因为这个消息,安全圈炸了
某匿名带头大哥在银川政府平台进行未授权漏洞测试时,插入恶意代码而导致网站后台模块瘫痪,之后网站管理员报案,这位匿名者因涉及违法犯罪行为抓走了。
具小编所知,这位匿名带头大哥是国内一家漏洞平台的一名白帽子,银川本地人,跟很多网络上的白帽子一样利用业余休息时间进行漏洞挖掘,目的就是帮助家乡政府网站建设,挖一个洞,交个报告,上传至某平台,拿个证书,心里美滋滋,这样一个白帽子日常的善意举动,怎么一不小心就摊上事了。
此消息一出,安全圈各群都炸了(图片源于网友投稿,如有侵权请联系反馈)
法律意识薄弱不是借口,网络安全法律法规认知十分重要,在这里破壳必须给大家上入门网络安全行业的第一课
为什么要学习法律法规
很多同学可能一看标题就失去了点进来的想法。原因我想无非有以下2点:
1.觉得教条。你可能会想,记不住、也没兴趣。
2.觉得没用。你可能会想,我搞安全是真心对技术感兴趣,又不想做黑产干坏事儿,难道还会触犯法律吗?
非常能理解大家的想法,想当年我也在这堂课上打过瞌睡。今天这节课我不会给大家念法律条款,我只想帮助大家建立一个认知 —— 作为一名单纯的安全技术爱好者,如何避免因为无知而无意触犯法律,让自己陷入不必要的困境。另外,只有清楚边界在哪里,你才能更好的抵制诱惑,保障自己的安全和自由。
哪些重点必须知道?
接下来我会按照以下两个大类帮你按照场景归纳你应该知道的安全法律法规。
第一,哪些事情是明确违法的,千万不能做!!!!
第二,哪些事情的边界比较敏感,需要在日常挖洞测试过程中注意!
第三,无论是受到个人还是单位的测试要求,均要看到相关的授权文件均可进行下一步操作!
首先,我们来看看哪些事情是写进了刑法,是你无论如何也不应该做的。
1.非法侵入计算机系统罪:刑法285条规定,同时具备下面3个条件就构成违法犯罪:
侵入计算机系统
获取计算机信息系统中存储、处理或传输的数据,或者对该计算机信息系统实施非法控制
情节严重
前2个条件都好理解,那什么是情节严重呢?两高给出了这4条具体情况:
获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的
除网络金融服务之外的其他网站身份认证信息,获取500组以上
非法控制计算机信息系统20台以上
违法获取利益5000元人民币以上或者造成经济损失10000元以上
举几个具体例子可能更加直观。白帽子小小p在网上挖漏洞,
他发现自己可以入侵对方网站,比如获取后台的普通权限,但由于不是管理员权限,无法直接获取数据或者对网站进行控制,这种情况是不构成犯罪的。 小p突然灵光一闪,用xss打到管理员cookie,获取了网站管理员登录权限,一时兴起他用SQLMAP跑了600组(超过了500组)账号密码数据,这种情况下他已经构成犯罪了。 小p接受法律教育后,在测某银行APP时,发现有漏洞可以获取认证数据,但他点到为止,只跑了5组(没超过10组)作为证明,这种情况也是不构成犯罪的。
2.破坏计算机信息系统罪:刑法286条规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,并且满足后果严重的条件,就构成违法犯罪。那么哪些情况属于后果严重呢?我来帮大家梳理一下。
造成十台以上计算机信息系统的主要软件或者硬件不能正常运行
对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的
违法所得五千元以上或者造成经济损失一万元以上的
造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上
另外一种情况属于后果特别严重,要千万注意。破坏国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的计算机信息系统的功能、数据或者应用程序,致使生产、生活受到严重影响或者造成恶劣社会影响
还是通过举例来帮助大家理解
小p在测试时,用扫描器把某网站扫挂了,但他发现后及时停止扫描,所以没有触发后果严重的条件,因此还不构成犯罪。 小p手一抖误删了数据库,结果网站瘫痪了,不管是否是失误,只要该网站服务器超过10台,就已经构成犯罪
然后,我们再来看一下哪些行为的边界比较敏感,需要在日常挖洞测试过程中注意的。
1.未经授权测试,如何定义是否犯罪?
既然是未经授权测试,那么已经属于违法行为。但公安机关要定罪,还需要依据刑法285和286条,看是否满足后果严重的条件。还是举2个例子来说明吧。
小小p未经授权测试,发现了某厂商SQL注入漏洞,但他并未获取任何数据,也没有在厂商修复前对外公布漏洞细节(可能导致被别的黑客利用),这种情况下小小P是不构成实际犯罪的。也就是说,假如你出于好心报告漏洞给陌生厂商,被厂商报警,只要你没有做前面我们讲过的后果严重的事情,实际上你都是不会被定义为犯罪的。但是被批评教育一顿是免不了的。 小小p被教育后有点不服气,又发现一个漏洞。他给厂商报告漏洞后,表示不是为了奖金,希望厂商给个小礼物表示感谢。厂商再次报警,这次小小p的行为就已经涉嫌敲诈勒索了,构成犯罪。
上面2个故事告诉我们,未经授权的测试风险很高,所以建议大家选择各大众测平台和SRC进行测试,假如需要入门级的练手,可以通过破壳社区看分享的一些漏洞报告、漏洞经验。也可以联系破壳喵喵酱获取一些基础靶场搭建源码和建议!
2.参加某众测平台的测试,是授权的,有没有什么需要注意的?
首先,一般来说国内比较大的众测平台,比如补天、Sobug、先知等都是非常规范的遵守授权测试原则的。不过,我还是建议大家在开始测试前,看一看平台有没有公布双方签字盖章的授权协议,毕竟只有协议才是有法律效应的。千万别小看这份协议,可能在一个敏感的边界上拉你一把。
然后,在测试的时候,仍然需要注意点到为止,不要造成致命性危害,比如:业务宕机、拖库、删库等。一般来说,众测平台和厂商的服务协议里,会定义测试行为的边界和非主观恶意失误的免责条款。如果不小心出事了,一是放低姿态主动道歉,二是联系众测平台方看是否在免责条款范围内。这个时候,平台能否秉持公正有担当的态度,就非常重要了。记得之前Sobug联合某保险公司发布了一个保障白帽子的保险,白帽子如果无意手滑造成损失的,由保险公司来赔付厂商经济损失。
再者,一般来说厂商不会将单纯的社工等当作漏洞处理。比如在全球知名的众测平台HackerOne上,就有明确说明。所以,对厂商员工或合作方大批量发钓鱼邮件或者发病毒文件,而不进一步为渗透测试作利用的,很可能被认为【后果严重】的行为。
最后总结
作为一名白帽子,最需要注意的是刑法第285条和286条,这些条款里规定的事情,你无论如何也不要做。
在日常挖洞测试过程中,你需要注意得到厂商授权后再测试,各大众测平台和厂商SRC都是有授权的正规渠道。
本文章部分内容参考奇安信补天,对此特别感谢
文章来源
官方 