白帽子的行为合法性!!!【T00ls法律讲堂第三十四期】

2020-10-21 09:52:59 18 982

如今很多技术团队,像江湖侠客一样心怀梦想,都想尽一己之力打击网络犯罪,也就是大家理解的白帽子。

前几天,有人问我针对违法网站采取非法侵入、破坏以及非法获取数据的行为,该如何定性?今天给大家简单聊一聊。



如今很多技术团队,像江湖侠客一样心怀梦想,都想尽一己之力打击网络犯罪,也就是大家理解的白帽子,对此我觉得我们应当持积极肯定的态度,应当鼓励更多的白帽子加入到净化网络环境的队伍中来,他们大多数是新人,但也有很多杰出的黑客。但是在现实中,还存在一些人,通过技术手段,针对违法网站,做一下牟取私利的事情,比如改博彩网站的支付接口、棋牌赌博网站后台修改金币并提现等等。

对第二种行为直接一句话概述:黑吃黑一样违法!(别人不敢报案,不等于你不违法)。

今天主要针对第一种行为做简单释明:

关键词:违法性识别、手段合法性、管辖权、见义勇为
首先,从主观要素来看,他们都是以打击或者遏制网络犯罪为目的,利用自身的技术手段,对违法网站予以一定程度的打击,如渗透取证交付公安机关,或者直接采用DDOS干死等等。这里,我们首先要重视一个问题:违法网站是否真的违法?对于常见的赌博、色情网站,大家几乎都具有识别能力,但是针对金融相关的、知识产权相关的,比如贷款、传销、视频站、小说站等等,很少有人可以真正识别这类网站的违法性,到底是违反刑法规定,还是不正当竞争等法律的规定。所以,我认为对目标网站的违法性识别这个环节是最重要的。(但是注意手段的合法性,比如控制肉鸡实施攻击非法目标的行为,其中控制肉鸡已经涉嫌犯罪)

其次,从主体来看,目前团队化作战越来越多,很多人员现实中可能并不相识,但是基于一些如T00LS、圈子社区这样的平台在网上互相交流。有些可能还是未成年人,在此,顺便释明,目前在黑客犯罪相关的刑法领域中,未满16周岁的人员尚不能依照刑法予以处罚,这里不是18周岁也不是14周岁。另外,根据团队作业的内容不同,个人之间的作用不同,在打击错误目标,或者打击的行为构成犯罪,则每个人之见承担的法律责任就不相同。如果是团伙,则为共同犯罪,大家各自承担各自的责任。如果成立了安全公司,则可能构成单位犯罪,公司的主要负责人员则需要承担相应的法律责任。

接着,也是比较重要的,就是客观的行为,现行法律以及解释对于相关的罪名已经做出了非常详细的规定(不明白的可以直接百度查看),对侵入和获取非法性的基本理解就是未经授权不得从事该类行为,而这类白帽子团体就并非是执法机关,不具备执法权限去利用技术手段进行事先的侦查取证,这里大家需要先知道一点:不是所有的公安机关针对某个违法网站都具有执法权,首先需要解决的是管辖权,也就是某地公安机关或者其它执法机关,对这个违法目标,是否具有管辖权。针对能否立案的管辖权,现行法律解释也已经非常明确,所以,有条件的团队或个人,我个人建议与当地的执法机关多沟通,可以受执法机关的委托,针对其具备执法管辖权的违法目标,利用技术手段,协助进行侦查。这么做可以有效地打击网络犯罪(直至法院判决)并可以解决三个问题:
一是解决的主体身份与自身行为相适格的问题;
二是提前通过执法机关明确目标是否违法的问题;
三是印证自身主观目的正当的问题。


   基于以上,我们从法律上可以理解为,如果不是黑吃黑、同行恶意竞争或敲诈勒索(如恶意打假)等,只要主观为了惩恶扬善,依据刑法的谦抑品格,即不具备违法性,且包含正当性,客观上未发生超过必要限度的危害结果时,无论是个人还是单位团体,都不应当被当做犯罪处理,其反而属于我们国家所倡导的见义勇为行为:该出手时就出手、公平正义司法守!

关于作者

评论18次

要评论?请先  登录  或  注册
  • TOP1
    2020-10-21 14:24

    入侵是行为,不以主观意志为转移,属于行为犯罪,现在司法管的很严(当年网络大战搞的外交局势不定,好容易稳定下来那边就入侵,因为个体的行为是充满不确定性的共识导致这一xi列刑法基本和口袋差不多属于只要有行为无论后果都属于犯罪)因为现在80%都是网络犯罪,不靠这个冲功绩还能靠什么每年又有抓黑客指标而且网络犯罪具备一个特点就是没有地域性是否合法条件只有刑法里面的附加"免刑条件"1.是对方已知(包括甲方乙方以及公安)允许授权的渗透行为2.在体xi内的自侦查手段执行执法权否则一切都是违法的,而且只有公安部才具备授权资格,另外授权不代表不需要承担后果像是很多DDOS打骗子网站非法网站的,一样被抓判刑,原因是破坏了骨干网的网络稳定某些特别网络区域的旁路你一个sql注入语句过去哪怕目标不存在注入都要被请喝茶所以特别建议这个行业的有能力一定要搞个基本编制,否则一切都是空谈

  • TOP2
    2020-10-23 08:11

    口袋条款,也就是法律术语中的兜底条款,没有具体罪名的,只要属于相关网络犯罪的,都往里面放,给你定这个罪名,就是口袋条款了

  • 18楼
    2020-10-28 07:49

    没有授权的行为就是非法的,白帽子是自我安慰

  • 17楼
    2020-10-28 07:44

    学xi了,但是看完之后哎心情沉重

  • 16楼
    2020-10-28 00:14

    感谢徐昊律师科普 不触碰红线

  • 15楼
    2020-10-27 21:52
    anlfi

    入侵是行为,不以主观意志为转移,属于行为犯罪,现在司法管的很严(当年网络大战搞的外交局势不定,好容易稳定下来那边就入侵,因为个体的行为是充满不确定性的共识导致这一xi列刑法基本和口袋差不多属于只要有行为无论后果都属于犯罪)因为现在80%都是网络犯罪,不靠这个冲功绩还能靠什么每年又有抓黑客指标而且网络犯罪具备一个特点就是没有地域性是否合法条件只有刑法里面的附加"免刑条件"1.是对方已知(包括甲方乙方以及公安)允许授权的渗透行为2.在体xi内的自侦查手段执行执法权否则一切都是违法的,而且只有公安部才具备授权资格,另外授权不代表不需要承担后果像是很多DDOS打骗子网站非法网站的,一样被抓判刑,原因是破坏了骨干网的网络稳定某些特别网络区域的旁路你一个sql注入语句过去哪怕目标不存在注入都要被请喝茶所以特别建议这个行业的有能力一定要搞个基本编制,否则一切都是空谈

    1

    xi望更多人看到。

  • 14楼
    2020-10-27 19:48

    没有授权,毛都别动就对了。

  • 13楼
    2020-10-25 18:28

    学xi渗透第一步,学xi网络安全法

  • 12楼
    2020-10-23 16:30

    合法性还是学xi学xi,以后多注意,遵纪守法

  • 11楼
    2020-10-23 15:33

    严格遵守法律

  • 10楼
    2020-10-23 10:41

    测src的时候也得小心谨慎,听说某人用公司网测src 公司外网IP被封了

  • 9楼
    2020-10-23 10:07

    所以不要测试国内任何站点,真想测试就去hackone上面搞。

  • 8楼
    2020-10-23 08:11

    口袋条款,也就是法律术语中的兜底条款,没有具体罪名的,只要属于相关网络犯罪的,都往里面放,给你定这个罪名,就是口袋条款了

  • 7楼
    2020-10-23 00:19
    seabird

    我不知道现在的法律怎么定义了法律好像每年都有变化16年那会 sql注入 不泄露 不拿出去卖 不违法 泄露或卖的话 被抓到的违法webshell 不管是怎么样的 理论上说 都属于违规好像除了那个xss没什么危害以外 类似反序列化 或者缓冲区溢出(17年勒索那次) 理论上说 也是违法的 因为和webshell本质是一样的不过今年的法律是怎么定义 网络安全的 就不懂了

    1
    anlfi

    sql参考世纪佳缘 非法获取500条数据 即便不造成任何后果一样属于犯罪webshell 会定3个 一个是非法入侵 非法控制 非法破坏 量刑看数量和目标属性 哪个严重用哪一条xss 这个可以看案件公开,gov留言板打了xss 导致后台无限弹框 按破坏计算机罪 影响国家事物然后就是本地社工库 本地代理跳板机涉及所有方向都有案例,口袋不是白叫的

    2

    大佬说的口袋是代表啥呀

  • 6楼
    2020-10-22 15:28
    seabird

    我不知道现在的法律怎么定义了法律好像每年都有变化16年那会 sql注入 不泄露 不拿出去卖 不违法 泄露或卖的话 被抓到的违法webshell 不管是怎么样的 理论上说 都属于违规好像除了那个xss没什么危害以外 类似反序列化 或者缓冲区溢出(17年勒索那次) 理论上说 也是违法的 因为和webshell本质是一样的不过今年的法律是怎么定义 网络安全的 就不懂了

    1

    sql参考世纪佳缘 非法获取500条数据 即便不造成任何后果一样属于犯罪webshell 会定3个 一个是非法入侵 非法控制 非法破坏 量刑看数量和目标属性 哪个严重用哪一条xss 这个可以看案件公开,gov留言板打了xss 导致后台无限弹框 按破坏计算机罪 影响国家事物然后就是本地社工库 本地代理跳板机涉及所有方向都有案例,口袋不是白叫的

  • 5楼
    2020-10-22 11:11

    所以这也是为什么那个seebug到今天都没倒闭的原因 而某云的故事 就不说了因为seebug 的漏洞 都是xi统的漏洞 好像指示一种规律 但没有具体指出哪个网站而那个某云 是直接以具体网站截图的方式进行公告 代价是多少现实中存在的站点被坑 包括14年的携程数据库被破坏 还有很多其他的例子 所以倒闭很合乎规律

  • 4楼
    2020-10-22 11:02

    但是根据法律的时效性原理哪怕以后连sql注入都算违法但16年那会没有法律定义那么这个人在16年sql注入某网站 只要没有泄露或拿出去卖 不违法 只要它今天不再去sql注入了当然目前我还没看到底法律怎么定义现在的网络安全的总之法律每年都会变 这是个基本事实

  • 3楼
    2020-10-22 11:00

    我不知道现在的法律怎么定义了法律好像每年都有变化16年那会 sql注入 不泄露 不拿出去卖 不违法 泄露或卖的话 被抓到的违法webshell 不管是怎么样的 理论上说 都属于违规好像除了那个xss没什么危害以外 类似反序列化 或者缓冲区溢出(17年勒索那次) 理论上说 也是违法的 因为和webshell本质是一样的不过今年的法律是怎么定义 网络安全的 就不懂了

  • 2楼
    2020-10-21 14:24

    入侵是行为,不以主观意志为转移,属于行为犯罪,现在司法管的很严(当年网络大战搞的外交局势不定,好容易稳定下来那边就入侵,因为个体的行为是充满不确定性的共识导致这一xi列刑法基本和口袋差不多属于只要有行为无论后果都属于犯罪)因为现在80%都是网络犯罪,不靠这个冲功绩还能靠什么每年又有抓黑客指标而且网络犯罪具备一个特点就是没有地域性是否合法条件只有刑法里面的附加"免刑条件"1.是对方已知(包括甲方乙方以及公安)允许授权的渗透行为2.在体xi内的自侦查手段执行执法权否则一切都是违法的,而且只有公安部才具备授权资格,另外授权不代表不需要承担后果像是很多DDOS打骗子网站非法网站的,一样被抓判刑,原因是破坏了骨干网的网络稳定某些特别网络区域的旁路你一个sql注入语句过去哪怕目标不存在注入都要被请喝茶所以特别建议这个行业的有能力一定要搞个基本编制,否则一切都是空谈

  • 1楼
    2020-10-21 11:04

    谢谢徐律师的讲解