英國《衛報》報道稱,全球最知名的一些信息安全研究人員表示,在尋找互聯網基礎設施漏洞的過程中,他們受到了美國法律威脅。業內人士質疑,美國的反黑客法律實際上導致互聯網變得更不安全。
適用范圍引發質疑
信息安全行業的許多人士對美國《計算機欺詐及濫用法》的適用范圍提出了質疑。他們認為,司法部門和律師過度解讀這一法律,將尋找互聯網漏洞的善意活動視為犯罪。此外,司法部門針對這方面問題的懲罰非常嚴厲,同時也不考慮實際情況。
黑客工具Metasploit的開發者、信息安全顧問公司Rapid7首席研究官HD·摩爾(HD Moore)表示,關于他從2012年開始的一個互聯網掃描項目Critical.IO,美國司法部門去年曾對他提出警告。實際上,這一項目的目的是使用自動化的計算機程序發現整個互聯網廣泛存在的漏洞。
信息安全研究公司Whitehat Security CEO杰雷米·格羅斯曼(Jeremiah Grossman)則認為,這一法律的適用范圍過廣,導致研究人員在發現互聯網更嚴重的漏洞之前就選擇放棄,因此不利于互聯網整體的安全性。
格羅斯曼表示:“由于不考慮意圖,他們可能正在殺死信息安全職業。關于我們還不太了解的問題,寒蟬效應正在出現。‘煤礦中的金絲雀’?他們已被全部殺死。因此現在,我們需要承擔后果。”
給摩爾帶來麻煩的Critical.IO項目已發現了一些嚴重的、廣泛存在的漏洞。例如,一個與UPnP協議有關的漏洞可能影響了4000萬至5000萬臺聯網的計算機。
目前,美國司法部門仍在緊盯摩爾,即使他的身份和進行掃描的意圖完全透明。摩爾沒有透露是哪家政府部門正關注此事。
法律被過度解讀
摩爾擔心,這種狀況不利于互聯網的信息安全。他表示:“你需要這些人幫助用戶了解互聯網上的威脅,與軟硬件廠商合作解決問題。目前,法律并不鼓勵這樣做,也沒有區分善意的研究行為和犯罪行為。這無法幫助用戶理解所面臨的風險。”
許多其他信息安全研究人員也與摩爾有著類似看法。Duo Security高級信息安全研究員扎赫·蘭尼爾(Zach Lanier)表示,他團隊中的許多人都面臨了與《計算機欺詐及濫用法》相關的問題。
蘭尼爾表示,在發現了一款“面向兒童的嵌入式設備”的嚴重漏洞,并向生產商報告之后,他接到了律師的電話,威脅對他采取法律行動。
他表示:“我們試圖與他們合作,向他們提供所有細節。當我們決定公布這一問題時,一名律師向我們致電。與許多情況類似,這些律師、技術人員和商業人員并不理解你究竟做了什么。他們宣稱,我們‘攻擊了他們的系統’。”這樣的威脅迫使蘭尼爾及其團隊放棄了研究。
他認為,對于那些在收到漏洞報告后就以法律為擋箭牌的人,他們“除了錢可能什么都不會考慮”。
推動改革
目前,對《計算機欺詐及濫用法》的改革舉步維艱。信息安全研究人員希望,安德魯·奧恩海默(Andrew Auernheimer)一案在推動改革的過程中帶來幫助。奧恩海默曾發布了AT&T網站的漏洞,導致一些iPad用戶的數據泄露,因此被判有罪。奧恩海默在隨后的上訴中推翻了這一判決。不過令人遺憾的是,法官推翻判決的理由是此案的司法管轄權,而不是法律適用范圍。
許多人仍然希望,“艾倫法案”能獲得通過。這一法案以2013年自殺的互聯網活動家埃隆·施瓦茨(Aaron Swartz)命名。此前,在未獲得授權的情況下,施瓦茨從麻省理工學院的一臺服務器下載了網絡資源庫Jstor的許多文檔,并因此受到指控。施瓦茨的家人認為,司法部門試圖以《計算機欺詐及濫用法》對他進行起訴,這是導致他自殺的原因之一。許多人認為,施瓦茨的所作所為并沒有產生太大的不良影響,但根據法律他可能被判處50年監禁。
一些人擔心,如果調整這一法律,使其有利于信息安全行業,那么黑客有可能以此為自己辯護。摩爾表示,應當有一些更好的方式來“定義并證明,什么是善意的研究行為”。
京公網安備 11010502049343號