美国信息安全法受质疑,被指扼杀信息安全研究

  • A+
所属分类:业界关注

美国信息安全法受质疑,被指扼杀信息安全研究

全球最知名的一些信息安全研究人员表示,在寻找互联网基础设施漏洞的过程中,他们受到了美国法律威胁。业内人士质疑,美国的反黑客法律实际上导致互联网变得更不安全。
适用范围引发质疑
信息安全行业的许多人士对美国《计算机欺诈及滥用法》的适用范围提出了质疑。他们认为,司法部门和律师过度解读这一法律,将寻找互联网漏洞的善意活动视为犯罪。此外,司法部门针对这方面问题的惩罚非常严厉,同时也不考虑实际情况。
黑客工具Metasploit的开发者、信息安全顾问公司Rapid7首席研究官HD·摩尔(HD Moore)表示,关于他从2012年开始的一个互联网扫描项目Critical.IO,美国司法部门去年曾对他提出警告。实际上,这一项目的目的是使用自动化的计算机程序发现整个互联网广泛存在的漏洞。
信息安全研究公司Whitehat Security CEO杰雷米·格罗斯曼(Jeremiah Grossman)则认为,这一法律的适用范围过广,导致研究人员在发现互联网更严重的漏洞之前就选择放弃,因此不利于互联网整体的安全性。
格罗斯曼表示:“由于不考虑意图,他们可能正在杀死信息安全职业。关于我们还不太了解的问题,寒蝉效应正在出现。‘煤矿中的金丝雀’?他们已被全部杀死。因此现在,我们需要承担后果。”
给摩尔带来麻烦的Critical.IO项目已发现了一些严重的、广泛存在的漏洞。例如,一个与UPnP协议有关的漏洞可能影响了4000万至5000万台联网的计算机。
目前,美国司法部门仍在紧盯摩尔,即使他的身份和进行扫描的意图完全透明。摩尔没有透露是哪家政府部门正关注此事。
法律被过度解读
摩尔担心,这种状况不利于互联网的信息安全。他表示:“你需要这些人帮助用户了解互联网上的威胁,与软硬件厂商合作解决问题。目前,法律并不鼓励这样做,也没有区分善意的研究行为和犯罪行为。这无法帮助用户理解所面临的风险。”
许多其他信息安全研究人员也与摩尔有着类似看法。Duo Security高级信息安全研究员扎赫·兰尼尔(Zach Lanier)表示,他团队中的许多人都面临了与《计算机欺诈及滥用法》相关的问题。
兰尼尔表示,在发现了一款“面向儿童的嵌入式设备”的严重漏洞,并向生产商报告之后,他接到了律师的电话,威胁对他采取法律行动。
他表示:“我们试图与他们合作,向他们提供所有细节。当我们决定公布这一问题时,一名律师向我们致电。与许多情况类似,这些律师、技术人员和商业人员并不理解你究竟做了什么。他们宣称,我们‘攻击了他们的系统’。”这样的威胁迫使兰尼尔及其团队放弃了研究。
他认为,对于那些在收到漏洞报告后就以法律为挡箭牌的人,他们“除了钱可能什么都不会考虑”。
推动改革
目前,对《计算机欺诈及滥用法》的改革举步维艰。信息安全研究人员希望,安德鲁·奥恩海默(Andrew Auernheimer)一案在推动改革的过程中带来帮助。奥恩海默曾发布了AT&T网站的漏洞,导致一些iPad用户的数据泄露,因此被判有罪。奥恩海默在随后的上诉中推翻了这一判决。不过令人遗憾的是,法官推翻判决的理由是此案的司法管辖权,而不是法律适用范围。
许多人仍然希望,“艾伦法案”能获得通过。这一法案以2013年自杀的互联网活动家埃隆·施瓦茨(Aaron Swartz)命名。此前,在未获得授权的情况下,施瓦茨从麻省理工学院的一台服务器下载了网络资源库Jstor的许多文档,并因此受到指控。施瓦茨的家人认为,司法部门试图以《计算机欺诈及滥用法》对他进行起诉,这是导致他自杀的原因之一。许多人认为,施瓦茨的所作所为并没有产生太大的不良影响,但根据法律他可能被判处50年监禁。
一些人担心,如果调整这一法律,使其有利于信息安全行业,那么黑客有可能以此为自己辩护。摩尔表示,应当有一些更好的方式来“定义并证明,什么是善意的研究行为”。
  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: