirai 变体仍然对嵌入式 Linux 系统构成持续不断的威胁。
其次是法律风险。安全从业人员违规披露漏洞,不仅破坏了行业规则,也给自己带来了法律风险。《中华人民共和国网络安全法》规定,开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。根据《网络安全漏洞管理规定(征求意见稿)》的规定,第三方组织或者个人不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息,不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具。2017 年,网易 SRC 指责白帽子违反漏洞测试原则,在未经网易及 NSRC 授权的情况下,擅自公开披露漏洞细节,让广大网易产品用户置于潜在的风险中,强调违刑必究。
Q4:漏洞披露者如何避免法律风险?
A4:需要遵守相关法律法规,按照规范化流程进行。
一般是先上报 CNVD,CNVD 通知厂商在 90/10 天内修复,再对漏洞进行披露。漏洞的报送和披露,国内基本形成国家安全漏洞库,第三方漏洞平台和企业 SRC 或 PSIRT 并存的结构。像这次事件的深信服,对漏洞检测也是持开放态度,国内不少企业机构都对漏洞发现者予以奖励。
网络安全漏洞披露集结了政府部门、产品和服务提供者、第三方研究机构、网络安全服务机构、用户、黑客或「白帽子」等多方利益相关者及其协调关系,所有利益相关者均应肩负起应有的法律责任,共同推动网络社会的有序运行。
互联网空间始终不是法外之地,尤其是当我们进入万物互联时代,任何举措都可能对用户、企业、市场造成影响。所以这也要求每一个人,遵守规则,尊重法律法规,共同维护网络空间的安全和谐。未来,我们也希望,随着法律、法规的进一步健全,随着网络安全市场的成熟,代表网络正义的「白帽子」们,也将发挥更大的力量。