白帽子小A的故事:《网安法》时代,挖漏洞安全姿势指南

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全基线管理CSPM免费试用,1000次1年
云安全中心 防病毒版,最高20核 3个月
简介: 从事安全研究的小A是一名“正义的黑客”——白帽子。 他发现计算机系统或网络系统中的安全漏洞,提供给企业和机构,帮助他们修复漏洞, 而不会恶意去利用。这样一来,在其他人(例如小A的对立方,黑帽子)在利用之前,小A就可以让企业和机构避免损失。

从事安全研究的小A是一名“正义的黑客”——白帽子。

image


他发现计算机系统或网络系统中的安全漏洞,提供给企业和机构,帮助他们修复漏洞, 而不会恶意去利用。这样一来,在其他人(例如小A的对立方,黑帽子)在利用之前,小A就可以让企业和机构避免损失。

6月1日《网络安全法》正式实施以后,对白帽子参与渗透测试行为提出了法律要求。小A有点慌:因为他热爱的漏洞挖掘,有可能会踩到法律的“雷区”。

image


这篇对白帽子的《网安法》宝典,会告诉小A:他应该知道的几个法律雷区,以及相应的处罚和责任;小A现在怎么做,才能符合《网安法》的要求,减少、规避自身的风险?

我们以小A可能会碰到的场景开始。

《网络安全法》中,小A容易碰哪些“雷区”?

image


1、小A如果未经授权就去开始渗透测试,或者开展渗透测试的时间不是在客户授权的时间,或者测试范围超过了客户的授权,都可能被认定为是非法入侵他人网络的违法行为,需要承担法律责任。

2、小A在客户授权下进行渗透测试,但是在测试过程中窃取或篡改了客户的数据,也构成违法行为,将会面临法律责任。

3、小A在客户授权下进行渗透测试,发现了客户系统的漏洞,正常情况下应该联系客户修复,但是小A对外公布了这些漏洞,这属于违法行为,将面临法律责任。

4、小A写了一个批量获取肉鸡的工具,上传到网上,这属于提供危害网络安全活动的程序、工具,也属于违法行为,将面临法律责任。

5、朋友在做一些窃取别人网站数据的违法事情,找到小A,小A通过漏洞拿到的网站的权限,然后提供给朋友,这个过程,小A提供了技术支持,同样面临法律责任。

6、小A写了一个程序或者修改别人的程序,在程序中插入了恶意代码,然后发布到网上被恶意传播,导致大量用户中招,会面临严重的法律责任。

7、小A无意中发现了某城市交通的系统漏洞(国家关键信息基础设施:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域),然后进行入侵,干扰正常的业务功能。

由于这些关键信息基础设施一旦遭到破坏,可能会严重危害到国家安全、国计民生、共公共利益,因此小A将会面临更严重的法律责任。发现问题,应该第一时间联系有关部门(例如国家互联网应急中心)通知修复。

8、小A在境外对中国境内的能源基础设施做渗透,造成系统瘫痪,也会面临法律责任。

不小心踩了法律“雷区”,小A会收到什么处罚?

image


1、尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款; 情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。

2、构成犯罪的,将会被判处有期徒刑或拘役,并处罚金。

3、受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。

白帽子小A,他现在应该做什么?

image


作为一个白帽子,小A首先要了解《网络安全法》,培养自己良好的社会价值观,在测试过程中,发现问题,积极协助客户去修复安全漏洞。

给小A的9条“守法”建议:

1,进行渗透测试前要取得客户授权;

2,在客户授权的时间和测试范围内进行测试;

3,发现漏洞尽快通知用户,不公布和传播漏洞;

4,不窃取、出售、篡改用户数据;

5,不恶意攻击他人服务器;

6,不在他人服务器留后门;

7,不去入侵或干扰国家关键信息基础设施的系统;

8,不协助他人攻击别人服务器;

9,不传播恶意攻击程序。

其次,小A在测试过程中,可以用用以下的建议:

image


1、任何测试一定要得到授权,要选择能保护自己的平台。测试过程时刻记得点到为止,不得窃取,篡改数据,留后门,或者做一些可能影响业务的操作;可能需要进一步渗透的,需要提前联系厂商进行报备,在征得同意的情况下,继续测试。

2、在做测试的过程中,尽可能保留测试过程,当有问题发生时,避免一些不必要的麻烦。

3、提交漏洞选择有实名认证的平台,要签署白帽子协议。这样在出现问题时,在不违反法律规定和协议约定的前提下,平台可以保护白帽子利益。


致已经、或将要加入先知的白帽子们:
守法第一,责任为先。



image


从2015年开始,阿里云先知平台逐渐建立了从身份认证、行为审计到漏洞审核的“可信闭环”。

在身份认证和人员准入方面,先知测试人员经过支付宝实名认证;

在行为审计和漏洞审核方面,先知通过大数据安全分析,对测试人员行为及路径进行实时审计和展现,判断其操作是否符合平台规则;同时为企业提供完整的漏洞报告,对企业的漏洞信息严格保密。

2016年,阿里云也通过《安全服务职业宣言》向安全行业发出“尊重、正直、公正、责任”的倡议,承诺始终将客户安全放在第一位,呼吁安全行业从业者保护客户的隐私与权益。

2017年,先知平台的主题是责任。在《网络安全法》正式实施之际,先知呼吁所有平台上的白帽子都能去懂法、守法,严格遵守先知平台的保密规定,保护自己。

在先知,白帽子,是一群有技术、有爱心、有正义感的网络护航者。而《网络安全法》的要求,是对正义者的保护伞。白帽子们,走好每一步,用技术和责任去为世界带来更多美好的改变。

原文链接

目录
相关文章
|
6月前
|
安全 网络安全 网络架构
黑客精神和白帽子
在当今数字化的世界里,黑客精神和白帽子的角色变得愈发重要。本文将探讨黑客精神的本质,介绍白帽子的概念和职责。
|
安全 Linux 测试技术
花无涯带你走进黑客世界3 白帽和黑帽
只有不懂法律,不知道自己的行为合法才会犯法,所以知法方能不犯法。谈谈小白如何慢慢学习网络安全相关知识,有正确得价值观,做正确的事情,欢迎各界人士给建议。相信每一个对计算机感兴趣的童鞋都有着一颗黑客的心,我也不例外,我希望通过一系列的文章让大家了解黑客和网络安全。
|
安全 搜索推荐 程序员
来看看天才“黑客”是如何让Foursquare 起死回生的
工程师Anoop Ranganath坐下来,开始和数据科学家 Blake Shaw 交谈。一切都是从这里开始的。
156 0
来看看天才“黑客”是如何让Foursquare 起死回生的
|
安全 Windows Linux
【微软一生黑系列】每天早上迎接我的不是女朋友的早安,而是4个令人抓狂的漏洞!
清晨6点,我走出地铁站,准备迎接第一缕曙光。一份温暖的麦当劳早餐~~一大早,图书馆已经有不少学生排队进去自习,其中不乏小萌妹。图书馆丰富的书真是有利学习。我打开笔记本电脑准备开始做项目。手机振动,打开屏幕,看到女朋友发的“早安,么么哒”。
1751 0
|
安全
暖心!阿里安全白帽挖漏洞做公益 连收2462封山区小孩感谢信
近日,阿里巴巴安全部安全专家木雁收到一份特别的礼物——整整2462封感谢信。
3757 0
思考问题的“六顶帽子”
为什么叫“六顶帽子”?首先,思考问题与头脑有关,而“帽子”又与头有着直接联系;第二,帽子是人们常用的一种物品,并且具有轻易戴上或摘下的特点;第三,如果赋予帽子一定的角色,便可以标明它的功能和职责;第四,六顶不同颜色的帽子,分别代表着六个不同方式的思考。
1382 0
下一篇
无影云桌面