87 lines
7.9 KiB
Markdown
87 lines
7.9 KiB
Markdown
|
# 17 | 漏洞在眼前,可以悄悄破解吗?
|
|||
|
|
|||
|
网络安全一直是每个IT工程师关注的重点,虽然我对技术了解不多,但是因为系统漏洞造成的网络安全事故,比如用户数据泄露等,倒也听过不少。系统存在漏洞,是技术问题,但如果有人利用了这个漏洞,那可不仅仅是技术的范围了。
|
|||
|
|
|||
|
前不久某鹅厂23岁安全工程师的新闻,想必你不会陌生。年轻的工程师,因为对酒店的Wi-Fi系统顺手一测,又顺手一发给传播了出去,就被新加坡安全局给抓了。感觉似乎挺冤枉?还真不冤,比如你看这个真实的案例。
|
|||
|
|
|||
|
小安是一家公司的运维主管,技术也很不错。一次工作中,他发现了公司技术上的漏洞,于是悄悄导出了公司的数据,并在网上出售,最终赚了26万元。
|
|||
|
|
|||
|
等待小安的是什么呢?钱,要补偿给公司,人,也要蹲大牢,罪名是非法获取计算机信息系统数据罪。为什么小小动作的惩罚会这么严重呢?
|
|||
|
|
|||
|
老规矩,我们还是先来了解下相关的法律知识。
|
|||
|
|
|||
|
## 法律知识
|
|||
|
|
|||
|
首先我们来看,“**非法获取计算机信息系统数据罪**”这个罪名。罪名很长,你可以重点先记住前四个字,“非法获取”,跟我们后面讲到的另一个罪名做个区分。
|
|||
|
|
|||
|
**非法获取计算机信息系统数据罪**是指违反国家规定,
|
|||
|
|
|||
|
* 侵入计算机信息系统,注意这里是指除了国家事务、国防建设、尖端科学技术领域这三点外的其他领域。
|
|||
|
|
|||
|
* 或者获取计算机信息系统数据。
|
|||
|
|
|||
|
|
|||
|
并且,符合“情节严重”这一特点的行为。
|
|||
|
|
|||
|
在这里,我要重点解释几个概念。
|
|||
|
|
|||
|
首先,这里的“**计算机信息系统数据**”是指计算机里存储、处理、传输的数据,不仅包括了计算机系统数据和应用程序,还包括了你在计算机里存放的各种个人信息。
|
|||
|
|
|||
|
但是脱离了计算机存放的数据,比如光盘、U盘中的计算机数据,不适用于这个罪名。比如说,别人copy你的U盘,然后把里面的信息数据转手在网上卖出去,或者是进行其他操作,就不属于这个罪了。
|
|||
|
|
|||
|
第二,本罪里面的“**情节严重**”指的是:
|
|||
|
|
|||
|
* 获得**10组以上**的网络金融服务的身份认证信息,包括支付结算、证券交易、期货交易等;
|
|||
|
|
|||
|
* 获得**500组以上**的其他内容的身份认证信息;
|
|||
|
|
|||
|
* 非法控制了**20台以上**的计算机系统;
|
|||
|
|
|||
|
* 非法收入达到**5000元以上**;
|
|||
|
|
|||
|
* 造成经济损失达到**10000元以上**。
|
|||
|
|
|||
|
|
|||
|
以上的五个情节,只要达到了一点,就要追究刑事责任了。通常会被判处三年以下的有期徒刑或者拘役,可能会有罚金。严重点的,可能就是三年到七年的大牢了。
|
|||
|
|
|||
|
特别注意的是,违法收入只要达到5000元就构成了犯罪,而且即使你没赚钱,只要给公司造成了10000元以上的经济损失也同样构成犯罪。这点钱可真不算多,也可以看出,这个罪名的定罪标准是真的很低,国家的保护很严格,如果不对自己多加约束,一不小心可能就犯罪了。
|
|||
|
|
|||
|
另外,非法获取计算机信息系统数据罪有明确的范围界定,指的就是我们普通的商业或者工业范围,不包括国家事务、国防建设、尖端科学技术领域这三个领域。那如果你触碰的是这三个领域的计算机系统呢?
|
|||
|
|
|||
|
一定要特别注意我接下来要讲的,这三个领域万万碰不得!一旦你对国家事务、国防建设或是尖端科学技术领域的计算机做小动作,会犯另一个很严重的罪名,**非法侵入计算机信息系统罪**。
|
|||
|
|
|||
|
这个罪名的重点,你也可以记住前四个字,“非法侵入”。“侵入”二字,一听就比“获取”正式、严重得多。事实上也是这样,我们前面所说的**非法获取计算机信息系统数据**这个罪名,本质上是因为你入侵系统后的其他操作,比如操纵系统、copy或贩卖数据、或者传播等,也就是我们所说的“情节严重”的行为。
|
|||
|
|
|||
|
而**非法侵入计算机信息系统罪**不考虑后果,属于行为犯(也就是以某个行为作为判罪的标准),**侵入即犯罪**!这里的“侵入”,是指没有国家部门的授权或批准,非法获取口令或许可证明后,冒充合法使用者,进入国家系统或者截收数据的行为。有些人甚至把自己的计算机和国家系统联网,同样犯罪。
|
|||
|
|
|||
|
事实上,如果侵入了这些领域,一般会被处三年以下的有期徒刑或者拘役。
|
|||
|
|
|||
|
其实这也很容易理解,这些关键领域对于保障国家安全、经济发展、和保护我们普通人的生命财产安全等方面,都十分重要。一旦被入侵,不管你是恶意的破坏分子,还是好奇心作祟,或者只是想单纯地秀技术,这种行为都可能导致重要数据被破坏,或重要、敏感的信息被泄露,带来巨大的灾难。所以,这里必须特殊对待,严厉惩罚。
|
|||
|
|
|||
|
当然,在实际判案中,一些确实无意识的,或是情节很轻微、没有带来巨大危害的行为,可以不按照犯罪来处罚,但是惩罚还是会有的。所以,遵纪守法在这里,真的就不是说说而已了。
|
|||
|
|
|||
|
## 情景分析
|
|||
|
|
|||
|
经过上面的学习,小安的问题就很容易分析了。即使公司技术有漏洞,也不是小安做坏事的理由啊。而且,公司有没有损失,并不是小安说了算的。这种事情,一旦越界后被公司发现,轻则开除,重的就是刑事犯罪了。
|
|||
|
|
|||
|
想想我们上面说到的那五个情节,非法收入达到5000元,或是给公司造成损失10000元,就可能被判处三年以下有期徒刑。小安卖数据赚了26万元,显然既得赔钱,又要坐牢。
|
|||
|
|
|||
|
事实上也是如此,法院最终判决,小安犯非法获取计算机信息系统数据罪,有期徒刑三年,并处罚金10000元人民币。
|
|||
|
|
|||
|
你看看,权衡一下利弊,其实就是四个字:得不偿失。遇到这种事,我们本应该及时告诉公司,修复漏洞,这对公司来说挽回了一场损失,对你来说,也可能因此得到老板的赏识,获得更好的发展。这也是一个员工的基本职业素养啊!
|
|||
|
|
|||
|
## 思维法宝
|
|||
|
|
|||
|
在工作中,我们可能难免会发现公司的管理漏洞或者是技术开发漏洞,抵挡住诱惑并解决,可能会迎来新的发展;利用漏洞并牟利,估计就会锒铛入狱了。
|
|||
|
|
|||
|
更何况,现在对犯罪的追究,并不只是你在工作期间被发现的违法行为。即使你在职时的违法事儿没被发现,离职后被公司查到了,你一样会受到法律的制裁。
|
|||
|
|
|||
|
说了这么多,最后,我来总结一下我们今天的内容。我们主要学习了技术从业者的“两堵墙”,分别是**非法获取计算机信息系统数据罪**和**非法侵入计算机信息系统罪**,两个罪名涉及的领域不同,前者也就是“非法获取”这个罪名,强调的是普通领域的侵入和“情节严重”的判定,后者也就是“非法侵入”强调的是三个特殊领域的侵入,并且侵入即犯罪。
|
|||
|
|
|||
|
两个罪名的判定和后果都不同,但相同的是,判定标准都很低,要特别留心。
|
|||
|
|
|||
|
![](https://static001.geekbang.org/resource/image/06/ac/06368f985e394b63be24a11b288a6dac.jpg)
|
|||
|
还是那句话,技术犯法不仅仅是技术问题,更是背后的动机和应用场景问题,而我们要关注的也不仅仅是技术,更要清楚可能触碰到的红线和后果的严重性,才能在意识和行为中建立好防线。
|
|||
|
|
|||
|
那么对于今天的内容,你还有哪些不清楚的地方或是想了解的吗?或者是你曾经有过触碰红线的危险经历吗?欢迎留言与我分享,记录下你此时的感悟或是问题。也欢迎你转发给身边的技术朋友,给特别的人特别的关爱。
|
|||
|
|