雷鋒網(wǎng)按：本文來(lái)自公號(hào)皮相，由TK教主授權(quán)雷鋒網(wǎng)專欄發(fā)布。

在很多年前，當(dāng)“Hacker”這個(gè)詞被濫用，一些 Hacker 為了把自己和媒體中被稱作“Hacker”的網(wǎng)絡(luò)犯罪者——特別是沒(méi)什么技術(shù)含量的——區(qū)分開(kāi)，提出了“White Hat”和“Black Hat”的說(shuō)法，國(guó)內(nèi)通常譯作“白帽黑客”和“黑帽黑客”。而“白帽子”在當(dāng)今中國(guó)的語(yǔ)境中，又進(jìn)一步特化了，特指向各個(gè)漏洞報(bào)告平臺(tái)、廠商 SRC 提交漏洞的人。自“白帽子”誕生起，相關(guān)的爭(zhēng)論就從來(lái)沒(méi)有停止過(guò)。

先說(shuō)說(shuō)法律。

我國(guó)法律中和攻擊入侵有關(guān)的主要是《刑法》第二百八十五、二百八十六兩條，以及相關(guān)司法解釋。這兩條主要看：有沒(méi)有越權(quán)控制系統(tǒng)，有沒(méi)有越權(quán)獲得數(shù)據(jù)，有沒(méi)有破壞系統(tǒng)可用性。

常規(guī)端口掃描通常不會(huì)被認(rèn)為是違法。那么漏洞掃描呢？通過(guò)獲取版本號(hào)探測(cè)漏洞的方法顯然也不算違法。但有些漏洞掃描需要在對(duì)方系統(tǒng)上實(shí)際執(zhí)行命令才能判斷漏洞是否存在，例如“Shellshock”。這種情況從理論上說(shuō)，存在一個(gè)短暫的越權(quán)執(zhí)行過(guò)程，但由于并未真正去試圖控制系統(tǒng)，所以在實(shí)踐中，通常不認(rèn)為屬于“非法控制”。

發(fā)送 "news.php?id=2-1" 這樣的請(qǐng)求去探測(cè)是否存在 SQL 注入顯然不算違法。而探測(cè)發(fā)現(xiàn)可能存在 SQL 注入，實(shí)際去嘗試獲取數(shù)據(jù)以判斷是否真的存在漏洞，這種行為就比較模糊了。如果獲取的數(shù)據(jù)是表的字段名、結(jié)構(gòu)，不涉及用戶數(shù)據(jù)，相對(duì)還好。而如果獲取了用戶數(shù)據(jù)，特別是用戶名、密碼，即“身份認(rèn)證信息”就可能觸犯《刑法》。

《刑法》第二百八十五條第二款：

違反國(guó)家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。

達(dá)到“情節(jié)嚴(yán)重”才是犯罪，那什么是情節(jié)嚴(yán)重呢？在《關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問(wèn)題的解釋》中是這樣說(shuō)的：

非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)或者非法控制計(jì)算機(jī)信息系統(tǒng)，具有下列情形之一的，應(yīng)當(dāng)認(rèn)定為刑法第二百八十五條第二款規(guī)定的“情節(jié)嚴(yán)重”：

（一）獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息十組以上的；

（二）獲取第（一）項(xiàng)以外的身份認(rèn)證信息五百組以上的；

（三）非法控制計(jì)算機(jī)信息系統(tǒng)二十臺(tái)以上的；

（四）違法所得五千元以上或者造成經(jīng)濟(jì)損失一萬(wàn)元以上的；

（五）其他情節(jié)嚴(yán)重的情形。

實(shí)施前款規(guī)定行為，具有下列情形之一的，應(yīng)當(dāng)認(rèn)定為刑法第二百八十五條第二款規(guī)定的“情節(jié)特別嚴(yán)重”：

（一）數(shù)量或者數(shù)額達(dá)到前款第（一）項(xiàng)至第（四）項(xiàng)規(guī)定標(biāo)準(zhǔn)五倍以上的；

（二）其他情節(jié)特別嚴(yán)重的情形。

明知是他人非法控制的計(jì)算機(jī)信息系統(tǒng)，而對(duì)該計(jì)算機(jī)信息系統(tǒng)的控制權(quán)加以利用的，依照前兩款的規(guī)定定罪處罰。

也就是說(shuō)，入侵獲取 10 組以上金融證券行業(yè)的用戶身份認(rèn)證信息，或 500 組以上一般系統(tǒng)的用戶身份認(rèn)證信息，或入侵了 20 臺(tái)系統(tǒng)，就可以判刑了。如果獲取 50 組以上金融證券行業(yè)的用戶身份認(rèn)證信息，或 2500 組以上一般系統(tǒng)的用戶身份認(rèn)證信息，或入侵了 100 臺(tái)系統(tǒng)，就可以判三年以上。

所以，在測(cè)試網(wǎng)站漏洞的過(guò)程中，想避免觸犯《刑法》，就要注意獲取的信息種類和數(shù)量，也不要去植入后門(mén)。

再講講道理。

在今天，一個(gè)存儲(chǔ)了大量有價(jià)值數(shù)據(jù)的網(wǎng)站，一定會(huì)被盯上，一定會(huì)有人嘗試入侵。一定，一定，一定。

而安全是四維的，不是三維的。對(duì)絕大多數(shù)網(wǎng)站來(lái)說(shuō)，即使此時(shí)此刻的入侵難度很大，但在一段不算長(zhǎng)的時(shí)間內(nèi)（比如說(shuō)一年），被至少成功入侵一次的概率則非常大。因?yàn)樾侣┒纯倳?huì)不斷被發(fā)現(xiàn)，而程序員、系統(tǒng)管理員的工作不會(huì)永遠(yuǎn)完美無(wú)缺。

而如果有人和入侵者一樣，也去不斷嘗試入侵這些網(wǎng)站，并且發(fā)現(xiàn)漏洞后及時(shí)告知網(wǎng)站，實(shí)際上就成為了惡意入侵的競(jìng)爭(zhēng)者，很多漏洞可以在被惡意利用前被發(fā)現(xiàn)和修復(fù)。

在大多數(shù)國(guó)家，都有網(wǎng)絡(luò)入侵的相關(guān)法律，然而從 Microsoft 到 Facebook，從騰訊到小米，很多公司都成立了 SRC，鼓勵(lì)大家?guī)椭鷮ふ易约壕W(wǎng)站的漏洞。而這些尋找漏洞的過(guò)程，如果嚴(yán)格按照法律條文去摳字眼，很多可能都有問(wèn)題。

（Facebook 定制的“White Hat”銀行卡，用來(lái)給向他們報(bào)告漏洞的人發(fā)獎(jiǎng)金）

有些人說(shuō)“向廠商的 SRC 提交漏洞是合法的”。其實(shí)，合法不合法，看檢測(cè)漏洞的行為本身，和提交給誰(shuí)沒(méi)關(guān)系。只不過(guò)建了 SRC 的廠商自然希望大家去提交漏洞，所以即使行為違反了法律，廠商通常也不會(huì)去報(bào)案，砸自己 SRC 的牌子。

法律通常都滯后于現(xiàn)實(shí)，而且往往滯后很多。上面提到的相關(guān)法條，是 2009 年《刑法》第七修正案中才加上的，司法解釋是 2011 年才出來(lái)的。這些法條在當(dāng)前形勢(shì)下是否是最有利于維護(hù)信息安全的，還需要立法者去思考。但作為廠商，總是會(huì)選擇在當(dāng)前形勢(shì)下最有利于把安全做好的方式。

廠商為什么要鼓勵(lì)大家“入侵”自己的網(wǎng)站呢？因?yàn)闆](méi)辦法。對(duì)，沒(méi)辦法。在當(dāng)前形勢(shì)下，這可能是最好的選擇。如果單純靠法律就能解決安全問(wèn)題，何必多此一舉。

所有廠商在安全上基本都有這樣的心路歷程：

第一階段，心存僥幸，覺(jué)得自己沒(méi)那么倒霉，覺(jué)得世界上沒(méi)那么多惡意入侵者。

第二階段，被搞了一次后，同時(shí)明白了自己沒(méi)那么幸運(yùn)，必須解決安全問(wèn)題，尤其是這次被搞的那個(gè)安全問(wèn)題。但是既然被搞了一次，不會(huì)有兩枚炮彈落到同一個(gè)地方吧？

第三階段，又被搞了，很憤怒，去報(bào)案，一定要抓到入侵者，然而現(xiàn)實(shí)往往是無(wú)情的。于是終于意識(shí)到需要整體上做安全。去和同行交流，但還是試圖不走尋常路，認(rèn)為自己不用像別的廠商一樣，應(yīng)該能找到一種簡(jiǎn)單易行省錢(qián)省力的方法。

第四階段，被搞了很多次后，終于認(rèn)命了。開(kāi)始引入大家踩了無(wú)數(shù)坑，吃了無(wú)數(shù)虧才總結(jié)出來(lái)的經(jīng)驗(yàn)和方法，安全工作慢慢走上正軌。建立 SRC，鼓勵(lì)大家報(bào)告自己的漏洞。雖然安全部門(mén)和產(chǎn)品、市場(chǎng)、法務(wù)等其它部門(mén)在這一點(diǎn)上還有分歧。

國(guó)內(nèi)很多大企業(yè)都走到了第四階段，但還有很多還處于前幾個(gè)階段。他們覺(jué)得只要捂住眼下的問(wèn)題，然后勒令內(nèi)部嚴(yán)查一下，事情就解決了。他們還沒(méi)明白的道理是：錢(qián)不投入在安全上，遲早會(huì)十倍百倍千倍地送給黑產(chǎn)。

上周一個(gè)朋友找我，說(shuō)他們公司做的是一種比較小眾的交易平臺(tái)，但沒(méi)想到也被盯上了，去年被搞走十幾億，所以現(xiàn)在開(kāi)始重視安全。像他們這種情況，其實(shí)還是幸運(yùn)的。因?yàn)樗麄兊腻X(qián)是被一種能感知的方式搞走的，遭受損失后，就會(huì)開(kāi)始重視安全。

然而，很多入侵是悄無(wú)聲息的，弄走錢(qián)的方式是不知不覺(jué)的。比如把你的數(shù)據(jù)賣給你的競(jìng)爭(zhēng)對(duì)手，讓對(duì)手掌握主動(dòng)掌握先機(jī)。歸根結(jié)底，還是等于通過(guò)入侵把你的錢(qián)弄走了。但你沒(méi)感覺(jué)，你只會(huì)覺(jué)得競(jìng)爭(zhēng)對(duì)手一下變強(qiáng)了。即使因此企業(yè)倒閉，都不知道是怎么搞的。這種企業(yè)會(huì)長(zhǎng)期停留在安全的幻覺(jué)中，認(rèn)為一切報(bào)告漏洞的人都是麻煩制造者。

這些“麻煩制造者”可能確實(shí)很麻煩，他們不太考慮企業(yè)感受，特別想證明自己發(fā)現(xiàn)的問(wèn)題很嚴(yán)重。但是，無(wú)論有沒(méi)有他們，真正的網(wǎng)絡(luò)犯罪者都一樣會(huì)存在，一樣會(huì)默默地去入侵系統(tǒng)，去竊取數(shù)據(jù)，換成錢(qián)。而如果沒(méi)有這些“麻煩制造者”，會(huì)有更多企業(yè)沉浸在安全的幻覺(jué)中，真正的網(wǎng)絡(luò)犯罪實(shí)施起來(lái)則會(huì)更輕松。

每一朵烏云都有一道金邊，每一頂白帽都有一道黑邊。希望“白帽子”能學(xué)習(xí)一些法律，保護(hù)好自己；希望企業(yè)能想明白道理，知道自己真正的敵人是誰(shuí)。

雷鋒網(wǎng)注：轉(zhuǎn)載請(qǐng)聯(lián)系授權(quán)，并保留作者和出處，不得刪減內(nèi)容。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。