近幾年美國《計算機詐騙和濫用法案》CFAA頻頻進入公眾的視野,并引起了極大的爭論,尤其是本月記者Mattew Keys因涉嫌協助黑客可能面臨25年的監禁。
聯邦政府首次使用反黑客攻擊法令是在1989年,該法案頒布的三年后。被告是時任NSA美國國家計算機安全中心首席科學家的兒子,就讀康奈爾大學的研究生Morris Jr.被控創造并釋放了后來臭名昭著的Morris蠕蟲。Morris最終被判三年緩刑和400個小時的社區服務。而現在,他是MIT終身教授。(上圖為年輕的Morris)
自Morris一案之后,用CFAA起訴的黑客數以百計,常常引發極大爭議。
CFAA的是是非非
CFAA簡潔明了地禁止了未經授權的訪問,或者超越權限的訪問,以此保護計算機和網絡。這說起來似簡單,但由于法律中寫得如此泛泛,以至于頗具有創意的檢察官們任意擴展“未經授權”的解釋,目前已遠遠超過立法者當時的本來意圖。例如,此法案曾用于起訴Andrew Auernheimer在AT&T網站免費提供未經授權的數據訪問。
另一個令人不安的趨勢便是檢察官越來越多地利用這個法律起訴公司雇員或者前雇員進行越權訪問。特別是在1994年之后,經過修正的CFAA可被用于民事訴訟。這為公司起訴員工竊取公司機密、越權訪問提供了支持。而實際上,在幾起案例中我們發現公司并不傾向于行使民事訴訟的權利,而更多地是與政府合作,以刑事指控起訴違反合同的雇員。
一位來自紐約的辯護律師Tor Ekeland稱,
“法律寫得如此糟糕,甚至無法有效地定義它想要保護的東西。在這含糊不清的定義之下,檢察官便有更加廣泛的訴訟空間,從而會對IT領域的信息安全社區造成沖擊。”
公民自由與法律游說組織呼吁美國國會議員改革CFAA以防范“過分熱心”的檢察官濫用法律。2013年著名黑客Aaron Swartz在因免費下載學術論文被起訴之后自殺,呼吁法案改革的聲音越來越大。
但是就在批評者推進對CFAA權利進行限制的同時,奧巴馬政府則號召立法者增加了網絡攻擊犯罪的最高量刑,并擴大了未經授權訪問的定義,以此加強了法律的范圍。
在這里我們整理了一些奇怪并帶有爭議的案件,看看美國政府會在審判中如何使用CFAA的罪行。
天才的隕落:Aaron Swartz
Reddit聯合創始人、RSS規格合作創造者、著名電腦黑客Aaron Swartz因向觀光MIT校園的所有游客提供JSTOR(一個在線學術期刊系統)免費學術論文下載而遭到起訴。盡管JSTOR表示無意起訴Swartz,但是美國聯邦檢察官堅持訴諸法律。2013年1月11日,患有抑郁癥的Swartz于紐約自殺身亡,年僅26歲。他的死亡對于崇尚信息自由開放的互聯網社區是一個重大損失。
他的家人之后發表聲明稱:
“Aaron的死不僅僅是一個人的悲劇。這一罪惡的司法體系充斥著恐嚇行為和無法無天的公訴人,最終釀成惡果。”
此案也被列為批評人士呼吁司法變革的主要原因之一。
巨魔獵人:Andrew Auernheimer
Andrew Aueenheimer(又名“weev”),自稱互聯網巨魔獵人,2011年政府指控Andrew和他的朋友Daniel Spitler時,幾乎沒有施以任何同情。他們發現了AT&T(美國電信服務巨頭)網站的一個漏洞,讓他們可以獲得使用AT&T服務的iPad用戶電子郵箱地址。而政府堅稱這兩人訪問AT&T公司不希望任何人訪問的電子郵件是網絡犯罪,盡管是這家公司自身并沒有承擔起保護這些電子郵件的責任。
路透社編輯:Matthew Keys
記者Matthew Keys因與一個“匿名者”黑客共享前雇主服務器的登錄憑證,協助后者入侵《洛杉磯時報》網站,將一篇關于國會減稅報道的標題改為“CHIPPY 1337”,而遭到政府起訴。Mattew被法院判處重罪,將面臨25年監獄和75萬美元(約475萬人民幣)罰款。
連不久前才落戶Twitter的斯諾登都對此表示同情:只因為40分鐘的影響(《洛杉磯時報》網站并沒有因此受到太大損失),居然讓一個記者面臨25年的刑期。
差點坐牢440年:Fidel Salinas
Fidel Salinas因為與黑客組織“匿名者”的關系,面臨著可能是有史以來最瘋狂的網絡犯罪指控:2012年他被控違反“計算機欺詐與濫用法”中44項內容,每一條都蘊藏一個10年有期徒刑。到2014年底,幾乎所有的罪名全被駁回。
最后,Salinas承認了運行腳本嘗試暴力破解Hidalgo縣網站的管理賬號,在嘗試了14000次錯誤密碼后,系統將真正的管理員給踢了出去。Salinas因承認了一項輕罪名,同意向Hidalgo縣賠償1萬美元。
復仇者母親:Lori Drew
2008年,檢方指控密蘇里州的一位名叫Lori Drew的中年母親,并非因為她試圖入侵一臺電腦,而是因為她違反了MySpace的服務條款。
這位母親為了替自己的女兒"報仇",在網絡上冒充男性少年與鄰居13歲的女孩Megan Meier"網戀",在對方"陷入情網"的時候,又用惡毒的語言加以傷害,最終導致女孩Megan Meier禁受不住刺激而自殺。而檢方卻苦于沒有合適的法律條款,最后依照1984年的CFAA中的一條所謂越權使用賬號,指控Lori違反了MySpace的服務條款。
前高管竊取公司數據庫信息:David Nosal
David Nosal從一家高管獵頭公司離職后,唆使一些前同事幫他獲取原公司的機密數據庫信息。這些前同事從數據庫下載源列表、姓名和聯系信息,然后將這些信息交給David。美國政府以多項罪名起訴他,其中包括違反CFAA規定的罪名。而法庭第一次駁回了政府對于“超過授權的訪問”的指控。第二次,法官裁定雇員不能僅僅因為違反了公司的計算機使用條例就遭到起訴。
程序員VS華爾街:Sergei Aleynikov
Sergei Aleynikov是一個為高盛工作的程序員,他的職責是開發用于高頻交易的軟件。而在他離開工作不久之后,他下載了自己曾經為公司寫的代碼。2009年,檢察官以未經授權訪問并竊取商業機密為由起訴他。Aleynikov承認他下載了部分源代碼,但堅稱他的目的是為了收集開源代碼。Aleynikov被判入獄97個月,但在坐牢近一年后,聯邦最高法院推翻了對他的判決。2012年8月9日,Aleynikov 再被逮捕。
事實上,Aleynikov僅是被曼哈頓地方檢察官指控知識信息剽竊的華爾街分析師和程序員之一。
以史為鑒,可以知興替
TK教主曾對“黑客是一種職業嗎”一問如是回答:
“黑客相當于習武之人。強盜、飛賊、保鏢、捕快是習武之人的職業。”
水可載舟亦可覆舟,習武之人亦有所為有所不為。
2013年,Sablog作者譚登元(4ngel)因入侵P2P網貸系統非法盜取資金而被捕入獄的消息,曾令不少用過他寫的phpspy程序、sablog的安全愛好者震驚!
2007年黑客基地站長王樹哲(龍哥)因涉嫌參與“特大高校招生詐騙案”被繩之以法,他利用電腦黑客技術非法入侵并篡改了海南大學招生信息網站的數據,使受騙高考落榜學生名字等信息出現在海南大學招生信息網上。
其實現在的網絡安全行業形勢一片大好,安全從業者已經越來越多地由幕后走到臺前,并且擔負起守護網絡及企業安全的重任。
小編在這里推薦一句谷歌新公司Alphabet的員工行為準則:
應該做正確的事——遵守法律、行為端正并相互尊重。
京公網安備 11010502049343號