美国信息安全法受质疑,被指扼杀信息安全研究
作者: 日期:2014年06月03日 阅:2,689

全球最知名的一些信息安全研究人员表示,在寻找互联网基础设施漏洞的过程中,他们受到了美国法律威胁。业内人士质疑,美国的反黑客法律实际上导致互联网变得更不安全。

适用范围引发质疑

信息安全行业的许多人士对美国《计算机欺诈及滥用法》的适用范围提出了质疑。他们认为,司法部门和律师过度解读这一法律,将寻找互联网漏洞的善意活动视为犯罪。此外,司法部门针对这方面问题的惩罚非常严厉,同时也不考虑实际情况。

黑客工具Metasploit的开发者、信息安全顾问公司Rapid7首席研究官HD·摩尔(HD Moore)表示,关于他从2012年开始的一个互联网扫描项目Critical.IO,美国司法部门去年曾对他提出警告。实际上,这一项目的目的是使用 自动化的计算机程序发现整个互联网广泛存在的漏洞。

信息安全研究公司Whitehat Security CEO杰雷米·格罗斯曼(Jeremiah Grossman)则认为,这一法律的适用范围过广,导致研究人员在发现互联网更严重的漏洞之前就选择放弃,因此不利于互联网整体的安全性。

格罗斯曼表示:“由于不考虑意图,他们可能正在杀死信息安全职业。关于我们还不太了解的问题,寒蝉效应正在出现。‘煤矿中的金丝雀’?他们已被全部杀死。因此现在,我们需要承担后果。”

给摩尔带来麻烦的Critical.IO项目已发现了一些严重的、广泛存在的漏洞。例如,一个与UPnP协议有关的漏洞可能影响了4000万至5000万台联网的计算机。

目前,美国司法部门仍在紧盯摩尔,即使他的身份和进行扫描的意图完全透明。摩尔没有透露是哪家政府部门正关注此事。

法律被过度解读

摩尔担心,这种状况不利于互联网的信息安全。他表示:“你需要这些人帮助用户了解互联网上的威胁,与软硬件厂商合作解决问题。目前,法律并不鼓励这样做,也没有区分善意的研究行为和犯罪行为。这无法帮助用户理解所面临的风险。”

许多其他信息安全研究人员也与摩尔有着类似看法。Duo Security高级信息安全研究员扎赫·兰尼尔(Zach Lanier)表示,他团队中的许多人都面临了与《计算机欺诈及滥用法》相关的问题。

兰尼尔表示,在发现了一款“面向儿童的嵌入式设备”的严重漏洞,并向生产商报告之后,他接到了律师的电话,威胁对他采取法律行动。

他表示:“我们试图与他们合作,向他们提供所有细节。当我们决定公布这一问题时,一名律师向我们致电。与许多情况类似,这些律师、技术人员和商业人员并不理解你究竟做了什么。他们宣称,我们‘攻击了他们的系统’。”这样的威胁迫使兰尼尔及其团队放弃了研究。

他认为,对于那些在收到漏洞报告后就以法律为挡箭牌的人,他们“除了钱可能什么都不会考虑”。

推动改革

目 前,对《计算机欺诈及滥用法》的改革举步维艰。信息安全研究人员希望,安德鲁·奥恩海默(Andrew Auernheimer)一案在推动改革的过程中带来帮助。奥恩海默曾发布了AT&T网站的漏洞,导致一些iPad用户的数据泄露,因此被判有 罪。奥恩海默在随后的上诉中推翻了这一判决。不过令人遗憾的是,法官推翻判决的理由是此案的司法管辖权,而不是法律适用范围。

许 多人仍然希望,“艾伦法案”能获得通过。这一法案以2013年自杀的互联网活动家埃隆·施瓦茨(Aaron Swartz)命名。此前,在未获得授权的情况下,施瓦茨从麻省理工学院的一台服务器下载了网络资源库Jstor的许多文档,并因此受到指控。施瓦茨的家 人认为,司法部门试图以《计算机欺诈及滥用法》对他进行起诉,这是导致他自杀的原因之一。许多人认为,施瓦茨的所作所为并没有产生太大的不良影响,但根据 法律他可能被判处50年监禁。

一些人担心,如果调整这一法律,使其有利于信息安全行业,那么黑客有可能以此为自己辩护。摩尔表示,应当有一些更好的方式来“定义并证明,什么是善意的研究行为”。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章