过去十年中最具争议的黑客案件
作者:星期一, 十一月 9, 20150

计算机欺诈与滥用法。这是过去十年内几乎每个有争议的黑客案件的核心。它这个月又上新闻了。

检察官最近根据该法案给记者马修·基斯定了黑客重罪,导致网络上声讨声音不绝。爱德华·斯诺登讽刺了基斯如今面临的严厉惩罚:最高25年监禁。

基斯在犯罪中扮演的角色仅仅造成了洛杉矶时报文章上的一个小污损,而并没有导致联邦政府产生什么异常。考虑到这一点,批评者认为应当以轻罪起诉他。但这只是批评者认为检察官滥用计算机欺诈与滥用法的大量案例中的其中之一。

政府在1989年最初使用的是联邦反窃听法。1992年,为了指控后来成为美国国家安全局计算机安全中心首席科学家的莫里斯的儿子小罗伯特·莫里斯,诞生了计算机欺诈与滥用法。小莫里斯当时是康奈尔大学的研究生,他被指控制造并释放如今谈之色变的莫里斯蠕虫。不过比起后来被此法案定罪的人们,他命运都要好得多。小莫里斯被判处三年缓刑和400小时的社区服务,如今已经成为了麻省理工学院的终身教授。

在小莫里斯被定罪之后,计算机欺诈与滥用法被用于起诉上百位大大小小的黑客,往往引起很大的争议。

人们对黑客存在着普遍的受迫害妄想,和对巫术的态度类似。

如果从最简明的角度审视该法案的目标,那就是禁止非法或越权访问,保护计算机和网络。这看上去足够直接,但由于该法案的行文相当宽泛,有创造力的检察官已经将对非法访问的理解远远拉伸到了立法者的本意之外。比如,该法被用于以刑事罪名指控安德鲁·奥恩海默,原因则是试图访问美国电话电报公司网站上任何人都可以访问的、未经保护的数据。

另一个令人不安的趋势在于,检察官使用这项法律指控雇员和前雇员越权访问公司数据。1994年,计算机欺诈与滥用法被修正过一次,将民事行为纳入该法的管辖范畴之内。这给公司起诉员工越权访问、窃取公司机密打开了一道新的大门。但除了利用这种民事追索权以外,有几个案件中,公司还会与政府合作,对违反劳动合同的员工提出刑事指控。

来自纽约的辩护律师托尔·埃克兰德曾经代理过数个与计算机欺诈与滥用法有关的争议案件,他表示:“这部法律写得很糟,无法有效地定义它主要想禁止的东西。很多定义存在歧义,这给了检察官很大的空间,让他们基于一些让信息安全社区大跌眼镜的理论提出指控。考虑到围绕着黑客群体普遍的受迫害妄想,这和人们对巫术的妄想并没有什么不同。”

公民自由和法制宣传团体曾经呼吁国会改革计算机欺诈与滥用法,防止热情洋溢的检察官对并不真正构成计算机犯罪的行为作出惩罚。2013年,亚伦·斯沃茨因下载论文的指控而自杀后,法案改革的呼声越来越响亮。

然而,一方面,批评者正推动限制计算机欺诈与滥用法的适用范畴;另一方面,政府却寻求进一步扩大该法案的范畴。他们呼吁国会提升黑客行为的最高刑期,并扩大对非法访问的定义。

为了追踪该法案的具体适用情况,我们针对最自相矛盾、最有争议的案件编制了一份名单。

1. 亚伦·斯沃茨

640.webp

亚伦·斯沃茨是网络活动分子,他受到计算机欺诈与滥用法的指控成为了批评家建议改革该法案的主要原因。2011年,斯沃茨被指控涉嫌连接到麻省理工学院网络,在JSTOR数据库上下载270万份学术论文,然而这些论文对于任何到访麻省理工学院的人都是免费的。JSTOR并不想起诉,但美国司法部却坚持提起诉讼。他们称斯沃茨违反了用户协议,下载这些文档的主要目的是在校外分发。美国检察官卡门•奥尔蒂斯称:“偷就是偷”。

检察官指控他犯有四项重罪,但罪名数量后来扩充到了13条:检方将他下载文件的每个日期都看作是孤立行为,并给它们单列出了罪名。经过这次扩充,他面临的惩罚变成了50年监禁和100万美金罚款。检方为斯沃茨提供了一份认罪协议,拟将他的刑期减为6个月,但斯沃茨拒绝了,因为他完全不想坐进监狱,也不想有犯罪污点。审判之前三个月,斯沃茨自杀了,而他的家人将一部分原因归咎于检方的起诉。

2. 安德鲁·奥恩海默

640.webp (1)

 

黑客“weev”安德鲁·奥恩海默自称互联网喷子,当政府在2011年对他和朋友丹尼尔·斯皮特勒提出黑客入侵指控时,他并没有受到多少同情。两人在美国电话电报公司的网站上发现了一个漏洞,可以让他们获得该公司iPad用户的电子邮箱地址:当iPad用户访问该公司网站时,网站会识别其设备ID,并显示其电子邮箱。两人撰写了一个脚本,通过对数以千计的iPad用户行为进行建模,收获了大约12万个电子邮件地址。尽管电子邮件地址未经技术保护,政府依然坚称获取企业不想公开的信息属于黑客犯罪。

奥恩海默被判三年半监禁。由于负责此案的新泽西州法院没有权限,他的上诉也被终止了。该案件诠释了他的上诉律师提出的质疑:dao’di从公开网站上收集什么样的信息才算违法。

3. 马修·基斯

640.webp (2)

从政府自身的利益层面上来看,马修·基斯的黑客犯罪并不严重。根据此人辩护律师的说法,检察官夸大了受害者的损失,将他的轻罪转化成了三项重罪。

基斯曾经是工作在萨克拉门托的网页开发者,参与开发了FOX电视台第40频道KTXL,但他的这项工作因为与经理发生争执而在2010年十月结束了。之后,他在一个“匿名者”组织成员经常访问的聊天室中故意泄露了论坛媒体公司服务器的用户名和密码,并鼓励聊天室里的人使用这些信息“搞点大动静”。论坛媒体公司是FOX第40频道和洛杉矶时报的母企业。

化名为Sharpie的黑客使用这些信息给洛杉矶时报的某篇文章作了小小的改动。数据泄露一小时之内就被发现,文章也被恢复了,看上去造成的损失并不大。检察官并没有以非法访问的罪名指控基斯,而是以意图对计算机制造非法破坏为名对他发起了指控。他们发起这项指控时做的计算完全和破坏计算机沾不上边。比如,他们计算了Fox-40工作人员在应对基斯离职后发送的骚扰邮件时花费的时间。基斯最近被以三项重罪定罪,正等待宣判。

案件中,法官判决被告不一定需要真的黑进某样东西,才能被计算机欺诈与滥用法案起诉。

4. 菲德尔·萨利纳斯

640.webp (3)

菲德尔·萨利纳斯28岁,与“匿名者”组织有所联系。他面临的可能是有史以来最精神分裂的黑客指控:2012年,他被指控犯有计算机欺诈与滥用法下的44项重罪,每项至少意味着10年刑期。萨利纳斯称,总共440年的刑期是想逼迫他和联邦调查局合作,帮助政府进行黑客入侵,但他拒绝与政府合作。

萨利纳斯的辩护律师质疑了检察官的过火行为。在萨利纳斯针对某不具名受害者网站的攻击中,检察官对他每次输入文字的动作都提出了一项新的指控,而入侵总时长只有几分钟。经过详细调查,检察官的案件很快泡汤了。到2014年底,成山的指控已经减少到了仅仅一项很轻的罪名:利用漏洞扫描器反复询问政府网站,导致网站运行变慢。他被判处六个月刑期和1万6百美元的罚款。

5. 洛里·德鲁

640.webp (4)

2008年,检察官基于计算机欺诈与滥用法指控了密苏里州的一位名为洛里·德鲁的母亲,这次指控拓宽了计算机欺诈与滥用法案的边界:罪名并不是因为入侵计算机,而是因为违反聚友网用户条款。德鲁和另外三人共同密谋,注册了一个虚假的聚友网账号,人物身份是一个并不存在的青少年,名字则是乔什 ·埃文斯。德鲁和伙伴们借用埃文斯的账号来霸凌一个与自己女儿产生争执的年轻女孩。

但这个女孩有抑郁史,最终自杀了。公众压力迫使官方随便找出一个罪名来控告德鲁,什么罪名都行。目前还不存在针对网络霸凌的法律,因此检察官以非法访问聚友网计算机的罪名提起了指控:违反该网站的用户协议。聚友网要求注册者提供真实有效的个人信息,也禁止利用从该网站获得的信息骚扰他人。检察官声称,由于违反了用户协议,德鲁的犯罪行为比起黑客并没有什么不同,陪审团也通过这种判断。然而,检察官最终撤销了这项指控,因为政府对计算机欺诈与滥用法的理解向来比较模糊,而且“可能将大量无辜的互联网使用者判定为不法罪犯”。

6. 大卫·诺萨尔

640.webp (5)

 

大卫·诺萨尔曾为猎头公司光辉国际工作过。离职后,他设法说服前同事进入公司数据库,给他商业秘密,帮助他建立一家竞业公司。光辉国际控告他窃取商业秘密,然而检方却是使用计算机欺诈与滥用法起诉他的,因为他唆使光辉国际员工访问数据库,但是泄露这些数据却是劳动合同条款严格禁止的。

大卫·诺萨尔于2013年被定罪。他的案件经过两次上诉。第一次上诉期间,法官判决被告不一定需要真的黑进某样东西,才能被计算机欺诈与滥用法案起诉。第二次上诉,法官判定雇员不能因为违反雇主的计算机使用条例就以计算机欺诈与滥用法起诉。其它指控仍然成立,因为前雇员唆使现任员工访问数据并将其泄露仍是违反计算机欺诈与滥用法的。诺萨被判处一年零一天刑期。此案目前仍在上诉中。

7. 谢尔盖·阿列尼科夫

640.webp (6)

谢尔盖·阿列尼科夫曾是高盛的程序员,他帮助开发了该公司的高速交易软件。他在离职之前下载了为公司撰写的代码。因此检察官以三项罪名起诉了他:计算机欺诈与滥用法-非法访问罪、经济间谍法-交易公司机密罪和洲际间运输被盗财产罪。

其它指控仍然存在,阿列尼科夫在2011年被定罪。尽管联邦上诉法院随后推翻了这项定罪,裁定阿列尼科夫并未犯有间谍罪。曼哈顿的检察官办公室后来找到了州法律中的条款,包括“非法使用机密科学材料”和“非法复制计算机相关材料”。阿列尼科夫最后以前一项指控被定罪,居然反而逃过了后一项指控。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章