手機看新聞
分享到人人
分享到QQ空間互聯網“心臟出血”用戶安全風險誰擔責
銳觀點
現有的法律措施大多是進行事后約束,這並非簡單立法即可解決的問題。如果出現訴訟,一般會形成集體訴訟,但在管轄權和賠償程度上還有許多難題需要解決
□法制網記者范傳貴 □法制網實習生路臻
打開任意一個“https://”開頭的網站,就意味著你打開了一個使用了SSL安全協議的網站。
這一協議被用於提高應用程序之間的數據安全系數,加密數據以隱蔽被傳送的數據。而作為該協議的一種實現形式,OpenSSL是應用最廣泛的SSL服務軟件。
簡單地說,OpenSSL為你在網站上輸入的各種賬號密碼加了一把虛擬的“鎖”。這把“鎖”如今被全球三分之二以上的網站使用。
而就在4月9日,OpenSSL爆出了本年度最嚴重的安全漏洞。利用該漏洞,黑客坐在自己家裡的電腦前,就可以實時獲取到所有“https://”開頭網址的用戶登錄賬號密碼,包括網銀、電子郵件等信息。
因影響巨大,該漏洞被曝光者命名為“heartbleed”,意為“心臟出血”。
4月10日,國家互聯網應急中心發布通報,稱由於OpenSSL應用極為廣泛,包括政府、高校網站以及金融証券、電子商務、網上支付、即時聊天、辦公系統、郵件系統等諸多服務提供商均受到漏洞影響,直接危及互聯網用戶財產和個人信息安全。
年度最嚴重安全漏洞
OpenSSL的歷史可以追溯到Eric Young所打造的SSLeay。雖然來自美國約翰霍普金斯大學的Matthew Green曾經將其譏諷為一個“教你自學大數除法”的項目,但在此之前,加密算法曾經由美國政府牢牢控制。
多年的積累加上熟悉的特性使OpenSSL順利走向普及,而我們如今才剛剛接觸到其中不為人知的深層漏洞。
據國家互聯網應急中心通報,OpenSSL是一款開放源碼的SSL服務軟件,用來實現網絡通信的加密和認証。該軟件囊括了主要的密碼算法、常用的密鑰和証書封裝管理功能以及SSL協議,並提供了豐富的應用程序供測試或其他目的使用。
國家信息安全漏洞共享平台(CNVD)分析,受到該漏洞影響的產品包括:OpenSSL 1.0.1-1.0.1f版本,其余版本暫不受影響。綜合各方測試結果,國內外一些大型互聯網企業的相關VPN、郵件服務、即時聊天、網絡支付、電子商務、權限認証等服務器受到漏洞影響,此外一些政府和高校網站服務器也受到影響。
CNVD成員單位奇虎360安全專家石曉虹博士表示,OpenSSL此漏洞堪稱“網絡核彈”,因為有很多隱私信息都存儲在網站服務器的內存中,無論用戶電腦多麼安全,隻要網站使用了存在漏洞的OpenSSL版本,用戶登錄該網站時就可能被黑客實時監控到登錄賬號和密碼。
在CNVD的綜合評級中,這一漏洞被評為“高危”。
一些統計數據也可以顯示這一漏洞可能造成的巨大影響。奇虎360對國內120萬家經過授權的網站掃描,發現其中有11440個網站主機受該漏洞影響。4月7日、4月8日期間,共計約2億網民訪問了存在OpenSSL漏洞的網站。
而由於OpenSSL是Apache和NGINXWeb兩大服務器的默認SSL / TLS証書,專家估計,全球多達三分之二的“安全”網站很容易通過這一漏洞受到攻擊。
事實上,攻擊的苗頭已經出現。國家互聯網應急中心通報稱,目前互聯網上已經出現了針對該漏洞的攻擊利用代碼,預計在近期針對該漏洞的攻擊將呈現激增趨勢,對網站服務提供商以及用戶造成的危害將會進一步擴大。
與此同時,OpenSSL在今年4月7日推出了OpenSSL 1.01g,修復了這個漏洞。目前,國內大量網站正在緊急通過更新軟件來修復漏洞。
然而,此時距該款缺陷軟件推出的2012年3月12日已兩年有余,是否有賬號信息被竊取尚無法評估。
誰該對信息泄露擔責
如果用戶登錄了一個使用了該缺陷協議的網站,導致信息被盜並產生損失,誰應該對損失負責?這是接下來我們可能要面臨的問題。
互聯網法律專家、中國政法大學傳播法中心研究員朱巍認為,該事件涉及的法律責任包括兩個方面:一是竊取信息者,即黑客的法律責任﹔二是存在漏洞服務器因漏洞造成用戶損失的責任。前者我國刑法及相關司法解釋有明文規定,后者則較為復雜。
“據資料顯示,該漏洞早在兩年前就曾顯現,黑客可以非法獲取存在漏洞服務器高達64K數據,這些數據已經足夠獲取個人包括財產數據在內的敏感信息。”朱巍向《法制日報》記者分析。
他介紹,在網絡交易中,交易網站有義務保護用戶信息安全,這是源自“用戶協議”的約定和交易誠信責任組成部分。一旦導致用戶受損,網站應承擔包括違約責任、侵權責任在內的民事法律責任。
“不過,網站也可能有抗辯理由,主要有三種,分別為免責條款的抗辯、不可抗力的抗辯和已盡到提示義務的抗辯。”朱巍說。
對此,中國政法大學知識產權中心特約研究員趙佔領認為,關於不可抗力這一條抗辯理由爭議最大。
“這個漏洞被發現以前造成的損失,網站是否要負責?這個問題可能還需要討論。因為這不是網站自己的漏洞,只是網站採用了這種國內外通用的協議標准,而這種協議標准本身就存在漏洞,這對於網站來說是無法預料的。這到底算不算不可抗力,我現在也不能確定。”趙佔領對《法制日報》記者表示。
朱巍則認為,在此次事件中,不可抗力的抗辯並不成立。“病毒、漏洞或黑客攻擊在網絡世界中廣泛存在,其破壞和出現頻率也無法預計,一般理論認為,在一定程度上,網站可以依據不可抗力進行免責。不過,在本事件中,SSL漏洞在兩年前就已經出現,在長達兩年的時間內,網站未盡到合理注意義務,因此不能以不可抗力免責。”
若發生損失如何維權
即便發生損失后用戶存在維權空間,但被問及是否有成功案例時,多名接受《法制日報》記者採訪的專家均沒有給出肯定答案。
“實踐中我聽說的起訴案例隻有一個,現在還沒有判:浙江一個酒店開發的酒店Wi-Fi管理、認証系統,因存在漏洞而導致用戶信息泄露,被起訴至法院,前不久剛立案,結果現在還沒出來。”趙佔領介紹。
而大多數案件都未能走到起訴這一步。
趙佔領分析,主要原因在於取証太困難,一般用戶根本沒辦法証明信息是通過哪個渠道泄露的,因為一般用戶的這些信息在很多地方都可以看到的,所以很難証明。唯一的辦法就是等公安機關立案,查到犯罪嫌疑人,查清到底是哪個渠道泄露的。
他介紹,一旦查清,如果是網站自身或者內部員工泄露,刑法修正案(七)有規定“非法泄露公民個人信息”的犯罪。之前,電信公司和支付寶公司泄露用戶信息的案例就是屬於這種。而如果是網站被動泄露的,情況則如上文所述,更加復雜。
趙佔領認為,現有的法律措施大多是進行事后約束,這並非簡單立法即可解決的問題。
“像目前的《電信和互聯網用戶個人信息保護規定》、侵權責任法等都有相關的規定,但並不能解決民事賠償中的取証難題,因此也很少有受害者提起訴訟。”趙佔領認為,這種困境歸根於我國的電子証據認定有很大的缺陷。
對於OpenSSL漏洞事件,朱巍提出,如果出現訴訟,一般會形成集體訴訟,但在管轄權和賠償程度上還有許多難題需要解決。制圖?李曉軍
網絡安全事件層出不窮 個人信息保護立法緊迫
□法制網記者范傳貴 □法制網實習生楊茂林
近十年來,隨著互聯網和計算機、手機使用的進一步普及,網絡安全威脅從有關機構和專家的視線中延伸到普通的網絡用戶、IT用戶。如今,類似蠕虫、網絡釣魚、分布式拒絕攻擊等新的網絡攻擊手段防不勝防,各種安全漏洞層出不窮。
OpenSSL出現嚴重漏洞事件,只是漫長的網絡安全攻防站中的一個插曲。
著名網絡信息安全專家、北京郵電大學教授楊義先定義,網絡安全典型的表現形式包括:通過網絡竊取信息、破壞網絡上信息、非授權網絡訪問和網絡服務破壞等。隨著網絡應用增加,網絡安全問題又增加了許多新的變種,其中包括對基礎設施的攻擊,比如網絡中的核心服務器以及路由器、交換機等設備都存在不同程度的安全問題﹔還有網絡應用造成的安全威脅,例如對網絡服務的使用不當、不安全的用戶賬號和口令以及管理上的安全問題。
在法律層面,我國已對互聯網安全問題進行了一定的部署。互聯網法律專家、中國政法大學傳播法中心研究員朱巍向記者介紹,在刑事立法上,我國已經制定了《關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》,修訂了刑法第285條和第286條,以達到震懾黑客的效果﹔在民事立法上,全國人大常委會出台了《關於加強網絡電子信息保護的決定》,最高人民法院出台了網絡侵權司法解釋等,加強網絡服務提供者的責任﹔此外,中國互聯網協會等自律機構也出台了很多相關自律准則。
在具體的安全問題上,以網絡漏洞預防和應對為例,朱巍介紹,我國從三個方面進行了部署:“一是國家層面會發布重大漏洞預警並組織應對﹔二是從網絡服務提供者層面不斷自查、更新和提供預警或補丁﹔三是專業安全軟件公司從提升防衛技術層面應對。”
然而,這些措施並不能保障萬無一失,類似OpenSSL漏洞事件依然會不斷發生。
對此,朱巍認為仍有多項工作亟待加強,以進一步保障互聯網信息安全。
“最基本的就是要加強網站商業倫理建設。網站不能過度搜集和保存用戶信息,尤其是在用戶並不知情的情況下,將用戶敏感信息長期存放在商業網站中是極不安全的。前段時間,攜程網漏洞門事件就再次說明了這一點。”朱巍提出,即便在大數據時代,網站也不得以大數據分析作為過度採集用戶資料的理由。
此外,他認為應保持對黑客打擊的高壓勢態。黑客攻擊是造成網絡經濟不安全因素的罪魁禍首,盡管兩高已經出台相關司法解釋,不過,打擊力度和偵破手段仍需提高。
在立法層面,朱巍強調,應加強個人信息保護立法:“我國目前還沒有一部個人數據保護法,這就給隨意搜集使用個人信息的行為開了綠燈,也給了黑客生存的空間。在大數據時代中,數據的安全和數據的價值同樣重要,如果有所偏廢,將得不償失。”
恭喜你,發表成功!
!
