1. 首页
  2. 网络安全新闻

某安全公司员工未授权渗透测试被警方抓捕

某匿名带头大哥在银川政府平台进行未授权漏洞测试时,插入恶意代码而导致网站后台模块瘫痪,之后网站管理员报案,这位匿名者因涉及违法犯罪行为抓走了。

某安全公司员工未授权渗透测试被警方抓捕

具小编所知,这位匿名带头大哥是国内一家漏洞平台的一名白帽子,银川本地人,跟很多网络上的白帽子一样利用业余休息时间进行漏洞挖掘,目的就是帮助家乡政府网站建设,挖一个洞,交个报告,上传至某平台,拿个证书,心里美滋滋,这样一个白帽子日常的善意举动,怎么一不小心就摊上事了。

经审讯,此人供职于某网络科技公司,负责向运营商提供重要信息系统等级保护测评业务,工作中网络渗透测试的目标网站均获得官方授权,属于公司正常业务行为。

此消息一出,安全圈各群都炸了(图片源于网友投稿,如有侵权请联系反馈)

某安全公司员工未授权渗透测试被警方抓捕

后来在某SRC群内大家也在讨论:

某安全公司员工未授权渗透测试被警方抓捕

“安全圈“再也不是当年的哪个安全圈了,安全时代站长认识的小部分行业内的人也都转行了,我问他们为什么?他们说:就怕哪天上着上着班就被抓走了。

下面给大家普及一下相关的法律法规吧。

首先,我们来看看哪些事情是写进了刑法,是你无论如何也不应该做的
1.非法侵入计算机系统罪:刑法285条规定,同时具备下面3个条件就构成违法犯罪
侵入计算机系统
获取计算机信息系统中存储、处理或传输的数据,或者对该计算机信息系统实施非法控制
情节严重
前2个条件都好理解,那什么是情节严重呢?两高给出了这4条具体情况:
获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的
除网络金融服务之外的其他网站身份认证信息,获取500组以上
非法控制计算机信息系统20台以上
违法获取利益5000元人民币以上或者造成经济损失10000元以上
举几个具体例子可能更加直观。白帽子小小p在网上挖漏洞,
他发现自己可以入侵对方网站,比如获取后台的普通权限,但由于不是管理员权限,无法直接获取数据或者对网站进行控制,这种情况是不构成犯罪的。 小p突然灵光一闪,用xss打到管理员cookie,获取了网站管理员登录权限,一时兴起他用SQLMAP跑了600组(超过了500组)账号密码数据,这种情况下他已经构成犯罪了。 小p接受法律教育后,在测某银行APP时,发现有漏洞可以获取认证数据,但他点到为止,只跑了5组(没超过10组)作为证明,这种情况也是不构成犯罪的。
2.破坏计算机信息系统罪:刑法286条规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,并且满足后果严重的条件,就构成违法犯罪。那么哪些情况属于后果严重呢?我来帮大家梳理一下。
造成十台以上计算机信息系统的主要软件或者硬件不能正常运行
对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的
违法所得五千元以上或者造成经济损失一万元以上的
造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上
另外一种情况属于后果特别严重,要千万注意。破坏国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的计算机信息系统的功能、数据或者应用程序,致使生产、生活受到严重影响或者造成恶劣社会影响
还是通过举例来帮助大家理解
小p在测试时,用扫描器把某网站扫挂了,但他发现后及时停止扫描,所以没有触发后果严重的条件,因此还不构成犯罪。 小p手一抖误删了数据库,结果网站瘫痪了,不管是否是失误,只要该网站服务器超过10台,就已经构成犯罪
然后,我们再来看一下哪些行为的边界比较敏感,需要在日常挖洞测试过程中注意的。
1.未经授权测试,如何定义是否犯罪?
既然是未经授权测试,那么已经属于违法行为。但公安机关要定罪,还需要依据刑法285和286条,看是否满足后果严重的条件。还是举2个例子来说明吧。
小小p未经授权测试,发现了某厂商SQL注入漏洞,但他并未获取任何数据,也没有在厂商修复前对外公布漏洞细节(可能导致被别的黑客利用),这种情况下小小P是不构成实际犯罪的。也就是说,假如你出于好心报告漏洞给陌生厂商,被厂商报警,只要你没有做前面我们讲过的后果严重的事情,实际上你都是不会被定义为犯罪的。但是被批评教育一顿是免不了的。 小小p被教育后有点不服气,又发现一个漏洞。他给厂商报告漏洞后,表示不是为了奖金,希望厂商给个小礼物表示感谢。厂商再次报警,这次小小p的行为就已经涉嫌敲诈勒索了,构成犯罪。
上面2个故事告诉我们,未经授权的测试风险很高,所以建议大家选择各大众测平台和SRC进行测试,假如需要入门级的练手,可以通过破壳社区看分享的一些漏洞报告、漏洞经验。也可以联系破壳喵喵酱获取一些基础靶场搭建源码和建议!
2.参加某众测平台的测试,是授权的,有没有什么需要注意的?
首先,一般来说国内比较大的众测平台,比如补天、Sobug、先知等都是非常规范的遵守授权测试原则的。不过,我还是建议大家在开始测试前,看一看平台有没有公布双方签字盖章的授权协议,毕竟只有协议才是有法律效应的。千万别小看这份协议,可能在一个敏感的边界上拉你一把。
然后,在测试的时候,仍然需要注意点到为止,不要造成致命性危害,比如:业务宕机、拖库、删库等。一般来说,众测平台和厂商的服务协议里,会定义测试行为的边界和非主观恶意失误的免责条款。如果不小心出事了,一是放低姿态主动道歉,二是联系众测平台方看是否在免责条款范围内。这个时候,平台能否秉持公正有担当的态度,就非常重要了。记得之前Sobug联合某保险公司发布了一个保障白帽子的保险,白帽子如果无意手滑造成损失的,由保险公司来赔付厂商经济损失。
再者,一般来说厂商不会将单纯的社工等当作漏洞处理。比如在全球知名的众测平台HackerOne上,就有明确说明。所以,对厂商员工或合作方大批量发钓鱼邮件或者发病毒文件,而不进一步为渗透测试作利用的,很可能被认为【后果严重】的行为。
最后,安全时代站长想和从业者说:如果你没有极强的法律安全意识,那就转行干点别的吧,不为别的,只为安全!!!

文章来源:【安全时代】 原文链接:https://www.agesec.com/news/6497.html

安全时代全部内容仅适用于网络安全技术爱好者学习研究,学习中请遵循国家相关法律法规。

安全时代全部数据来源互联网,不代表安全时代立场,如侵犯您权益可邮箱联系我们,详情:版权纠纷

发表评论

电子邮件地址不会被公开。 必填项已用*标注