雷鋒網(wǎng)按：本文來自公號皮相，由TK教主授權(quán)雷鋒網(wǎng)專欄發(fā)布。

在很多年前，當(dāng)“Hacker”這個詞被濫用，一些 Hacker 為了把自己和媒體中被稱作“Hacker”的網(wǎng)絡(luò)犯罪者——特別是沒什么技術(shù)含量的——區(qū)分開，提出了“White Hat”和“Black Hat”的說法，國內(nèi)通常譯作“白帽黑客”和“黑帽黑客”。而“白帽子”在當(dāng)今中國的語境中，又進(jìn)一步特化了，特指向各個漏洞報告平臺、廠商 SRC 提交漏洞的人。自“白帽子”誕生起，相關(guān)的爭論就從來沒有停止過。

先說說法律。

我國法律中和攻擊入侵有關(guān)的主要是《刑法》第二百八十五、二百八十六兩條，以及相關(guān)司法解釋。這兩條主要看：有沒有越權(quán)控制系統(tǒng)，有沒有越權(quán)獲得數(shù)據(jù)，有沒有破壞系統(tǒng)可用性。

常規(guī)端口掃描通常不會被認(rèn)為是違法。那么漏洞掃描呢？通過獲取版本號探測漏洞的方法顯然也不算違法。但有些漏洞掃描需要在對方系統(tǒng)上實(shí)際執(zhí)行命令才能判斷漏洞是否存在，例如“Shellshock”。這種情況從理論上說，存在一個短暫的越權(quán)執(zhí)行過程，但由于并未真正去試圖控制系統(tǒng)，所以在實(shí)踐中，通常不認(rèn)為屬于“非法控制”。

發(fā)送 "news.php?id=2-1" 這樣的請求去探測是否存在 SQL 注入顯然不算違法。而探測發(fā)現(xiàn)可能存在 SQL 注入，實(shí)際去嘗試獲取數(shù)據(jù)以判斷是否真的存在漏洞，這種行為就比較模糊了。如果獲取的數(shù)據(jù)是表的字段名、結(jié)構(gòu)，不涉及用戶數(shù)據(jù)，相對還好。而如果獲取了用戶數(shù)據(jù)，特別是用戶名、密碼，即“身份認(rèn)證信息”就可能觸犯《刑法》。

《刑法》第二百八十五條第二款：

違反國家規(guī)定，侵入前款規(guī)定以外的計算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。

達(dá)到“情節(jié)嚴(yán)重”才是犯罪，那什么是情節(jié)嚴(yán)重呢？在《關(guān)于辦理危害計算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》中是這樣說的：

非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)或者非法控制計算機(jī)信息系統(tǒng)，具有下列情形之一的，應(yīng)當(dāng)認(rèn)定為刑法第二百八十五條第二款規(guī)定的“情節(jié)嚴(yán)重”：

（一）獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息十組以上的；

（二）獲取第（一）項(xiàng)以外的身份認(rèn)證信息五百組以上的；

（三）非法控制計算機(jī)信息系統(tǒng)二十臺以上的；

（四）違法所得五千元以上或者造成經(jīng)濟(jì)損失一萬元以上的；

（五）其他情節(jié)嚴(yán)重的情形。

實(shí)施前款規(guī)定行為，具有下列情形之一的，應(yīng)當(dāng)認(rèn)定為刑法第二百八十五條第二款規(guī)定的“情節(jié)特別嚴(yán)重”：

（一）數(shù)量或者數(shù)額達(dá)到前款第（一）項(xiàng)至第（四）項(xiàng)規(guī)定標(biāo)準(zhǔn)五倍以上的；

（二）其他情節(jié)特別嚴(yán)重的情形。

明知是他人非法控制的計算機(jī)信息系統(tǒng)，而對該計算機(jī)信息系統(tǒng)的控制權(quán)加以利用的，依照前兩款的規(guī)定定罪處罰。

也就是說，入侵獲取 10 組以上金融證券行業(yè)的用戶身份認(rèn)證信息，或 500 組以上一般系統(tǒng)的用戶身份認(rèn)證信息，或入侵了 20 臺系統(tǒng)，就可以判刑了。如果獲取 50 組以上金融證券行業(yè)的用戶身份認(rèn)證信息，或 2500 組以上一般系統(tǒng)的用戶身份認(rèn)證信息，或入侵了 100 臺系統(tǒng)，就可以判三年以上。

所以，在測試網(wǎng)站漏洞的過程中，想避免觸犯《刑法》，就要注意獲取的信息種類和數(shù)量，也不要去植入后門。

再講講道理。

在今天，一個存儲了大量有價值數(shù)據(jù)的網(wǎng)站，一定會被盯上，一定會有人嘗試入侵。一定，一定，一定。

而安全是四維的，不是三維的。對絕大多數(shù)網(wǎng)站來說，即使此時此刻的入侵難度很大，但在一段不算長的時間內(nèi)（比如說一年），被至少成功入侵一次的概率則非常大。因?yàn)樾侣┒纯倳粩啾话l(fā)現(xiàn)，而程序員、系統(tǒng)管理員的工作不會永遠(yuǎn)完美無缺。

而如果有人和入侵者一樣，也去不斷嘗試入侵這些網(wǎng)站，并且發(fā)現(xiàn)漏洞后及時告知網(wǎng)站，實(shí)際上就成為了惡意入侵的競爭者，很多漏洞可以在被惡意利用前被發(fā)現(xiàn)和修復(fù)。

在大多數(shù)國家，都有網(wǎng)絡(luò)入侵的相關(guān)法律，然而從 Microsoft 到 Facebook，從騰訊到小米，很多公司都成立了 SRC，鼓勵大家?guī)椭鷮ふ易约壕W(wǎng)站的漏洞。而這些尋找漏洞的過程，如果嚴(yán)格按照法律條文去摳字眼，很多可能都有問題。

（Facebook 定制的“White Hat”銀行卡，用來給向他們報告漏洞的人發(fā)獎金）

有些人說“向廠商的 SRC 提交漏洞是合法的”。其實(shí)，合法不合法，看檢測漏洞的行為本身，和提交給誰沒關(guān)系。只不過建了 SRC 的廠商自然希望大家去提交漏洞，所以即使行為違反了法律，廠商通常也不會去報案，砸自己 SRC 的牌子。

法律通常都滯后于現(xiàn)實(shí)，而且往往滯后很多。上面提到的相關(guān)法條，是 2009 年《刑法》第七修正案中才加上的，司法解釋是 2011 年才出來的。這些法條在當(dāng)前形勢下是否是最有利于維護(hù)信息安全的，還需要立法者去思考。但作為廠商，總是會選擇在當(dāng)前形勢下最有利于把安全做好的方式。

廠商為什么要鼓勵大家“入侵”自己的網(wǎng)站呢？因?yàn)闆]辦法。對，沒辦法。在當(dāng)前形勢下，這可能是最好的選擇。如果單純靠法律就能解決安全問題，何必多此一舉。

所有廠商在安全上基本都有這樣的心路歷程：

第一階段，心存僥幸，覺得自己沒那么倒霉，覺得世界上沒那么多惡意入侵者。

第二階段，被搞了一次后，同時明白了自己沒那么幸運(yùn)，必須解決安全問題，尤其是這次被搞的那個安全問題。但是既然被搞了一次，不會有兩枚炮彈落到同一個地方吧？

第三階段，又被搞了，很憤怒，去報案，一定要抓到入侵者，然而現(xiàn)實(shí)往往是無情的。于是終于意識到需要整體上做安全。去和同行交流，但還是試圖不走尋常路，認(rèn)為自己不用像別的廠商一樣，應(yīng)該能找到一種簡單易行省錢省力的方法。

第四階段，被搞了很多次后，終于認(rèn)命了。開始引入大家踩了無數(shù)坑，吃了無數(shù)虧才總結(jié)出來的經(jīng)驗(yàn)和方法，安全工作慢慢走上正軌。建立 SRC，鼓勵大家報告自己的漏洞。雖然安全部門和產(chǎn)品、市場、法務(wù)等其它部門在這一點(diǎn)上還有分歧。

國內(nèi)很多大企業(yè)都走到了第四階段，但還有很多還處于前幾個階段。他們覺得只要捂住眼下的問題，然后勒令內(nèi)部嚴(yán)查一下，事情就解決了。他們還沒明白的道理是：錢不投入在安全上，遲早會十倍百倍千倍地送給黑產(chǎn)。

上周一個朋友找我，說他們公司做的是一種比較小眾的交易平臺，但沒想到也被盯上了，去年被搞走十幾億，所以現(xiàn)在開始重視安全。像他們這種情況，其實(shí)還是幸運(yùn)的。因?yàn)樗麄兊腻X是被一種能感知的方式搞走的，遭受損失后，就會開始重視安全。

然而，很多入侵是悄無聲息的，弄走錢的方式是不知不覺的。比如把你的數(shù)據(jù)賣給你的競爭對手，讓對手掌握主動掌握先機(jī)。歸根結(jié)底，還是等于通過入侵把你的錢弄走了。但你沒感覺，你只會覺得競爭對手一下變強(qiáng)了。即使因此企業(yè)倒閉，都不知道是怎么搞的。這種企業(yè)會長期停留在安全的幻覺中，認(rèn)為一切報告漏洞的人都是麻煩制造者。

這些“麻煩制造者”可能確實(shí)很麻煩，他們不太考慮企業(yè)感受，特別想證明自己發(fā)現(xiàn)的問題很嚴(yán)重。但是，無論有沒有他們，真正的網(wǎng)絡(luò)犯罪者都一樣會存在，一樣會默默地去入侵系統(tǒng)，去竊取數(shù)據(jù)，換成錢。而如果沒有這些“麻煩制造者”，會有更多企業(yè)沉浸在安全的幻覺中，真正的網(wǎng)絡(luò)犯罪實(shí)施起來則會更輕松。

每一朵烏云都有一道金邊，每一頂白帽都有一道黑邊。希望“白帽子”能學(xué)習(xí)一些法律，保護(hù)好自己；希望企業(yè)能想明白道理，知道自己真正的敵人是誰。

雷鋒網(wǎng)注：轉(zhuǎn)載請聯(lián)系授權(quán)，并保留作者和出處，不得刪減內(nèi)容。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。