前不久，一名白帽子因在第三方漏洞平臺(tái)提交世紀(jì)佳緣網(wǎng)漏洞涉案一事，在業(yè)內(nèi)引起軒然大波，各方面相關(guān)人士對(duì)事件的看法不盡相同，爭(zhēng)議四起。

在近日舉行的烏云白帽大會(huì)上，包括法律、安全、公安、互聯(lián)網(wǎng)公司、電子取證、漏洞收集平臺(tái)、白帽子、媒體等8位不同領(lǐng)域的專家就世紀(jì)佳緣事件涉及的相關(guān)法律問題進(jìn)行了深入探討?，F(xiàn)將此次討論的內(nèi)容編輯整理如下：

論壇主持：安全牛主編李少鵬

論壇嘉賓：

電子取證專家——中科院軟件研究所研究員，中國(guó)電子學(xué)會(huì)計(jì)算機(jī)取證專委會(huì)主任委員，公安部三局特聘專家丁麗萍;

公安網(wǎng)監(jiān)——江蘇省公安廳網(wǎng)安總隊(duì)科長(zhǎng)，公安部網(wǎng)絡(luò)安全專家童瀛;

漏洞研究大牛——騰訊玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸(TK);

漏洞平臺(tái)——烏云創(chuàng)始人方小頓(劍心);

法律專家——知名 IT 與知識(shí)產(chǎn)權(quán)律師，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)信用評(píng)價(jià)中心法律顧問趙占領(lǐng);

互聯(lián)網(wǎng)公司代表——某知名互聯(lián)網(wǎng)公司CSO陳洋;

白帽子——烏云核心白帽子張瑞東(only_guest)。

 

[[168787]]

 

左起：丁麗萍、童瀛、于旸、方小頓、趙占領(lǐng)、陳洋、李少鵬、張瑞東

李少鵬(以下簡(jiǎn)稱“李”)：之前的世紀(jì)佳緣事件，相信大家都很了解了，這件事情的結(jié)果最終將由警方和司法機(jī)關(guān)最終判定。我們今天更想討論的是，如何規(guī)范白帽子的漏洞測(cè)試行為?漏洞測(cè)試的法律邊界又在哪里?

 

[[168788]]李少鵬

 

希望在座的各位代表和專家，能為白帽子們指出比較實(shí)際的邊界，在做安全測(cè)試的同時(shí)，提升對(duì)相關(guān)法律的認(rèn)識(shí)，保護(hù)好自身，并更好的進(jìn)行漏洞測(cè)試這項(xiàng)工作，為互聯(lián)網(wǎng)安全做出更大的貢獻(xiàn)。

一、企業(yè)感謝白帽子的貢獻(xiàn) 但行為要規(guī)范

陳洋(以下簡(jiǎn)稱“陳”)：我從互聯(lián)網(wǎng)公司，也就是從廠商這個(gè)角度來談一下這個(gè)問題。

 

[[168789]]陳洋

 

首先廠商有很重要的職責(zé)，就是要保護(hù)好我們用戶數(shù)據(jù)的安全。保護(hù)數(shù)據(jù)一方面要求廠商自己的努力去不斷地發(fā)現(xiàn)并解決問題，另一方面白帽子也為此做出了很多貢獻(xiàn)，幫助我們發(fā)現(xiàn)了很多自己很難發(fā)現(xiàn)的盲點(diǎn)，并且提升了大部分廠商對(duì)安全的重視程度。如果沒有這么多白帽子辛勤的付出，可能現(xiàn)在互聯(lián)網(wǎng)整體的安全狀況會(huì)比現(xiàn)在落后若干年，可能大家看到的就不是現(xiàn)在的這個(gè)樣子，可能有更多的個(gè)人信息和數(shù)據(jù)在網(wǎng)上流傳。

但從另外一個(gè)角度講，廠商也比較害怕這些白帽子。一些很好的、善意的測(cè)試我們都非常的歡迎，因?yàn)樗麄兡軌驇臀覀兺晟瓢踩w系。但是有時(shí)候可能有一些經(jīng)意或者不經(jīng)意的一些行為，可能會(huì)導(dǎo)致數(shù)據(jù)的破壞。甚至還有一些打著白帽子旗號(hào)的人拖庫(kù)，拖完庫(kù)還到處去賣，做一些不好的事情。這個(gè)時(shí)候從廠商來講，我們也必須要為自己的用戶負(fù)責(zé)，所以發(fā)生這種情況的時(shí)候我們可能需要考慮一些其它的途徑。

總體來講，我們還是希望廠商跟白帽子可以達(dá)成一個(gè)共同促進(jìn)的關(guān)系，白帽子一方面幫助廠商提高安全能力，另外一方面廠商也可以給白帽子一些物質(zhì)方面的獎(jiǎng)勵(lì)和一些精神方面的支持。當(dāng)然，也可以共同推進(jìn)一些安全標(biāo)準(zhǔn)方面的內(nèi)容。

李：也就是說從互聯(lián)網(wǎng)公司或者廠商的角度來看，還是挺希望白帽子幫忙做這些事情的。態(tài)度也是積極的。只不過一些不良行為，要去規(guī)范。

陳：對(duì)，只要不去觸碰用戶的數(shù)據(jù)，幫我們指出我們的安全問題，我們是很歡迎的。但是如果你對(duì)用戶的數(shù)據(jù)有接觸行為，這個(gè)時(shí)候可能就觸碰了那條底線。

二、漏洞測(cè)試的界線在哪里?

李：好的，下面有請(qǐng)趙律師，從法律的角度來談一談這個(gè)事情。

趙占領(lǐng)(以下簡(jiǎn)稱“趙”)：這個(gè)案子，因?yàn)榫唧w的情況也不是非常的清楚，而現(xiàn)在也已經(jīng)進(jìn)入法律程序，所以我這里更多是談一些共性的問題，特別是白帽子的滲透測(cè)試，這個(gè)事情法律的邊界到底在哪里。

 

[[168790]]趙占領(lǐng)

 

我給大家做一個(gè)簡(jiǎn)單的介紹，這塊可能涉及到刑法的幾個(gè)罪名。一個(gè)是非法侵入計(jì)算機(jī)系統(tǒng)罪，這個(gè)是有要求的，被入侵對(duì)象必須是國(guó)家事務(wù)或國(guó)防系統(tǒng)。但一般情況下，如果不是政府網(wǎng)站的話，這個(gè)白帽子一般不會(huì)涉及。

第二個(gè)，非法獲取計(jì)算機(jī)信息數(shù)據(jù)罪，這個(gè)罪名成立需要有三個(gè)條件。第一是必須要有入侵，通過其他方法獲取數(shù)據(jù)，而且情節(jié)嚴(yán)重。這個(gè)“情節(jié)嚴(yán)重”也是有具體規(guī)定，包括幾種情況，一種是金融機(jī)構(gòu)的金融身份認(rèn)證信息，是在十組以上，其他的身份認(rèn)證信息是在500組以上;或者是非法控制計(jì)算機(jī)系統(tǒng)，這個(gè)前提是要有控制行為存在，20臺(tái)以上;還有一個(gè)是造成經(jīng)濟(jì)損失的，具體有一個(gè)數(shù)額。

還有一個(gè)就是破壞計(jì)算機(jī)信息系統(tǒng)罪，這個(gè)要有幾種行為，一個(gè)是對(duì)于計(jì)算機(jī)的程序有增加、刪除、修改、干擾，或者是對(duì)數(shù)據(jù)有相應(yīng)的刪除行為。

最后一個(gè)是使用或者傳播計(jì)算機(jī)病毒等破壞性程序，并造成影響。當(dāng)然有些走的更遠(yuǎn)，可能涉及到獲取之后再把數(shù)據(jù)倒賣出去，那是其他的罪名，而且這個(gè)是明確違法的行為。

像今天這個(gè)我們現(xiàn)在關(guān)注的案例，主要涉及到非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)。這里面白帽子在安全檢測(cè)的時(shí)候，其邊界是比較有原則性的。具體怎么操作，這個(gè)邊界在哪兒?

我個(gè)人的理解，首先有入侵的問題，只是入侵而不符合其他兩個(gè)條件的話，這種可能現(xiàn)在還不是一個(gè)犯罪，不屬于違法行為，不屬于治安管理處罰法。但現(xiàn)在正在修訂的網(wǎng)絡(luò)安全法草案，里面對(duì)這個(gè)則有新的規(guī)定，即使你沒有造成危害，也不符合刑法285規(guī)定的三個(gè)條件，有可能也違反了網(wǎng)絡(luò)安全法，雖然現(xiàn)在這個(gè)只是草案。所以這是一個(gè)要注意的一個(gè)地方。

另外在入侵之后，獲取數(shù)據(jù)這方面，實(shí)際上需要重點(diǎn)把握的是身份認(rèn)證信息。無論是金融機(jī)構(gòu)的，還是其他系統(tǒng)的，都是指這個(gè)。所謂身份認(rèn)證信息，包括帳號(hào)、密碼、口令、數(shù)字證書等。但是我們可能在檢測(cè)過程中，在觸碰這個(gè)信息之前，可能不清楚這個(gè)數(shù)據(jù)到底它是不是身份認(rèn)證信息，可能只有你接觸之后才能判斷。但是一旦接觸之后，違法的風(fēng)險(xiǎn)可能就已經(jīng)存在了。特別是達(dá)到500組以上。所以在白帽子在檢測(cè)的時(shí)候，只要涉及數(shù)據(jù)這塊，實(shí)際上無論它是不是身份認(rèn)證信息，從規(guī)避自身風(fēng)險(xiǎn)的角度來講還是不要觸碰的為好。因?yàn)槟悴淮_定這里面的信息到底屬于不屬于身份認(rèn)證信息。所以從法律的角度講，我覺得應(yīng)該就到此為止了。

另外，涉及到一個(gè)問題，就是我們很多檢測(cè)工具在檢測(cè)過程中，可能會(huì)涉及到自動(dòng)緩存數(shù)據(jù)的問題。從白帽子角度講，我可能沒有想獲取這個(gè)數(shù)據(jù)，但是檢測(cè)過程中，工具有可能把數(shù)據(jù)存儲(chǔ)在電腦上。這個(gè)情況下，它屬不屬于非法獲取數(shù)據(jù)，現(xiàn)在也沒有類似的案例可以參考，也不確定我們公安部門和司法機(jī)構(gòu)的態(tài)度和做法。但從我個(gè)人角度講，我覺得可能他們會(huì)更傾向于認(rèn)為這也是獲取數(shù)據(jù)。

除非你能提供其他的證據(jù)，比如說我檢測(cè)過程中，只是從行為上來判斷，我只是進(jìn)行檢測(cè)，而且這個(gè)存在我電腦上的數(shù)據(jù)，我沒有進(jìn)行任何的修改刪除，甚至沒有接觸。但是，這是一種在有爭(zhēng)議情況下的觀點(diǎn)，最終怎么認(rèn)定，現(xiàn)在也是一個(gè)非常有爭(zhēng)議的事情。

我個(gè)人理解就是從規(guī)避這個(gè)風(fēng)險(xiǎn)角度來講，你使用的檢測(cè)工具，你要盡可能確定它是沒有問題的。大家關(guān)心這個(gè)案子，這個(gè)是可以理解，因?yàn)榇蠹液芏喽际前酌弊?，或者?duì)安全比較感興趣的朋友，包括我本人也非常關(guān)注。但是通過這個(gè)案子，我們也希望它能成為對(duì)這個(gè)行業(yè)、對(duì)白帽子行為的規(guī)范的一個(gè)機(jī)會(huì)，也希望安全行業(yè)，白帽子，還有類似于烏云的漏洞收集平臺(tái)，能夠更好的發(fā)揮其價(jià)值。

李：趙律師，你的意思是說，雖然法律這方面的規(guī)定可能不是那么詳細(xì)，但是對(duì)于白帽子來說，在進(jìn)行測(cè)試的時(shí)候，要盡量謹(jǐn)慎和小心?

趙：對(duì)，要盡量謹(jǐn)慎。其中最核心的一點(diǎn)就是不要去接觸這些數(shù)據(jù)，另外使用的檢測(cè)工具也要確認(rèn)不要有問題。

李：500組數(shù)據(jù)這個(gè)問題，如果是499組呢?是不是就沒問題?

趙：499組可能從刑法角度講是不構(gòu)成的犯罪的，但是499組獲取的數(shù)據(jù)，并同時(shí)造成危害的，即使不構(gòu)成刑法，也可以按《治安管理處罰法》去處罰。

李：我明白了，雖然不到那個(gè)程度，但仍然是違法的。小頓，你作為烏云社區(qū)的創(chuàng)始人，此次事件發(fā)生后烏云一直沒有發(fā)聲，現(xiàn)在請(qǐng)你來談一談。

方小頓(以下簡(jiǎn)稱“小頓”)：其實(shí)我本人一直是說話比較少的，很多人問為什么烏云一直沒有出來發(fā)聲，因?yàn)槲冶救烁矚g做事情，而不是去說。

 

[[168791]]方小頓

 

事情發(fā)生后，我們其實(shí)也和家屬一直在一起面對(duì)這個(gè)事情，我們會(huì)一起往下走。其實(shí)好多事情，我覺得背后有很多的因素和原因。但是這個(gè)案子本身還在處理中，所以我們現(xiàn)在也沒有辦法去多講。

但是從烏云平臺(tái)的角度，從我們一直在構(gòu)建的白帽子和企業(yè)關(guān)系的角度，這個(gè)案子如此受關(guān)注是有道理的，這也是烏云運(yùn)營(yíng)這么多年來，我本人認(rèn)為唯一一個(gè)不是很嚴(yán)重的行為而導(dǎo)致這么嚴(yán)重的后果的個(gè)案。所以烏云把各方專家邀請(qǐng)過來，請(qǐng)大家一起具體的來談一談，談一談我們有哪些能做的事情，有哪些我們能幫助家屬，以及幫助更多白帽子的事情。

還有一點(diǎn)我覺得也很重要，就是烏云將來能做什么事情?怎么樣能夠從平臺(tái)的角度，從整個(gè)行業(yè)的角度，把白帽子漏洞測(cè)試這個(gè)事情做好?而不能說因?yàn)橐粋€(gè)個(gè)案，就把很多年積累的東西全部推翻。

現(xiàn)在的事情，法律也好，我相信它一定有一個(gè)明確的邊界，有一些明確的東西。我覺得對(duì)于將來來說，這個(gè)東西更需要我們的關(guān)注。

李：TK，我之前看過你寫的一篇關(guān)于這個(gè)事件的文章，我感覺你又跨了一個(gè)界，跨到了法律界(笑)。那么你就結(jié)合法律和安全技術(shù)，來談一談吧。

于旸(以下簡(jiǎn)稱“TK”)：我確實(shí)是比較關(guān)注和信息安全相關(guān)的法律，因?yàn)槲冶旧韽氖逻@個(gè)行業(yè)。實(shí)際上從刑法修正案，剛開始針對(duì)這塊有約束，我就一直在很仔細(xì)地看這個(gè)法條，包括后來出的司法解釋等內(nèi)容。

 

[[168792]]于旸

 

為什么呢?因?yàn)槟阕鲞@行你就需要去看法律，因?yàn)楦阌嘘P(guān)系，你必須要知道，知道這個(gè)邊界在哪里，你才能“在河邊走而不濕鞋”，你得知道這個(gè)河堤的邊沿在什么地方。如果你根本不知道這個(gè)邊沿在哪兒，你跑到河邊走，你就容易濕鞋;可能今天不濕，明天也會(huì)濕。但是你如果就在河堤上，在一個(gè)很明確的線上，你在這上面走，那就可以保證你的安全。

我們做這個(gè)行業(yè)，很多人會(huì)在類似的案件出來之后，有一種看法，覺得你做這個(gè)行業(yè)，就是游走在法律邊緣。我覺得這個(gè)看法是一種情緒化。因?yàn)榉傻倪吔?，你如果很清晰地知道這一點(diǎn)的話，你就可以達(dá)到一個(gè)比較安全的狀態(tài)。

一般安全會(huì)議的圓桌論壇，嘉賓都是搞技術(shù)或者搞管理的，但是你看今天咱們的會(huì)場(chǎng)，有三位法律相關(guān)人士。所以我覺得咱們今天應(yīng)該把這個(gè)“邊界”搞清楚。可能在座的各位之前很多對(duì)這塊沒有特別關(guān)注，但是實(shí)際上開公司的人，他需要對(duì)公司法清楚，搞建筑的人則需要對(duì)建設(shè)方面的政策了解清晰，才能保證所做的事情是可以放心的，沒有后顧之憂。同理，搞安全技術(shù)的也一樣。

我剛才說到這個(gè)情緒化，我也看到現(xiàn)在網(wǎng)上的討論，有兩個(gè)方向不同的情緒化。一方面有些人覺得，我早就說你們白帽子是違法的，你看現(xiàn)在終于被抓了，但其實(shí)你去問他讓他說一下，到底違了什么法，他不一定能說上來，因?yàn)樗浅鲇谀撤N情緒才這樣說的。還有另外一頭的情緒，這些人覺得白帽子是好心好意為你這個(gè)網(wǎng)站提交漏洞，你卻“狗咬呂洞賓”。但其實(shí)這也是一種情緒，就是說我們既然談法律，那就說法律到底是怎么規(guī)定的，不要扯到道德上。

另外，人一旦陷入情緒化之后，對(duì)概念不太容易講清楚，我們剛才談了半天白帽子，其實(shí)談的就是白帽子的行為。但是我看到有些討論，他把這個(gè)白帽子的行為泛化，有些白帽子一邊做測(cè)試，一邊轉(zhuǎn)手就把這個(gè)數(shù)據(jù)拿去賣了。這個(gè)明顯也是一種情緒化了，你既然都賣數(shù)據(jù)了，那這個(gè)行為還是我們說的白帽子的行為么?明顯不是!打個(gè)可能不太恰當(dāng)?shù)谋确?，大俠客行俠仗義的時(shí)候順便調(diào)戲一下婦女，那就不是大俠而是“淫賊”了。要是有人說這些大俠都不是什么好東西，這個(gè)說法當(dāng)然就是有問題的，這完全是一種情緒的宣泄，而不是理性的討論。

李：童隊(duì)，您從監(jiān)管從公安的角度給我們談一談?

童瀛(以下簡(jiǎn)稱“童”)：在這個(gè)問題上，我不談具體的案子。但我們國(guó)家是法制社會(huì)，因此跟大家提幾個(gè)數(shù)字，希望大家可以記住。

 

[[168793]]童瀛

 

第一個(gè)285，第二個(gè)286，之后還有10、20和500，另外還有一個(gè)5倍。因?yàn)檫@個(gè)從我們警方來說，其實(shí)這個(gè)界線很久之前就存在。我們國(guó)家制定了《刑法》之后，就有了第285條和286條，上面都已經(jīng)寫的很明確了。那么為什么我剛才又說到了10和20，這里有提到獲取金融類的數(shù)據(jù)是十組。另外可能在這個(gè)事情上，大家可能提到更多的是500，500組的這個(gè)事情，也是一個(gè)關(guān)鍵點(diǎn)，這個(gè)是我們的一個(gè)準(zhǔn)繩。你到這個(gè)線，那我們就可以判你三年。如果超過這個(gè)，最后還提到一個(gè)5倍的概念，5倍就可能是3到7年這么一個(gè)情況。

作為執(zhí)法機(jī)關(guān)來說，我們做我們往常的一些案件當(dāng)中，很多這種案子，因?yàn)樵谧母嗟亩际前酌弊?，大部分做Web安全。我們覺得Web安全，是一個(gè)比較入門的東西，比TK他們做的系統(tǒng)安全相對(duì)門檻要低一些。大家的入門的這種教材、環(huán)境網(wǎng)上會(huì)更多一些，但另一個(gè)角度來看，可能Web安全存在問題也就更多一些。

因?yàn)樵跒踉破脚_(tái)上，每年漏洞提交上來的數(shù)量非常多，而且大部分都是Web安全類的，以前也有過類似的案例，所以我經(jīng)常會(huì)說，白帽子或者做相關(guān)事情的人，千萬不要跨了這個(gè)線。

可能大家都聽說過，一個(gè)WebShell的作者，當(dāng)時(shí)也是入侵了網(wǎng)站拿到了數(shù)據(jù)，但是這些數(shù)據(jù)被別人加以利用，最后整個(gè)案子的涉案金額達(dá)到了400萬元。但定性的時(shí)候，第一主犯當(dāng)時(shí)定的就是這個(gè)做漏洞測(cè)試的人，因?yàn)槿绻銢]有進(jìn)去，沒拿到數(shù)據(jù)，那么之后其他人拿到數(shù)據(jù)再做的這些事情，也就不可能會(huì)發(fā)生。所以說在這個(gè)里面，大家一定是以法律為準(zhǔn)繩，千萬不要踏過這個(gè)線。

另外白帽子在做一些事情的時(shí)候，一定要自律。可能當(dāng)你進(jìn)去以后，或者說是當(dāng)你測(cè)試這個(gè)漏洞成功以后，你可能看到了一些東西。人都是有好奇心的，覺得我再進(jìn)一步看一看，我再進(jìn)一步把這個(gè)數(shù)據(jù)再多獲取一點(diǎn)，那我想這時(shí)候你可以對(duì)照一下我前面說的這些法律條文，如果你越線了，那我們只好用法律來懲罰你。

三、電子取證至關(guān)重要

李：謝謝童警官講的這幾個(gè)數(shù)字，我想大家如果一時(shí)記不住的話，可以查一查，但是也不用太關(guān)心這些數(shù)字，它到底是哪一條，具體是哪一個(gè)。因?yàn)?，我們要遠(yuǎn)離底線，而不是接近底線。這樣才能確保“不濕鞋”。接下來由電子取證的權(quán)威專家丁老師給大家普及一下電子取證方面的知識(shí)。

丁麗萍(以下簡(jiǎn)稱“丁”)：對(duì)這個(gè)案件我今天也不具體發(fā)表意見，但可以給大家普及一些取證方面的知識(shí)。

 

[[168794]]丁麗萍

 

電子證據(jù)作為現(xiàn)代越來越受重視的一種證據(jù)，在2013年的1月1號(hào)已經(jīng)被幾部訴訟法確定為一個(gè)獨(dú)立的證據(jù)。所以如果你犯了法，電子取證的證據(jù)是可以給你定罪的。當(dāng)然它還是在追求一個(gè)證明鏈，但是這已經(jīng)是一個(gè)比較重要的證據(jù)。人證、物證、下一代就是電子證據(jù)，所以這個(gè)證據(jù)非常重要。但大家要搞清楚，什么樣的證據(jù)法庭上能夠采用?怎么樣取到的什么樣的證據(jù)?由誰來取?

實(shí)際上只有符合三性的證據(jù)法庭上能夠采用。哪三性?就是真實(shí)性、相關(guān)性、合法性。真實(shí)性是什么?你要證明你提交的證據(jù)，從你采集到提交到法庭是沒改過。這是警察在整個(gè)的取證流程中非常注意的一點(diǎn)。而電子證據(jù)的特性又決定其實(shí)十分容易偽造且極易損毀的。一個(gè)圖片可以PS，一個(gè)聲音也可以偽造，一個(gè)視頻也是可以偽造的。

這些都是電子取證面臨的很多困境，你刪除了怎么辦，修改了怎么辦，你一個(gè)美圖秀秀就可以把這個(gè)丑女變成一個(gè)美女，那我怎么把它恢復(fù)成原來的狀態(tài)，這都很難。

現(xiàn)在電子取證有很多的技術(shù)難點(diǎn)，比如說我拿到一個(gè)硬盤，你把數(shù)據(jù)都刪除了，而且又覆蓋掉了，那就真是恢復(fù)不了的，沒有辦法。所以現(xiàn)在有很多困境，有些案子就是真的是辦不下去，證據(jù)真實(shí)性很難保障的。有的人說我能夠證明我怎么怎么樣，但是事實(shí)上你很難證明你怎么怎么樣，這是第一個(gè)真實(shí)性。

相關(guān)性是什么呢，我們經(jīng)常看法庭上審理的時(shí)候說這件事情與本案無關(guān)，無關(guān)事情你不要拿出來，所以電子證據(jù)一定要和你這件事情相關(guān)的。比如說咱們最近發(fā)生的一個(gè)案子，如果你拿出來的數(shù)據(jù)是無關(guān)的，法庭也不會(huì)用。

最后一點(diǎn)是合法性。合法性很重要，它會(huì)要求你“主體合法”而且“過程合法”。主體是什么?主體合法，就是說誰來取證，誰拿的證據(jù)法庭能采用。這個(gè)很重要，你不要說我違法了我自己提交證據(jù)證明我沒罪。不行，因?yàn)槟愕闹黧w不合法。我們國(guó)家的三部訴訟法分別規(guī)定了誰來獲取證據(jù)，比如說刑事訴訟法就是警察取證。你比如說警察抓我，我要證明我沒罪那不行，都是警察來取證的。你機(jī)器里的東西也是警察帶走回去取證，不是你自己去提取。

刑事案件的主體一定是警察取證，民事是誰主張誰取證，咱倆是個(gè)平等的法律主體。你告我你要拿出證據(jù)，我告你我要拿出證據(jù)，原告要拿出證據(jù)來，誰主張誰舉證。行政訴訟就是民告官的案子，就是行政機(jī)關(guān)要負(fù)舉證責(zé)任。你告了工商局，工商局要拿出證據(jù)來證明自己沒事，我的執(zhí)法合法的，這是舉證責(zé)任倒置的情況。所以，你要弄清楚主體，誰是合法的。

然后過程要合法，取證的主體在取證過程中，是要遵循一定的法律和技術(shù)規(guī)范的。像警察有執(zhí)法規(guī)范，取證的時(shí)候，要怎么操作，都是有規(guī)定的。而且拿走的東西要怎么包裝，怎么交接一個(gè)單子，這些都是要規(guī)范的，而且處理規(guī)范是非常嚴(yán)格的。而且拿過去的證據(jù)要克隆，原始證據(jù)是不能動(dòng)的，取證分析也都是在備份的數(shù)據(jù)上來做。

整個(gè)的三性，它在整個(gè)過程中是要有保障的。警察取證的工具也是要經(jīng)過認(rèn)證。你作為一個(gè)白帽子隨意的用一個(gè)工具去滲透測(cè)試人家，那你說這個(gè)工具，他獲取了對(duì)方的數(shù)據(jù)，但你卻說不是我獲取的，是工具自帶的功能。如果你了解有這個(gè)功能的話，你就不能用。

當(dāng)然，你也可以通過了解這些取證的工具及手段，警察怎么取證，自己也在測(cè)試的過程中留存一些證據(jù)。萬一警察認(rèn)為你的證據(jù)是有效的，這也是可以的。因?yàn)樗侵黧w，你協(xié)助他做一些取證，然后他認(rèn)定了，你這個(gè)證據(jù)確實(shí)是無懈可擊的話也是可以的。所以在整個(gè)的滲透測(cè)試過程中，你可以逐步的留下一些自己認(rèn)為能證明自己清白東西。

總結(jié)一下，兩點(diǎn)，首先，你不要心存僥幸，取證還是很厲害的，不要心存僥幸說我這次拿點(diǎn)數(shù)據(jù)誰都不知道，神不知鬼不覺，實(shí)際上要想知道，是一定能夠知道的。第二，白帽一定要保護(hù)自己。有可能的話，為自己留存一些證據(jù)。我們可以截個(gè)屏，截完屏之后把這個(gè)圖片打上哈希?；蛘哒f我可以證明我用的工具是一個(gè)什么樣的功能，根本沒有獲取數(shù)據(jù)的功能，或者說沒有緩存的功能，只是一個(gè)掃描的工具。

大部分的白帽子應(yīng)該都是好心的。我曾經(jīng)跟一個(gè)退役的警察辯論，我說人家就是活雷鋒，活雷鋒違法嗎?人家就是想著幫助你企業(yè)發(fā)現(xiàn)漏洞，讓你補(bǔ)漏洞做的更安全。那你能說我違法嗎?當(dāng)然，也會(huì)有很多人認(rèn)為你這種行為本身就違法，你憑什么去人家家看看人家鎖沒鎖門，一看見沒鎖門，又告訴所有人說張家沒鎖門，大家都知道張家在哪兒住。他認(rèn)為這個(gè)行為就違法。其實(shí)法律上，大家看看TK的文章就會(huì)知道，這個(gè)行為不違法。但是如果說你知道他沒鎖門又進(jìn)去看了看，進(jìn)去轉(zhuǎn)了一圈又拿了點(diǎn)東西，這就不行了。

四、如何看待白帽群體及其相關(guān)行為

李：大家怎么去看待白帽子的身份和他們做安全測(cè)試，這個(gè)行為意味著什么?TK，你能不能從你自己的技術(shù)身份解讀一下如何看待這種職業(yè)和他們的行為?白帽們的行為動(dòng)機(jī)又有哪些?

TK：我的研究方向與Web安全還不太一樣，我研究的是系統(tǒng)漏洞。系統(tǒng)漏洞研究的東西是你自己電腦上的，無論是研究軟件漏洞還是硬件漏洞。軟件是我自己電腦上的軟件，硬件也是我買回來的。別說你研究他的漏洞了，你拿錘子砸了都不犯法，自己花錢買的，想怎么樣就怎么樣。

但是研究這個(gè)網(wǎng)站或者探測(cè)這個(gè)網(wǎng)站是否存在漏洞這個(gè)事情，法律條文是很清晰的。而且無論從道理上講，它的價(jià)值、意義，以及從社會(huì)角度，從整個(gè)信息安全的產(chǎn)業(yè)，或者說去做好這個(gè)信息安全的角度來看，至少在現(xiàn)階段，這個(gè)肯定是一件非常有價(jià)值的事情。

有一個(gè)很明確的實(shí)例，不管是中國(guó)，還是外國(guó)，很多的公司都建立了自己的漏洞獎(jiǎng)勵(lì)計(jì)劃，鼓勵(lì)大家對(duì)自己的網(wǎng)站做安全測(cè)試，而且還會(huì)給你獎(jiǎng)金。Facebook、AT&T公司，甚至是一些傳統(tǒng)的企業(yè)也都推出漏洞獎(jiǎng)勵(lì)計(jì)劃。我們可以去想，為什么這些企業(yè)都這么搞?為什么他們都要借助互聯(lián)網(wǎng)上他根本都不認(rèn)識(shí)的人而不是自己公司的雇員?因?yàn)樗麄冇X得，完全依賴自己的力量，不能夠很好的去完成這件事情。而借助整個(gè)互聯(lián)網(wǎng)上這些技術(shù)人員的力量可能是一種更好方式。首先這一點(diǎn)應(yīng)該是是明確的。

至于說研究技術(shù)的動(dòng)機(jī)，每個(gè)人有每個(gè)人的動(dòng)機(jī)，我覺得最根本的是出于對(duì)技術(shù)的熱愛。但有的人就是為了拿獎(jiǎng)金，比如今天在座的各位，有一些可能是為了換門票，所以也是一種動(dòng)機(jī)。而有的人就是愛顯擺，可能有的人就這樣，我是為了愛顯擺，我就是為了把漏洞曝出去讓大家看我技術(shù)很牛。但是愛顯擺不犯法，你只要搞清楚法律邊界，你可以在安全的地方“跳來跳去”，做各種各樣高難度的體操動(dòng)作都沒關(guān)系。但最關(guān)鍵的是，你的行為一定是在一個(gè)法律邊界內(nèi)的，在安全的地方。當(dāng)然如果你能夠友善一些，在顯擺自己的時(shí)候不要刺激別人，或者說不要去刺激廠商，這樣當(dāng)然更好，這就和諧了(觀眾大笑)。

李：童警官，您作為公安部門，您怎么看待白帽子這個(gè)身份?您是希望白帽子多一些好一點(diǎn)，還是覺得這個(gè)數(shù)量應(yīng)該控制一下?

童：我站在我們公安這個(gè)角度上談，因?yàn)楦覀兂商齑蚪坏赖拇蟛糠侄际欠缸锵右扇酥惖?，他們從的?dòng)機(jī)上和興趣出發(fā)點(diǎn)上是跟普通的白帽不一樣的，有的是為了掙錢，有的單純是為了破壞。這種興趣愛好，從他們的出發(fā)點(diǎn)上就已經(jīng)錯(cuò)了，在之后做的每一件事情也都是錯(cuò)誤的。像我們看的比較多的，在黑產(chǎn)鏈里面，當(dāng)他獲取數(shù)據(jù)時(shí)，法律上明文已經(jīng)有這么一個(gè)條款放在那兒了，他還要去觸碰這個(gè)條款，那肯定就是到了法律邊界以外，我們肯定要把這個(gè)人給抓了。

他做這個(gè)事情，出發(fā)點(diǎn)是為了掙錢，他可能把數(shù)據(jù)散到整個(gè)黑產(chǎn)鏈里。比如很多的撞庫(kù)，最終都是為了掙錢。如果是這種行為的話，我們還是希望在坐的最好不要進(jìn)入。

我們還遇到過一些人，他做漏洞研究的出發(fā)點(diǎn)一開始也是為了提升安全，但是他在做的過程當(dāng)中可能看到了一些數(shù)據(jù)，他就覺得我把數(shù)據(jù)拿回來神不會(huì)鬼不覺，或者說這個(gè)網(wǎng)站不知道，我掛了代理，我有各種各樣的安全措施，我把這個(gè)拿回來以后，就可以把這些數(shù)據(jù)變現(xiàn)掙錢。在這種情況下，我們始終想給大家提醒，慎獨(dú)，自己的內(nèi)心一定要自律。千萬不要在法律上越走越遠(yuǎn)，走遠(yuǎn)了就拉不回來了，就是拉回來，可能也要經(jīng)過刑事程序。

另外，我要再?gòu)?qiáng)調(diào)一個(gè)事情，剛才所說的數(shù)據(jù)標(biāo)準(zhǔn)的多少，我們所說的是刑事案件，是刑法的285和286，那不足這個(gè)的情況是不是就不叫犯罪?我們國(guó)家還有一個(gè)叫治安管理處罰法，在里面的第29條，這個(gè)不是犯罪，但是算違法。

最后，我們也是希望看到這樣白帽子這樣的群體起到積極的作用，但在做這個(gè)事情的時(shí)候，多和執(zhí)法機(jī)構(gòu)，包括網(wǎng)絡(luò)安全的管理機(jī)關(guān)，多一些溝通，效果可能會(huì)好更一點(diǎn)。

李：陳總，您作為廠商代表，白帽子最終是跟廠商提交漏洞，也是直接影響白帽子行為的一方，您怎么看待白帽子?

陳：雖然我現(xiàn)在代表廠商，但是幾年前我也是白帽。當(dāng)時(shí)還沒有白帽子、黑帽子這么一說，我也是一個(gè)喜歡研究安全的技術(shù)愛好者。然后發(fā)現(xiàn)了一些問題，當(dāng)時(shí)沒有什么途徑能夠去告訴廠商，怎么辦，只好去想辦法聯(lián)系，于是就這樣進(jìn)入了安全行業(yè)。所以，從白帽子和廠商這兩個(gè)角度，我都會(huì)有一些體會(huì)。

從白帽子的角度來講，最開始都是純粹的一個(gè)技術(shù)愛好，我很好奇，我想學(xué)習(xí)，我想知道，但是我需要一些練習(xí)的環(huán)境。這時(shí)候就開始出現(xiàn)了問題，我們看了書，想嘗試一下，可能要去找一個(gè)地方，然后很多時(shí)候很容易就收不住手，會(huì)覺得我是不是可以發(fā)現(xiàn)更多的問題。這個(gè)時(shí)候，就一定要把握住自己的好奇心和好勝心，一不小心走出去，很可能就越走越遠(yuǎn)了。

另外，從廠商的角度來講，前面也說到了，攻與防永遠(yuǎn)是互相促進(jìn)的，有攻有防，安全才會(huì)做的越來越安全。所以從廠商的角度來講，如果說一個(gè)公司長(zhǎng)期都沒有任何安全問題，這個(gè)公司就不會(huì)再對(duì)安全有什么投入，會(huì)覺得你花這么多錢，啥事都沒有，天天找我說要做這個(gè)，做那個(gè)。我為什么要聽你忽悠?所以如果不請(qǐng)白帽子來幫我們發(fā)現(xiàn)問題的話，企業(yè)在安全上的實(shí)際投入也會(huì)越來越少。

這個(gè)帶來的客觀現(xiàn)象就是，企業(yè)的安全水平會(huì)越來越低?？床灰姴淮聿话l(fā)生。如果沒有這些白帽子來告訴我們問題的話，實(shí)際上我們可能已經(jīng)被黑產(chǎn)的搞了好幾輪，廠商自己都還不知道。所以從這個(gè)角度來講，其實(shí)廠商跟白帽子是相輔相成的，特別廠商的安全部門，是非常倚重白帽子的。這也是現(xiàn)在SRC也特別多的原因之一。

五、漏洞披露機(jī)制的探討

李：小頓，烏云除了漏洞收集提交外，還有自己的漏洞披露機(jī)制。它實(shí)際上在某種程度上成就了現(xiàn)在的烏云，并給全社會(huì)帶來很大的影響。而這個(gè)機(jī)制一直都是有爭(zhēng)議的，尤其是世紀(jì)佳緣事件的出現(xiàn)。你是否可以借這次機(jī)會(huì)談一下你的想法?

小頓：每個(gè)人有自己的角度，企業(yè)有企業(yè)的角度，律師也有律師的，白帽子也白帽子的角度。但對(duì)于一個(gè)擁有大量普通用戶的公司來講，是不是也要聽聽用戶的意見?比如對(duì)于Uber的用戶來講，他們希望知道放在Uber的錢會(huì)不會(huì)莫名其妙地丟失，安全做的好不好，該不該綁定信用卡等等。

好多人討論漏洞披露的問題，但是他們卻忽略了用戶本身的意愿和態(tài)度。我們今天在這里討論法律，但是用戶對(duì)自己數(shù)據(jù)的安全性是否要有知情權(quán)?如何更好的保護(hù)好用戶的數(shù)據(jù)?相比于企業(yè)，用戶往往是弱勢(shì)的。而烏云一個(gè)更重要的使命就是去做一個(gè)生態(tài)，從白帽子、企業(yè)、用戶三方的角度考慮，最后漏洞一定會(huì)公開，但相信這一切是在法律框架之內(nèi)。

烏云的漏洞披露期很早就已經(jīng)不再是90天了，我們也早已經(jīng)加入了一個(gè)披露機(jī)制，如果企業(yè)有困難，我們會(huì)協(xié)助解決，實(shí)在解決不了，還是會(huì)盡量去理解企業(yè)難處，防止造成損失。但是這次的事件，讓我意識(shí)到一個(gè)問題，就是我們之前的邊界是模糊的。因此我們要在以后，幫助白帽子去知道如何才能更好的保護(hù)自己。

很多時(shí)候，特別是在中國(guó)，行業(yè)有很多東西是走在法律前面的。但不管怎樣，烏云做的事情都會(huì)在法律框架之內(nèi)。我們也希望新的法律能盡早頒布，希望這個(gè)法律能更多考慮到企業(yè)考慮到企業(yè)的用戶，甚至考慮到白帽子這個(gè)群體本身。

我們未來的期望是這樣的，之后烏云的機(jī)制會(huì)不斷的優(yōu)化，而我們也會(huì)明確邊界，不會(huì)不斷地做漏洞相關(guān)的事情，同時(shí)我們也會(huì)成立一個(gè)類似于“白帽子法律援助中心”，也會(huì)跟一些行業(yè)內(nèi)的專家合作做這件事情。我們希望白帽子和企業(yè)在合理的法律框架之內(nèi)一樣受到法律保護(hù)，同時(shí)用戶的權(quán)益應(yīng)該也得到保障，這就是我們的期望。

李：請(qǐng)TK也來談一談漏洞披露機(jī)制的問題。

TK：漏洞披露機(jī)制不是什么新鮮事，早在一二十年前就開始討論，遠(yuǎn)遠(yuǎn)在Web漏洞被關(guān)注之前，就已經(jīng)有過這種“真理”大討論。到了今天，全世界對(duì)于漏洞披露機(jī)制都有一個(gè)共識(shí)，那就是“要披露”。為什么?這些在之前都已經(jīng)討論的很清晰了，尤其在美國(guó)是非常清晰的，他們認(rèn)為漏洞披露是言論自由的一部分，受憲法的修正案保護(hù)，從法律角度講，你無論什么時(shí)候，怎么披露漏洞，都是合法的。不等90天也合法。這個(gè)從法理角度來講沒有問題。

從道義和責(zé)任角度，廠商提出要“負(fù)責(zé)任地披露”。就是說你不能光想著自己顯擺，你要考慮用戶，這在我看來是個(gè)很道貌岸然的一個(gè)說法。你說我披露漏洞影響用戶，那么如果我考慮用戶，你要不要考慮用戶?我漏洞報(bào)給你你十年也不補(bǔ)是考慮用戶?

為什么會(huì)有一個(gè)披露時(shí)間期?這個(gè)時(shí)間其實(shí)是妥協(xié)出來的，也是一種壓力。而且這個(gè)時(shí)間也不是說只在中國(guó)這樣，大家如果去看美國(guó)的cert，他們的披露時(shí)間是45天。45天之后不管廠商怎樣，都會(huì)公開。這是一個(gè)雙方或者多方需要討論的事情，需要一定的妥協(xié)，但是肯定會(huì)落在中間的某個(gè)點(diǎn)，不會(huì)說讓某一方完全按照自己想的來。

這里面核心的還是企業(yè)用戶的利益問題。我們說披露的方式方法或時(shí)間不當(dāng)可能會(huì)影響企業(yè)的用戶，但是不披露問題也會(huì)影響企業(yè)用戶這一點(diǎn)，這點(diǎn)有誰也考慮到了?

安全與用戶隱私的關(guān)系，有一個(gè)里程碑式事件。前幾年曝出的拖庫(kù)，令許多人第一次知道有拖庫(kù)這件事情。但是在大家知道這件事情之間，拖庫(kù)已經(jīng)拖了很多年了。這個(gè)漏洞不披露，不代表沒有人知道，更不代表沒有人會(huì)利用，沒有人用它竊取用戶信息，不代表用戶的利益就不受損害了。漏洞披露的方式方法可以探討，可以采取一種最合適的方式，也許現(xiàn)在披露的方式方法并不一定對(duì)，但不披露一定不對(duì)!這個(gè)是我們討論了幾十年，已經(jīng)有共識(shí)的事情，這也是為什么全世界，對(duì)漏洞的態(tài)度都是披露。

丁：這個(gè)問題比較敏感，一直以來大家討論就是烏云有沒有權(quán)限公開人家的漏洞，90天之后你有沒有權(quán)力給人家公開。包括警方，官方，大家都有一些質(zhì)疑和爭(zhēng)議。雖然法律不禁止我們這樣做，但是我覺得網(wǎng)絡(luò)安全法和刑法一直在改，將來法律會(huì)越來越完善。

我自己的觀點(diǎn)是建議烏云改進(jìn)漏洞披露的模式。有些廠商是非常歡迎白帽子發(fā)現(xiàn)漏洞，既然發(fā)現(xiàn)我們網(wǎng)站有漏洞，告訴我們做的更安全，更好。有的也有這樣的情況，我就有漏洞，你管的著嗎?喜歡有漏洞，用不著你管，這種情況也有，而且也無可厚非，他也合法。

大家可以關(guān)注一下新頒布刑法的286條，加了一條企業(yè)責(zé)任，如果由于企業(yè)不注重信息安全防護(hù)，導(dǎo)致用戶信息安全泄露，如果他要求提供證據(jù)，要存證，如果說有一個(gè)案子找你提供證據(jù)，對(duì)烏云提出了要求，可能更多的企業(yè)會(huì)歡迎你來挖漏洞，抵觸的會(huì)越來越少，但是你也不能指望自己一直走在“法不禁止即可為”的情況下。

大量數(shù)據(jù)泄露，會(huì)造成國(guó)家財(cái)產(chǎn)，人民利益的損失，建議烏云跟法律授權(quán)的機(jī)構(gòu)提供合作，提供漏洞披露的建議。我建議要改進(jìn)一些，獲得合法授權(quán)來做披露，公安部也有一個(gè)信息披露中心，如果和通告中心合作，你們既然有這么好的平臺(tái)和技術(shù)，合作雙贏也挺好。

六、價(jià)值標(biāo)準(zhǔn)衡量一切

李：今天的圓桌論壇，緣起世紀(jì)佳緣事件。但我的觀察發(fā)現(xiàn)，絕大多數(shù)人都在爭(zhēng)論案件本身的細(xì)節(jié)，行不行、對(duì)不對(duì)、改不改等等。但如果大家能把它提升一下，把它放在長(zhǎng)遠(yuǎn)的角度來深度思考一下，應(yīng)該可以認(rèn)識(shí)到這樣一個(gè)現(xiàn)象：歷史上任何新事物的產(chǎn)生，都具有一定的破壞性。

工業(yè)革命造成污染，但沒有工業(yè)革命就沒有現(xiàn)代文明。愛因斯坦發(fā)明了相對(duì)論，原子彈給人類生存帶來威脅，但冰箱、電視、發(fā)電機(jī)、核電場(chǎng)、量子力學(xué)，它為整個(gè)人類帶來的利大還是弊大?同樣，漏洞披露機(jī)制給整個(gè)行業(yè)帶來的價(jià)值，對(duì)全社會(huì)安全意識(shí)的影響，是破壞力大還是價(jià)值大?我想這個(gè)問題大家的心里應(yīng)該都有自己的答案。

那么，我想對(duì)這樣一個(gè)新生事物，是應(yīng)該正向的去激勵(lì)、去保護(hù)，還是應(yīng)該抵制和打壓，應(yīng)該是不言自喻的。今天的圓桌論壇就到這里。謝謝各位老師，各位專家，謝謝論壇所有聽眾的參與!