网络安全漏洞法律问题研究.pdf
网络安全漏洞法律问题研究 张 衠【期刊名称】信息安全与通信保密【年(卷),期】2015(000)004【总页数】5 2014 年,随着“心脏出血”、“破壳”等涉及全球数亿设备安全漏洞的曝光,网络安全漏洞问题再次成为网络安全焦点问题。一方面,围绕安全漏洞形成了一个有高度组织性的庞大黑客市场,对全球范围内的政府、企业和个人的网络安全造成巨大的威胁;另一方面,CERT/CNCERT 等机构建立了国家级的信息安全漏洞共享平台,谷歌“零计划”、惠普 DVLabs“零日计划”等由企业自主发起的漏洞挖掘激励计划,以及乌云网之类民间漏洞披露平台成为推动漏洞修复,维护网络安全的重要力量。此外,在全球网络安全与国家安全高度融合、产业竞争日趋激烈的背景下,网络安全漏洞作为重要的资源也成了国家间安全竞争、企业间商业竞争的重要手段。从管理制度层面看,漏洞挖掘和披露行为的法律性质目前尚不明确,存在大量的灰色地带。因此,研究网络安全漏洞的法律规制,对于打击网络犯罪,切断网络黑色产业链,引导黑客人才脱离非法市场并进入白帽人才市场,保障政府、企业和个人的网络安全有着重要意义。一、网络安全漏洞的存在具有必然性和普遍性 漏洞也称脆弱性,是网络信息系统中必然存在的弱点和瑕疵。国际标准化组织(ISO)在 ISO27005信息技术安全技术信息安全风险管理中将漏洞定义为,包括支持组织使命达成的信息资源在内的、有利于组织、业务操作和连续性的一个或一组资产具有的能被一个或多个威胁利用的弱点;互联网工程任务组(IETF)在网络安全术语表中将漏洞定义为系统在设计、实施、运行和管理中能被用来干扰系统安全策略的瑕疵或弱点;美国国家安全系统委员会在国家信息保障术语中将漏洞定义为在信息系统安全规程、内部控制或实现中可能被利用的弱点;欧洲网络和信息安全局(ENISA)将漏洞定义如下:存在的弱点、设计或操作错误,可能导致意外不良事件危及计算机系统、网络、应用程序或协议的安全。我国国家标准信息安全技术 信息安全风险评估规范(GB/T 20984-2007)将信息系统脆弱性定义为“可能被威胁所利用的资产或若干资产的薄弱环节”。从上述的漏洞定义看,漏洞是网络信息安全的内部威胁,本身并不会造成损害,但所有的安全威胁均是由于漏洞的存在,一旦漏洞被发现、披露和滥用就可能造成损害。1995 年,Peter Neumann提出了除人为破坏之外的计算机安全漏洞产生的9 个原因,也解释了漏洞存在的必然性。信息社会的发展推动了新技术和新应用的繁荣和创新,也使网络安全漏洞成为涉及数亿网民的普遍性问题。2014 年,OpenSSL 心脏出血(Heartbleed)漏洞、OpenSSL 3.0 贵宾犬漏洞、Bash Shellshock 破壳漏洞、IE 0Day 漏洞、Struts 漏洞、Flash 漏洞、Linux 内核漏洞、Synaptics 触摸板驱动漏洞、USBbad等一系列高危漏洞先后曝光,受影响的网站、操作系统、硬件设备范围之广和程度之深均系前所未有。从中国国家信息安全漏洞库查询,仅 2014年,就有 8622 条漏洞信息纪录,而美国国家漏洞库 2014 年公开的漏洞也有7937 个。漏洞数量创新高,一方面说明安全越来越被重视,漏洞的不断挖掘和披露推动了漏洞的修复和系统安全性的提升;另一方面也反映出安全形势日益严峻,如不能及时修复曝光的漏洞,就很可能造成机构和用户的巨大损失。二、网络安全漏洞挖掘和披露的理念分析 网络安全漏洞存在的必然性和普遍性使得漏洞成为网络安全攻防双方争夺的重要资源,漏洞的发现也成为防护和攻击的第一步。但漏洞的广泛挖掘和披露究竟是有利于网络安全防护还是更方便于网络犯罪呢?以近几年先后曝光 CSDN、天涯、当当、京东商城、携程、12306 等网站重大安全漏洞的乌云网为例,高频度的漏洞披露为乌云网带来了广泛的知名度,但也引发了不小的争议。反对者认为乌云网不应将漏洞公布于众。如果心怀不轨的黑客利用这些消息入侵被曝光网站内部,进行违法行为,是否应当追究乌云网的连带责任?也有人质疑乌云网 IT 技术人员(白帽子)借曝光技术漏洞要挟有关企业以求回报。而支持者则认为,乌云网在公布漏洞信息时仅包含简单的摘要、厂商的态度以及漏洞的可能后果,这些信息不足以对网络安全构成威胁。乌云网为善意公布公共网络安全漏洞的白帽子提供了与企业良性互动的渠道,能及时发现漏洞并推动漏洞的修复,进而提高了网络安全水平。关于漏洞的挖掘和披露有两种理念。第一种是“隐匿式安全”,即对安全漏洞和攻击方式保密,只有一小部分受信任的安全专家和白帽子可以知晓,并进行研究修补。这种观念认为,将安全漏洞保密可以减少漏洞被滥用的机会。另一种则是与软件开源运动同时兴起于上世纪 90 年代末的“开放式安全”。这种理念的支持者认为,参与安全问题讨论的人越多,就越有利于修复漏洞。将漏洞隐藏起来只对两类人有利:一是意图滥用这些漏洞的黑客;二是企图掩盖问题和偷偷修复漏洞的企业。从积极的方面看,安全漏洞信息的公开披露有利于公众安全意识的快速提高,有利于敦促厂商和系统管理员及时采取措施,使漏洞在被用于窃取和欺诈等恶意目的之前得到修复,而安全人员也能知晓黑帽子所知的安全漏洞,使攻防双方处于同等的情报水平。从负面效果来看,大量高危漏洞的曝光,容易导致用户的恐慌,夸大问题的严重性,甚至严重影响政府、厂商、公众之间的互信关系;同时,在漏洞信息披露和为漏洞打上补丁之间将留下威胁网络安全的机会窗口,并使技术水平不高的黑客也能成为潜在的网络攻击者,降低了恶意利用漏洞的门槛,增加了安全人员快速响应的压力。尽管各界在“隐匿式安全”和“开放式安全”之间尚存有争议,但总体趋势是漏洞的披露向“开放式安全”方向发展。关于隐匿还是开放的争论越来越少,而讨论的重点开始转向如何避免法律风险,达成负责任的开放目标。三、漏洞挖掘和披露的行为分析 1.漏洞挖掘和披露的参与主体 网络安全漏洞挖掘和披露的参与主体众多,大致可分为以下几类。一是厂商内部的软件开发者,在软件设计和运行过程中利用漏洞检测工具发现和修补漏洞;二是安全企业的研究人员,他们进行漏洞挖掘有的是受厂商的委托,有些则是为了体现企业安全能力和水平,如谷歌的“零计划”、惠普的 ZDI、国内 360的安全人员等等;三是在第三方平台上对厂商产品进行漏洞测试和报告的安全研究人员,比如乌云众测、漏洞盒子、Sobug 白帽众测等第三方众测平台汇集了一大群并不隶属于平台的安全研究人员;四是参与厂商的漏洞奖励计划、寻找软件和服务漏洞的人员;五是活跃在黑市进行漏洞挖掘和交易、换取非法利益的黑帽子。2.漏洞挖掘和披露的形式 网络安全漏洞挖掘和披露的形式,按参与方动机的不同可以粗略分为恶意的公开形式与非恶意的公开形式。恶意的公开形式包括:一是将漏洞在黑市作交易性公开。根据兰德公司 2014年黑客市场报告,黑客市场在过去 10 年到 15 年间已经从最初的相互没联系的个人网络,发展成为有财力推动、有高度组织性的、经验丰富的集团的游戏场。漏洞是黑客市场上最重要的交易商品。发现漏洞的黑客可以直接在黑市上将漏洞出售给意图利用漏洞实施违法活动的个人或组织。二是利用漏洞对厂商进行敲诈勒索。以公开漏洞要挟相关企业或者系统所有人获取利益也是常见的恶意漏洞公开形式。三是通过披露竞争对手的漏洞信息打击对手的商誉。比如备受质疑的谷歌高调披露竞争对手微软和苹果的漏洞和漏洞被利用细节事件。非恶意的公开一般是指安全研究人员出于提升网络安全水平的目的而进行的漏洞披露。一是受厂商的授权或委托进行的漏洞披露,包括受厂商委托进行渗透测试,参与第三方平台的众包测试;二是事先未获得厂商授权,但在厂商提供的漏洞奖励计划并获得奖励后,可视为事后追认的授权;三是为了符合监管的要求而披露,比如在个人信息泄漏事件中,根据信息安全事件报告制度的要求,必须披露漏洞的相关信息。欧盟2002/58/EC 关于电子通信领域个人数据处理和隐私保护的指令(关于隐私和电子通信指令)第 4 条第 2 款规定:万一有破坏网络安全的特殊风险,公用电子通信服务提供者必须告知与风险相关的订户,如果该风险超出了服务提供者所能采取的措施范围,公用电子通信服务提供者必须告知订户任何可能的救济措施包括由此可能发生的相关费用。加州数据安全泄漏通知法也就数据处理企业在发生数据泄漏时需承担通知用户的法律义务。3.“阳光下的漏洞市场”的形成 随着网络安全需求的不断提升,一个“阳光下的漏洞市场”正在形成。苹果、谷歌、腾讯、阿里等大型互联网公司都发起了漏洞奖励计划,奖励漏洞发现者提交其产品漏洞信息的行为。惠普旗下TippingPoint 的项目组 ZDI 零日计划和谷歌零计划则采用另一种模式,即提供免费的漏洞信息,以帮助营销其安全产品和服务。此外,谷歌、惠普等企业还赞助全球性的黑客大赛,比如全球最著名、奖金最丰厚的黑客大赛Pwn2Own 即是由惠普旗下 TippingPoint 的项目组 ZDI 主办,谷歌、微软、苹果、Adobe 等都对比赛提供支持,通过黑客的挑战来完善自身产品。对安全研究人员来说,能在 Pwn2Own 上获奖,就象征着研究水平已经达到世界领先水平。参赛者如能够攻破上述广泛应用的产品,将获得 ZDI 提供的现金和非现金奖励,而 ZDI 也会将产品漏洞反馈给相关厂商,帮助厂商进行修复。四、漏洞挖掘与披露的法律风险 对网络安全漏洞披露行为的分析主要是为了在一定程度上厘清漏洞公开行为合法与非法的界限。恶意的漏洞披露行为因其与后续行为结合具有明显的危害性,在违法与侵权的认定上并没有太大的障碍。但非恶意的漏洞披露行为却在法律上具有不确定性。比如渗透测试是邀请第三方安全专业人士通过模拟恶意黑客的攻击方法来评估计算机网络系统的安全。在此情况下,安全专家通常获得了对网络或系统进行攻击的许可,因而法律认为这是一种获得授权的行为,并不会导致刑事制裁。法律的模糊地带在于,在未获授权的情况下,安全人员是否可以主动进行漏洞调查,即“白帽子”在没有得到企业或厂商允许的前提下入侵该企业的网络,这种“非授权访问”是否违法,是否存在安全研究的例外?这种情况在法律上具有不确定性。1.欧洲网络犯罪公约的有关规定 网络犯罪公约是第一个对抗网络犯罪的国际协定,其主要目标是寻求打击网络犯罪的共同刑事政策,特别是建立适应网络犯罪的法律体系和国际协助。欧盟成员国、美国、加拿大、日本等国都加入了该公约。公约包含了三个主要部分:实体法、程序法和国际合作。公约第 210 条规定了 4 类 9 种犯罪。第 1 类是侵犯计算机数据和系统保密性、完整性和可用性的犯罪,包含 5种犯罪,即非法侵入计算机系统罪、非法拦截计算机资料罪、非法干扰计算机资料罪、非法干扰计算机系统罪、滥用计算机设备罪。这类犯罪伴随计算机、网络技术的发展应用而生,是一类新的犯罪,可以称其为“计算机犯罪”或者“纯正的计算机犯罪”。后 3 类分别是与计算机相关的犯罪、与内容相关的犯罪、与侵犯著作权及邻接权有关的犯罪,它们包含 4 种犯罪,即与计算机相关的伪造罪、与计算机相关的诈骗罪、与儿童色情相关的犯罪、侵犯著作权及其邻接权罪。这 4 种犯罪在计算机、网络技术出现以前就已经存在,计算机、网络技术的使用赋予这些犯罪以新特点,如新的行为方式、犯罪对象、危害后果等,因此它们被称为“与计算机相关的犯罪”。安全漏洞挖掘与披露行为与第一类计算机数据与系统犯罪最为相关。根据公约的解释报告,网络犯罪行为的最主要特征是“非授权”性。解释允许对“授权”作广义理解,不仅包括传统法律中的基于同意、自卫等情况,还包括基于立法、行政命令、管理、司法、合约、合意等情形,以及依据缔约国法律确定的其他情形。以非法入侵计算机系统罪为例,公约第二条规定了该罪成立的要件,主观上具有故意,非授权实施和入侵他人计算机系统的全部或部分。有些国家对犯罪意图作狭义上的规定,对无害的或出于帮助发现系统缺陷或隐患的侵入不视为犯罪;有的国家,比如澳大利亚,非授权访问的犯罪构成,并不以意图或是否造成损害作为罪与非罪的标准,即便单纯的进入系统也可构成本罪。未获授权的漏洞挖掘行为,不管是出于好奇心还是为了披露和利用漏洞,都至少包含了非授权访问数据的行为,这是黑客活动的本质。仅仅披露安全漏洞并不一定是计算机犯罪。但利用漏洞非法访问数据库,在系统上安装恶意软件,盗窃信用卡数据等严重犯罪行为则属于计算机犯罪的范围。黑客明知他人会利用漏洞信息进行犯罪活动而故意披露漏洞信息,可以根据情形认定为计算机犯罪的帮助、共谋或是教唆行为。2.我国法律的相关规定 目前,我国法律尚未对漏洞的挖掘和公开行为作出明确的规定。我国刑法第 285 条、第 286 条、第 287 条、刑法修正案(七)以及全国人大常委会关于维护互联网安全的决定规定了侵犯计算机信息系统安全的犯罪,非法侵入计算机信息系统罪和破坏计算机信息系统罪,以及利用计算机、互联网实施的其他网络犯罪。2011 年,两高联合发布了关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释,明确了制作黑客工具、销售黑客工具、非法获取计算机信息系统数据、非法控制计算机信息系统、倒卖非法获取的计算机信息系统数据、倒卖非法控制的计算机信息系统的控制权等各种行为的刑事责任。一般认为,恶意公布或售卖漏洞的行为属于黑客攻击行为的帮助行为,对行为人按照黑客犯罪的从犯进行定罪量刑。但在实践中,由于帮助犯的故意仅限于直接故意,如果恶意公布漏洞的行为作为后续实行犯的帮助行为,则很难被认定为共犯。因为行为人公布虽然是恶意的,但对于后续的行为往往只是一种盖然性认知。对于非恶意的漏洞挖掘和公布行为,如白帽黑客发掘漏洞并告知厂商换取报酬或者通过乌云等网络安全漏洞发布平台予以公开的行为,我国现行法律法规尚无针对性的界定。3.安全研究的例外 2015 年年初,美国总统奥巴马提出了修改计算机欺诈和滥用法的提案,要求扩大计算机欺诈和滥用法案中“非授权访问”的定义。按照该提案,漏洞信息的公开属于犯罪行为,因其助长了网络攻击的发生。这对于大量从事专业网络安全漏洞挖掘和公开的白帽黑客来说是一个灾难性的消息,这将使得专业的日常安全研究成为非法活动。这一提案引发了极大的争议。白帽的漏洞挖掘和发布行为是否适用安全研究的例外规定?网络犯罪公约和我国的刑法中对此都没有相关的规定。当前,白帽正在成为解决恶意软件、网络攻击和非法网络活动的主要力量,但他们在这些活动中可能面临非法访问计算机数据的指控。美国数字千禧年版权法(DMCA)中关于规避技术保护措施的例外规定或许可以为刑事立法中规定安全研究的例外提供借鉴。DMCA 设定了三项例外,包括安全测试、加密研究和反向工程。安全测试例外指漏洞信息的获取和利用仅仅是为了被测试的计算机系统的所有人或运营人的安全;获取的漏洞信息直接与系统开发者进行分享;获取的信息不得用于可能导致侵犯版权或其他非法目的的用途。加密研究例外包括,研究人员需是职业密码学家,对提高该领域的知识有必要,以及公开结果不会造成侵权。反向工程例外,是为了实现程序的互操作性,且是必要的;其信息披露的唯一目的是为了增强程序的互操作性。五、完善我国网络安全漏洞挖掘与披露制度的建议 随着移动互联网、智能终端、大数据、云计算、物联网等技术研发和产业化的推进,用户对网络的依赖程度越来越高,网络与信息安全的问题也日益突出。计算机体系结构的固有缺陷使网络安全漏洞将呈大规模爆发趋势。随着“阳光下的漏洞市场”逐渐形成,越来越多的白帽进入该市场,于是,规范、引导和监管白帽的漏洞挖掘和披露行为就成了网络安全漏洞管理的重要内容。1.完善法律制度,确立网络安全研究的例外制度 通过刑法、刑法修正案(七)、全国人大常委会关于维护互联网安全的决定以及两高关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释,我国已经初步建立起了打击网络犯罪、惩治黑客攻击、斩断网络安全犯罪地下产业链的制度措施。同时,在网络安全成为国家战略的大背景下,网络安全产业的发展和提升也需要通过法律制度来规范网络安全研究人员行为的合法性,以吸引更多的黑客加入到白帽行列,壮大我国网络安全人才队伍。适时确立网络安全研究的例外制度,明确特定目的下网络安全研究行为,比如漏洞披露、攻击、非授权访问的行为边界,能使网络安全研究人员挖掘和披露漏洞的行为受到明确的规范和约束,进而减少从业人员的法律风险。2.构建负责任的漏洞公开自律制度 在法律缺少明确规定的情况下,企业或行业的自律准则往往能够发挥规范市场、引导从业者行为的作用。在 2001 年,名为“热带雨林小狗(Rain Forest Puppy)”的黑客提出了安全研究者和软件开发者的沟通原则,即所谓的 RFPolicy 指导方针。他建议厂商至少应当每 5 天联系一次安全研究人员。这一方针旨在鼓励各方在事件处理和协调中定期进行沟通。惠普的零日计划也制定了负责任的漏洞披露政策。该政策描述了惠普 DVLabs 如何就漏洞披露与产品厂商、惠普 TippingPoint 的客户、安全厂商和普通公众进行负责任的沟通,惠普 DVLabs 一旦发现某种产品或服务存在安全瑕疵就会迅速通知产品厂商。如果厂商在 5 个工作日内对通知没有响应,DVLabs 将与厂商代表进行正式的电话沟通。5 个工作日之后,如果厂商对第二次电话沟通还是没有回应,DVLabs 将会通过第三方与厂商进行联系。如果 DVLabs 穷尽所有合理的方法与厂商进行了联系之后未果,DVLabs 将在首次联系之后的 15 个工作日后公开披露其发现的漏洞。如果厂商在联系后作出回应,DVLabs 将允许厂商在六个月内对漏洞进行修补。如果厂商到了最后期限仍没有回应或无法提供合适的理由解释为何不修补漏洞,DVLabs 将发布漏洞公告。美国计算机紧急事件响应小组协调中心(CERT)制定的漏洞披露政策与零日计划的漏洞政策基本类似,仅有一些小小的不同。例如,安全研究人员发现的漏洞被利用信息并不向公众发布,发布的内容仅包括漏洞本身,并仅向有限的受众发布。漏洞在通报厂商之后的45 天即向公众公开。从上述行业制定的自律规则来看,负责任的漏洞公开策略大致包含如下内容:一是漏洞发现者在披露漏洞信息之前必须与相关厂商联系,告知漏洞的信息;二是通报漏洞信息后,要给厂商处理问题的合理时间;三是厂商没有在一定期限内修补漏洞,再向公众公开漏洞信息;四是漏洞信息的公开内容可以是全部也可以是部分。3.加强对第三方平台与从业人员的监管 针对乌云网、漏洞盒子等第三方漏洞发布平台的兴起,网络安全监管部门需要加强对其漏洞审核、漏洞发布、人员身份审核、漏洞信息保存等机制的监管,推动建立合理的良性的安全研究人员与厂商的互动机制。对于网络安全研究人员,需要逐步建立起职业资格认证制度,吸引更多的黑客加入白帽行列;推动首席信息官、首席信息安全官等岗位的设立,引导高端网络安全人才加入到国家网络与信息安全和应急服务工作中来。
