美反黑客法律之困:被企业作为安全漏洞挡箭牌

新闻 作者:邮箱投递 2014-06-01 04:16:34 阅读:225
腾讯科技讯 5月31日消息,据《卫报》网站报道,一些全球知名的网络安全研究人员透露,由于从事网络基础设施漏洞的调查工作,他们已经引火烧身,招致起诉。美国相关反黑客法律可能致使网络安全性降低。 信息安全行业人士对《美国计算机欺诈和滥用法( CFAA )》表示关切。他们认为,司法机构、律师对寻找网络漏洞的行为反应过激,其实大多漏洞筛查工作初衷都无恶意;法律处罚过于严厉,而内容又含糊不清,并没有考虑实际情况。 善意“黑客”工具Metasploit开发者、信息安全顾问公司Rapid7首席研究员HD-摩尔(HD Moore)向《卫报》透露,去年他就曾收到美国司法机构警告,问题的焦点在于他在2012年开始的互联网扫描项目Critical.IO。可实际上,这项研究的本意是使用计算机程序,探索、发现整个互联网的普遍漏洞。 网络研究公司Whitehat Security CEO耶利米·格罗斯曼(Jeremiah Grossman)认为,这项法律适用范围过广,导致研究人员在发现互联网严重问题之前就被迫退出,从而影响到了整个网络的安全性。 格罗斯曼表示:“他们没有考虑这些行为的初衷,就将信息安全人员也一并赶尽杀绝。在我们还不清楚的问题上,寒蝉效应(chilling effect)正在显现。煤矿里的金丝雀?它们全都被人杀光。因此,我们需要承担相应的后果。” 让摩尔惹上麻烦的项目“Critical.IO”,其实已经发现了一些严重、普遍存在的安全漏洞——这其中包括一个与UPnP协议相关的漏洞,它可能会威胁到4000万至5000万台联网设备。 虽然摩尔的身份以及扫描软件的意图都显而易见,但美国司法部门仍然是步步紧盯。 法律不鼓励专家调查漏洞 摩尔表示,司法机构的行动导致他的工作时断时续。他最担心的,无疑是这些行动对互联网安全的总体影响。 他补充说,“能够像罪犯那样侵入系统获取内容,懂得如何操纵技术为自己所用,这样的人不可或缺。他们能帮助用户了解威胁,然后与供应商合作解决问题。可目前,法律并不支持这项工作,没有界定研究、犯罪活动之间的区别,也没有帮消费者了解到风险。” 其他研究人员所见略同。同样为此烦心的Duo Security高级研究员扎克-拉尼尔(Zach Lanier)表示,过去十年,他团队的研究过程可能遇到很多会触犯《计算机欺诈及滥用法》的问题。 提醒漏洞,他们却说“你黑了我的系统”——拉尼尔透露,在发现一款“儿童嵌入式设备”存在严重安全漏洞后他将问题报告给制造商,可之后却接到了来自律师的电话,威胁将采取法律行动。 “我们试图与他们合作,提供所有的细节。可当我们想公布这一问题的时候,律师却打来了电话。他们会带上那套《计算机欺诈及滥用法》前往法庭,那些律师、技术员、商业人员,并不明白你究竟在做什么。他们总是在抱怨我们‘黑’进了他们的系统。”类似的起诉让拉尼尔团队被迫停止研究。 ”总有些人会挥舞着《计算机欺诈及滥用法》的大旗自保,漏洞报告发到他们的手中的时候,他们早就钻到了钱眼里,除了美元的符号,估计其他什么都不会考虑。” 《计算机欺诈及滥用法》改革步履维艰,所有努力几乎全部无果而终。研究人员希望安德鲁·奥恩海默(Andrew Auernheimer)为改革所做的斗争能够有所收效。奥恩海默曾公布AT&T网站漏洞(这一漏洞致使iPad客户的信息遭到盗用),而后遭到起诉。后来奥恩海默上诉推翻判决,可讽刺的是,法官的理由仅仅是认为这项案件不该在新泽西州进行听证,而不是因为《计算机欺诈及滥用法》自身的潜在问题。 许多人仍在等待《艾伦法案》(Aaron‘s Law)获得批准的那天。这一法案以2013年自杀互联网天才艾伦·斯沃兹(Aaron Swartz)命名。斯沃兹生前因未经授权滥用通麻省理工学院(MIT)服务器下载在线资源Jstor文件遭到指控,并选择终结了自己年轻的生命。司法部门试图以违反《计算机欺诈及滥用法》对他进行起诉,斯沃兹面临50年的牢狱生活。 议员希望严厉惩黑客 数字版权律师玛西亚·霍夫曼(Marcia Hoffman)表示,国会方面仍然存在分歧。“一方面讲,一些议员表示‘黑客问题’是个大问题,需要更严厉的处罚措施。而另一些议员则认为,《计算机欺诈及滥用法》的表述并不足够清晰,很难判断什么行为合法,最不该做的事情就是加大处罚力度。” 霍夫曼指出,《计算机欺诈及滥用法》的文件,让人很难理解究竟什么样的行为属于违法。举例来说,用户“有意在未经授权或超出授权的情况下访问电脑”是犯法的,但是却没有解释什么叫作“授权”。 也有人担心,如果出于保护安全行业的考虑削弱这一法律,那么居心叵测的黑客就可以把“研究”当成自己的正当说辞。摩尔认为,“其实有更好的方式,定义或证明什么是真正的研究。比如说,如何披露调查结果?这并不容易解决,但又很重要,如果我们想要保护自己,就得去做这些事情。”(布珝)

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

图库
关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接