美反黑客法律之困：被企业作为安全漏洞挡箭牌

腾讯科技讯 5月31日消息，据《卫报》网站报道，一些全球知名的网络安全研究人员透露，由于从事网络基础设施漏洞的调查工作，他们已经引火烧身，招致起诉。美国相关反黑客法律可能致使网络安全性降低。 信息安全行业人士对《美国计算机欺诈和滥用法（ CFAA ）》表示关切。他们认为，司法机构、律师对寻找网络漏洞的行为反应过激，其实大多漏洞筛查工作初衷都无恶意；法律处罚过于严厉，而内容又含糊不清，并没有考虑实际情况。 善意“黑客”工具Metasploit开发者、信息安全顾问公司Rapid7首席研究员HD-摩尔（HD Moore）向《卫报》透露，去年他就曾收到美国司法机构警告，问题的焦点在于他在2012年开始的互联网扫描项目Critical.IO。可实际上，这项研究的本意是使用计算机程序，探索、发现整个互联网的普遍漏洞。 网络研究公司Whitehat Security CEO耶利米·格罗斯曼（Jeremiah Grossman）认为，这项法律适用范围过广，导致研究人员在发现互联网严重问题之前就被迫退出，从而影响到了整个网络的安全性。 格罗斯曼表示：“他们没有考虑这些行为的初衷，就将信息安全人员也一并赶尽杀绝。在我们还不清楚的问题上，寒蝉效应（chilling effect）正在显现。煤矿里的金丝雀？它们全都被人杀光。因此，我们需要承担相应的后果。” 让摩尔惹上麻烦的项目“Critical.IO”，其实已经发现了一些严重、普遍存在的安全漏洞——这其中包括一个与UPnP协议相关的漏洞，它可能会威胁到4000万至5000万台联网设备。 虽然摩尔的身份以及扫描软件的意图都显而易见，但美国司法部门仍然是步步紧盯。 法律不鼓励专家调查漏洞 摩尔表示，司法机构的行动导致他的工作时断时续。他最担心的，无疑是这些行动对互联网安全的总体影响。 他补充说，“能够像罪犯那样侵入系统获取内容，懂得如何操纵技术为自己所用，这样的人不可或缺。他们能帮助用户了解威胁，然后与供应商合作解决问题。可目前，法律并不支持这项工作，没有界定研究、犯罪活动之间的区别，也没有帮消费者了解到风险。” 其他研究人员所见略同。同样为此烦心的Duo Security高级研究员扎克-拉尼尔（Zach Lanier）表示，过去十年，他团队的研究过程可能遇到很多会触犯《计算机欺诈及滥用法》的问题。 提醒漏洞，他们却说“你黑了我的系统”——拉尼尔透露，在发现一款“儿童嵌入式设备”存在严重安全漏洞后他将问题报告给制造商，可之后却接到了来自律师的电话，威胁将采取法律行动。 “我们试图与他们合作，提供所有的细节。可当我们想公布这一问题的时候，律师却打来了电话。他们会带上那套《计算机欺诈及滥用法》前往法庭，那些律师、技术员、商业人员，并不明白你究竟在做什么。他们总是在抱怨我们‘黑’进了他们的系统。”类似的起诉让拉尼尔团队被迫停止研究。 ”总有些人会挥舞着《计算机欺诈及滥用法》的大旗自保，漏洞报告发到他们的手中的时候，他们早就钻到了钱眼里，除了美元的符号，估计其他什么都不会考虑。” 《计算机欺诈及滥用法》改革步履维艰，所有努力几乎全部无果而终。研究人员希望安德鲁·奥恩海默(Andrew Auernheimer)为改革所做的斗争能够有所收效。奥恩海默曾公布AT&T网站漏洞（这一漏洞致使iPad客户的信息遭到盗用），而后遭到起诉。后来奥恩海默上诉推翻判决，可讽刺的是，法官的理由仅仅是认为这项案件不该在新泽西州进行听证，而不是因为《计算机欺诈及滥用法》自身的潜在问题。 许多人仍在等待《艾伦法案》（Aaron‘s Law）获得批准的那天。这一法案以2013年自杀互联网天才艾伦·斯沃兹（Aaron Swartz）命名。斯沃兹生前因未经授权滥用通麻省理工学院（MIT）服务器下载在线资源Jstor文件遭到指控，并选择终结了自己年轻的生命。司法部门试图以违反《计算机欺诈及滥用法》对他进行起诉，斯沃兹面临50年的牢狱生活。 议员希望严厉惩黑客 数字版权律师玛西亚·霍夫曼（Marcia Hoffman）表示，国会方面仍然存在分歧。“一方面讲，一些议员表示‘黑客问题’是个大问题，需要更严厉的处罚措施。而另一些议员则认为，《计算机欺诈及滥用法》的表述并不足够清晰，很难判断什么行为合法，最不该做的事情就是加大处罚力度。” 霍夫曼指出，《计算机欺诈及滥用法》的文件，让人很难理解究竟什么样的行为属于违法。举例来说，用户“有意在未经授权或超出授权的情况下访问电脑”是犯法的，但是却没有解释什么叫作“授权”。 也有人担心，如果出于保护安全行业的考虑削弱这一法律，那么居心叵测的黑客就可以把“研究”当成自己的正当说辞。摩尔认为，“其实有更好的方式，定义或证明什么是真正的研究。比如说，如何披露调查结果？这并不容易解决，但又很重要，如果我们想要保护自己，就得去做这些事情。”（布珝）

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/