世紀佳緣白帽子事件后 黑客又引起了輿論關注

­　　世紀佳緣袁煒事件形成三大陣營

­　　據搜狐科技了解，世紀佳緣袁煒事件發生后，安全圈內部引起了廣泛的討論，并形成了三大陣營。

­　　一大陣營認為，目前絕大多數測試行動都是在沒有得到廠商授權的情況下進行的，因此，以后的所有安全滲透測試，都需要提前得到廠商的授權。但這只是理想狀態，如果廠商不授權，也就意味著白帽黑客的探測，都涉嫌違法犯罪。

­　　另一陣營認為，世紀佳緣的做法屬于“釣魚”，恩將仇報。以后如果再發現相關廠商的漏洞，就不再給其提交，而是轉入黑產，進行拖庫。這種想法明顯是在與相關廠商賭氣，因為如果發現漏洞后進一步獲取更多數據，甚至拖庫、交易數據的行為，已經觸犯刑法285、286條文規定。

­　　再有就是中間派，這一陣營占了大多數。中間派別認為，這一事件中，各方的做法都有欠妥的地方。企業的做法不像是一個公司對付安全漏洞正確的態度，只會讓事情走向反面；黑客測試過程中由于各種原因可能下載了較多的數據，需要相關部門評判；烏云等平臺方一般與企業之間也有商業合作關系，也應該規范白帽子的行為。

­　　在這類事件中，平臺方出于自身的利益，可能也較難處理與廠商的關系。平臺方弱勢的話對自身不利，強勢的話又像是在利用漏洞進行勒索。

­　　但不管如何，各方在這個過程中，不能違法是底線。江蘇省公安廳網安總隊科長、公安部網絡安全專家童瀛就表示，網警在執法過程中，會根據法律規定嚴格執法。白帽黑客也要牢記相關條文中限定的數字，千萬不要跨過這些線。童瀛表示，WEB安全的入門教程比較多，入門門檻較低，安全問題也較多。從以往相關案件的處理情況來看，執行滲透入侵的當事人會是“主犯”，要負責主要責任，因此，白帽黑客在做測試時一定要自律。在突破屏障后，多數人都是有好奇心的，只要越線，就會受到法律的處罰。

­　　行走在法律邊緣需明確邊界

­　　龐大的網絡用戶群體，成為網絡違法犯罪行為的溫床。根據此前騰訊發布的《網絡黑色產業鏈年度報告》顯示，公安部2014年11月公布的網絡犯罪十大典型案例中，僅遼寧網安部門瓦解掉的一個非法入侵韓國網站盜取韓國網民銀行存款的特大團伙，涉案金額折合人民幣就超過了1000萬元。DDoS攻擊已形成了一條高度成熟的黑色產業鏈。騰訊研究院2015年11月對外披露了另一份數據，據稱，在網絡黑色產業鏈中，相關黑產從業人員或已達到38萬余人，涉及6000多個大大小小的黑產團伙。其中，專職于DDoS黑產的人員高達13萬，如果以人均月收入4000元計算，年產值超過100億元。

­　　據搜狐科技了解，在安全測試領域，對于測試行為有各種稱呼，如網絡滲透測試、安全審計、網絡或風險評估等等。而進行測試的工具也多種多樣，絕大多數測試工具在“白帽”黑客手中是發現漏洞并提升業界安全水平的利器，但在“黑帽”或黑產人員手中，卻是獲取個人或企業隱私信息，為已獲利的幫兇。“黑客”到底是白是黑，完全在于一念之間。

­　　一位黑客對搜狐科技透露，世紀佳緣袁煒這一事件，折射出安全行業普遍存在的一個問題，多數從業人員法律意識淡薄。在烏云白帽大會上，搜狐科技從與“黑客”的交流中也感受到，有些黑客在測試或者驗證一些網絡漏洞時，對入侵過程、入侵行為夸夸其談，但從不提及這其中涉及的法律問題。

­　　IT與知識產權律師，中國互聯網協會信用評價中心法律顧問趙占領表示，從法律角度，國家已經為網絡安全行為界定了明確的“邊界”。在從業過程中，需要嚴格按照相關法律法規條文及司法解釋規范自己的行為，在這個“邊界”之內就可以保護自己的權益。

­　　據了解，目前刑法第285條、286條、287條及刑法修正案（9）對網絡安全行為有明確的規定，觸犯這些條文會受到法律的嚴懲。2011年8月，最高人民法院、最高人民檢察院針對刑法285、286條專門發布了司法解釋，以達到“嚴懲危害計算機信息系統安全犯罪，保障互聯網的運行安全與信息安全”的目的。

­　　2015年6月，《中華人民共和國網絡安全法（草案）》發布并公開向社會征集意見，在網絡安全法草案中，對入侵他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動，以及為這些活動提供支持、幫助等行為都進行了禁止。同時，草案也要求網絡運營者要保護用戶數據的安全。

­　　白帽黑客使用檢測工具測試網絡安全的過程中，也可能會涉及到軟件自動緩存的問題。這種情況下，白帽黑客沒有主觀想獲取數據，但程序自動緩存了。從目前的情況來看，相關法律機關可能更傾向于黑客已經獲取了數據。因此，在使用檢測工具前，白帽黑客或安全從業人員要盡可能了解檢測工具的工作原理，測試時要謹慎。

­　　趙占領同時強調，從刑法角度來說，司法解釋明確規定了非法獲取用戶信息的量刑數量，但白帽黑客絕對不要簡單地認為，只要其獲取的數據低于某個數量，其行為就是安全的，可以不受懲處。比如獲取普通用戶身份認證信息不到五百組，雖然不用負刑事責任，但根據后果，當事人可能會受治安管理處罰法第29條的規定，受到相應處罰。

­　　騰訊玄武實驗室總監于旸（TK教主）認為，這個行業游走在法律邊緣是一種情緒化的說法，只有知道了邊界在哪里，才能做到“常在河邊走也不濕鞋”。每個行業都有相應的法律限制，網絡安全從業人員更應搞清楚這些法律條文，才能在從業過程中做到沒有后顧之憂。在行俠仗義的時候，順便調戲婦女，在安全測試的時候，順便拖庫倒賣，都不是英雄和白帽的正確姿勢。