丁香五月天婷婷久久婷婷色综合91|国产传媒自偷自拍|久久影院亚洲精品|国产欧美VA天堂国产美女自慰视屏|免费黄色av网站|婷婷丁香五月激情四射|日韩AV一区二区中文字幕在线观看|亚洲欧美日本性爱|日日噜噜噜夜夜噜噜噜|中文Av日韩一区二区

您正在使用IE低版瀏覽器,為了您的雷峰網(wǎng)賬號(hào)安全和更好的產(chǎn)品體驗(yàn),強(qiáng)烈建議使用更快更安全的瀏覽器
此為臨時(shí)鏈接,僅用于文章預(yù)覽,將在時(shí)失效
專欄 正文
發(fā)私信給白帽匯趙武
發(fā)送

1

白帽子被抓事件:獲取計(jì)算機(jī)系統(tǒng)數(shù)據(jù)罪與非罪的界限

本文作者: 白帽匯趙武 2016-07-06 09:20
導(dǎo)語(yǔ):“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪”到底是個(gè)什么罪?白帽子獲罪了嗎?

雷鋒網(wǎng)按:本文作者北京市京都(深圳)律師事務(wù)所 劉華斌,由白帽匯投稿雷鋒網(wǎng)。

白帽子被抓事件:獲取計(jì)算機(jī)系統(tǒng)數(shù)據(jù)罪與非罪的界限

(via:tutzone.org

本案在網(wǎng)絡(luò)安全界已經(jīng)是討論地?zé)峄鸪欤虮景钢幸呀?jīng)公開(kāi)的資料中,諸多細(xì)節(jié)點(diǎn)未得到司法機(jī)關(guān)官方公布。故依據(jù)最近來(lái)源原則,只局限于討論袁煒父親《致第四屆網(wǎng)絡(luò)安全大會(huì)的一封信-白帽子檢測(cè)漏洞到底是不是犯罪?》(以下簡(jiǎn)稱《公開(kāi)信》)中描述情況作分析。

| “非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪”是個(gè)什么罪?

公開(kāi)信提到,2016年3月8日,北京市公安局朝陽(yáng)分局以涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪,將袁煒刑事拘留;4月12日,北京市朝陽(yáng)區(qū)人民檢察院批準(zhǔn)以涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪逮捕。

1997年3月14日修訂的《中華人民共和國(guó)刑法》第285條規(guī)定“ 違反國(guó)家規(guī)定,侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的,處三年以下有期徒刑或者拘役?!弊锩麨椤胺欠ㄇ秩胗?jì)算機(jī)信息系統(tǒng)罪”。

為適應(yīng)網(wǎng)絡(luò)急劇發(fā)展的現(xiàn)實(shí)情況,2009年2月28日,全國(guó)人大常委會(huì)頒布《刑法修正案(七)》,在刑法第285條中增加兩款作為第二款、第三款,其中第2款規(guī)定:

違反國(guó)家規(guī)定,侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段,獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù),或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑,并處罰金。 

非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪屬于情節(jié)犯,即達(dá)到一定情節(jié)后,才予以追究刑事責(zé)任。

| 本案中何種情形才構(gòu)罪?

《公開(kāi)信》提到,在此過(guò)程中,上?;ㄇ?shù)信息科技公司自行委托北京通達(dá)首誠(chéng)司法鑒定所對(duì)其服務(wù)器日志進(jìn)行鑒定,鑒定認(rèn)為,根據(jù)服務(wù)器日志顯示,世紀(jì)佳緣網(wǎng)在2015年12月3日日17時(shí)許至4日10時(shí)許,陸續(xù)受到“124.160.67.131”等11個(gè)IP地址(其中一個(gè)是北京的,明顯與袁煒無(wú)關(guān))以SQL注入為手段的訪問(wèn)請(qǐng)求,注入請(qǐng)求為4400余次。SQL注入成功后,入侵者對(duì)網(wǎng)站數(shù)據(jù)庫(kù)進(jìn)行了讀取操作,涉及“讀取”操作的數(shù)據(jù)庫(kù)數(shù)據(jù)信息為932條。

最高人民法院、最高人民檢察院《關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問(wèn)題的解釋》(以下簡(jiǎn)稱《解釋》)中規(guī)定了五種在司法上可以認(rèn)定為“情節(jié)嚴(yán)重”的情形,即,非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)或者非法控制計(jì)算機(jī)信息系統(tǒng),具有下列情形之一的,應(yīng)當(dāng)認(rèn)定為《刑法》第285條第2款規(guī)定的“情節(jié)嚴(yán)重”:

(一)獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息十組以上的;

(二)獲取第(一)項(xiàng)以外的身份認(rèn)證信息五百組以上的;

(三)非法控制計(jì)算機(jī)信息系統(tǒng)二十臺(tái)以上的;

(四)違法所得五千元以上或者造成經(jīng)濟(jì)損失一萬(wàn)元以上的;

(五)其他情節(jié)嚴(yán)重的情形。

同時(shí),解釋在尾部又說(shuō)明:本解釋所稱“身份認(rèn)證信息”,是指用于確認(rèn)用戶在計(jì)算機(jī)信息系統(tǒng)上操作權(quán)限的數(shù)據(jù),包括賬號(hào)、口令、密碼、數(shù)字證書(shū)等。本解釋所稱“經(jīng)濟(jì)損失”,包括危害計(jì)算機(jī)信息系統(tǒng)犯罪行為給用戶直接造成的經(jīng)濟(jì)損失,以及用戶為恢復(fù)數(shù)據(jù)、功能而支出的必要費(fèi)用。

很顯然,基于袁煒獲得的不屬于金融服務(wù)信息,可排除第1種情形;基于未控制計(jì)算機(jī),排除第3種情形;基于未獲利,也未造成經(jīng)濟(jì)損失,排除第4種情形;第5種是立法技術(shù)上的授權(quán)和自由裁量,暫不討論。

那么最大可能是涉及第2種情形,而第2種情節(jié)情形規(guī)定有二項(xiàng)必要條件——

一是獲取的必須是身份認(rèn)證信息,即網(wǎng)站用于身份鑒權(quán)的信息;

二是必須達(dá)到500組以上。

再回到《公開(kāi)信》,其未說(shuō)明是否屬于身份認(rèn)證信息,如果該信息不是身份認(rèn)證信息,個(gè)人認(rèn)為不構(gòu)罪。

在細(xì)節(jié)上,基于本案中共有11個(gè)IP進(jìn)行了注入式訪問(wèn),那么需要細(xì)究,具體哪個(gè)IP讀取了多少信息,并具體哪個(gè)IP由袁煒實(shí)際使用

| 合法與違法的邊界在哪里?

在友好測(cè)試中,個(gè)人理解,最重要是“允許”,也就是要取得被測(cè)試網(wǎng)站的經(jīng)營(yíng)主體的合法邀請(qǐng)或授權(quán)。

因?yàn)楦鶕?jù)該罪的構(gòu)成中的“違反國(guó)家規(guī)定”,主要指公安部《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》(2011版)第六條“任何單位和個(gè)人不得從事下列危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的活動(dòng):(一)未經(jīng)允許,進(jìn)入計(jì)算機(jī)信息網(wǎng)絡(luò)或者使用計(jì)算機(jī)信息網(wǎng)絡(luò)資源的;”。

| 白帽子的行為是否可視為已經(jīng)征得世紀(jì)佳緣的允許?

據(jù)袁煒家人的公開(kāi)信提到,并經(jīng)查詢?yōu)踉凭W(wǎng)的廠商紀(jì)錄,2012年1月21日,世紀(jì)佳緣注冊(cè)成為烏云網(wǎng)的企業(yè)用戶。烏云網(wǎng)的注冊(cè)白帽子先后向世紀(jì)佳緣提交了42個(gè)漏洞信息,世紀(jì)佳緣核實(shí)后修復(fù)了相關(guān)漏洞并向?yàn)踉凭W(wǎng)的多名白帽子致謝。

具體到本案中,世紀(jì)佳緣網(wǎng)在烏云網(wǎng)上注冊(cè)為廠商。

烏云網(wǎng)在廠商頁(yè)的介紹中描述為“你可以在WooYun注冊(cè)為廠商來(lái)關(guān)注和修復(fù)自己企業(yè)的安全問(wèn)題”。世紀(jì)佳緣網(wǎng)注冊(cè)為廠商用戶,其也深知烏云網(wǎng)是一個(gè)位于廠商和安全研究者之間的安全問(wèn)題反饋平臺(tái),換句話說(shuō),廠商用戶是希望在第一時(shí)間了解到自身經(jīng)營(yíng)網(wǎng)站是否存在漏洞,并進(jìn)而與白帽子們展開(kāi)良性互助,公開(kāi)信中“烏云網(wǎng)的注冊(cè)白帽子先后向世紀(jì)佳緣提交了42個(gè)漏洞信息,世紀(jì)佳緣核實(shí)后修復(fù)了相關(guān)漏洞并向?yàn)踉凭W(wǎng)的多名白帽子致謝?!贝它c(diǎn)在烏云網(wǎng)是可以找到相應(yīng)的紀(jì)錄的。

如果按普羅大眾對(duì)于“允許”的通行或表象認(rèn)定來(lái)看,或許袁煒并未征得世紀(jì)佳緣的允許,但至少在袁煒事件發(fā)生前,世紀(jì)佳緣網(wǎng)對(duì)于烏云網(wǎng)的此種溝通方式并未提出明示的反對(duì)。而顯然,袁煒也是烏云網(wǎng)的注冊(cè)實(shí)習(xí)白帽子,其與世紀(jì)佳緣的關(guān)系,應(yīng)當(dāng)可適用此前的雙方行為慣例。

正如普羅大眾對(duì)于合同的理解一樣,只有正式的書(shū)面合同才可稱為合同,而在司法實(shí)踐中,口頭合同、甚至于行為合同也是一份合同。例如我們?cè)跁?shū)報(bào)亭買(mǎi)一份報(bào)紙,并不需要言語(yǔ)甚至于眼神的溝通,只需要放下一元錢(qián),則可以取走一份報(bào)紙。

正如本事件發(fā)生后的7月1日,烏云網(wǎng)上白帽子“路人甲”在提交關(guān)于世紀(jì)佳緣的另一高危漏洞“某接口可以遍歷任意用戶信息”后所發(fā)表的一段十分有趣的免責(zé)聲明——

“如果廠商不愿意接受來(lái)自互聯(lián)網(wǎng)的貿(mào)然測(cè)試,可在修復(fù)本漏洞后(或下線服務(wù)器),點(diǎn)擊忽略該漏洞,并在廠商回復(fù)處留下:‘請(qǐng)不要測(cè)試本公司,本公司將采取法律手段約束你們的測(cè)試行為,后果自負(fù)。’,之后走國(guó)際黑名單慣例,不會(huì)再有人關(guān)注貴公司信息系統(tǒng)的安全風(fēng)險(xiǎn)?!?/p>

世紀(jì)佳緣網(wǎng)在收到此前的42次漏洞信息后,完全可以作出相反的書(shū)面聲明,拒絕烏云網(wǎng)的白帽子們?cè)俣葯z測(cè)其漏洞。

根據(jù)大陸法系國(guó)家的民法,采用表示主義,指當(dāng)行為人的效果意思與其表示行為不—致時(shí),法律按行為人表示出來(lái)的意思賦予此行為以法律上的效果。其目的在于側(cè)重保護(hù)相對(duì)人的信賴和交易安全。而意思表示也分為有具體的相對(duì)人和無(wú)具體的相對(duì)人。

最后借用《神探狄仁杰》的一句臺(tái)詞作為結(jié)束。元芳每遇疑案,屢問(wèn)狄仁杰,“大人的意思是……”狄大人標(biāo)準(zhǔn)回答“我沒(méi)有什么意思”,此處玄機(jī),只有狄大人才深知了……

 雷鋒網(wǎng)注:轉(zhuǎn)載請(qǐng)聯(lián)系我們授權(quán),標(biāo)注出處和作者,不得刪減內(nèi)容。

雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。

白帽子被抓事件:獲取計(jì)算機(jī)系統(tǒng)數(shù)據(jù)罪與非罪的界限

分享:
相關(guān)文章

專欄作者

白帽匯創(chuàng)始人
當(dāng)月熱門(mén)文章
最新文章
請(qǐng)?zhí)顚?xiě)申請(qǐng)人資料
姓名
電話
郵箱
微信號(hào)
作品鏈接
個(gè)人簡(jiǎn)介
為了您的賬戶安全,請(qǐng)驗(yàn)證郵箱
您的郵箱還未驗(yàn)證,完成可獲20積分喲!
請(qǐng)驗(yàn)證您的郵箱
立即驗(yàn)證
完善賬號(hào)信息
您的賬號(hào)已經(jīng)綁定,現(xiàn)在您可以設(shè)置密碼以方便用郵箱登錄
立即設(shè)置 以后再說(shuō)