放白帽黑客一马?美国何故修订CFAA?

资讯 作者:安在 2022-05-20 21:28:33 阅读:267




曾经,黑客是一个十分酷炫的词汇,是神秘而强大的孤行者的代名词。但是,随着互联网的发展,网络技术的翻新迭代,黑产逐渐成为互联网中一个具有强大破坏力的非法组织,于是,人们逐渐将黑产与黑客结合在一起,黑客逐渐有了污名化的趋势。


实际上,黑客在诞生之初,是一个比较中性的词汇。具体来说,黑客源于上个世纪50年代的麻省理工,当时MIT的一帮学生们组成了许多兴趣小组。比如最著名Tech Model Railroad Cloub(铁路技术俱乐部),大家在一起学习研究火车的构成、信号控制系统,动手组装模型、修改模型,一起研究做实验,把心中一个个idea付诸实现。


久而久之,人们把这些好玩且又有技术含量的idea叫hack。而这些俱乐部里的精英就自称hacker,这就是“黑客”一词的来源。这些俱乐部也卓有成效,玩出来了改变和影响当今世界的东西:Unix、互联网、开源软件等等


1984年,史蒂文.列维(Steve Levy)出版了一本介绍黑客的书《黑客:计算机革命的英雄》,在书中,他概括了黑客价值观——“黑客伦理”(Hacker Ethic)。


● 任何事情都应该动手试一试。

● 信息都应该自由传播(自由软件SFS)。

● 不信任权威,提倡去中心化。

● 不看学历,看能力(Not BB,show me the Code!)。

● 用计算机创造美和艺术

● 计算机使生活更美好。


独立、自信、自由大概就是黑客最初的天性,然而天性的释放,久而久之必然产生负面的行为,不少黑客对互联网安全产生了巨大的泼坏。故而在近几十年,许多国家都颁发相关的法律法规,以约束和限制黑客行为。在此期间,也有许多知名黑客因此而被捕入狱,黑客技术的研究也变得谨小慎微起来,生怕一不留神就触发了红线。


近些年来,网络安全的地位日渐高涨,国与国之间的交锋不再局限于海陆空战场,网络空间也充斥着各种明争暗斗。斗争离不开人,网络的斗争也离不开网络技术人才,而黑客往往就是其中的佼佼者。于是,许多互联网公司、安全公司都向知名黑客伸出了橄榄枝,将他们纳入麾下,事实上也确实产生了许多正向的效果。


于是,网络上始终有一种声音,希望能够为黑客正名。尤其是今年2月,俄乌冲突爆发,美国事实上也插手其中。一时之间,各国黑客们也针锋相对,打得也是你来我往,十分火热。由此更加凸显出强大黑客的价值。



最近,国际上关于黑客的新闻还挺多。咱们先来说距离现在最近的一则新闻。


据外媒Vice报道,美国司法部(DOJ)于当地时间5月19日修订了有关美国最重要的反黑客法——《计算机欺诈和滥用法(Computer Fraud and Abuse Act,以下简称CFAA)》的政策。该部门指示检察官不要用CFAA来起诉网络安全研究人员——有时被称为“白帽黑客”,他们有改善技术的良好意愿。


换句话说,美国将不再对违反美国联邦黑客法《计算机欺诈与滥用法》(CFAA)的善意安全研究提起诉讼。



据悉,CFAA是于1986年颁布的一项联邦法规,其禁止未经授权或超出授权的情况下访问计算机。长期以来,该法律一直被批评使用了过于宽泛和模糊的语言,即什么是对受保护的计算机的授权访问或什么是超过授权的意思。


直到去年最高法院的一个案件缩小了该法律的范围,人们担心该法可能允许对看似无害的活动进行起诉,比如分享Netflix密码或使用工作的Zoom账号拨打私人电话。


不得不说,这项举措意义重大。因为很长时间以来,出于漏洞发现和修复等目的,安全研究人员往往需要探测甚至入侵目标系统。CFAA无疑对这部分研究者构成了威胁。随着DOJ对政策的修订,事情变得更加细化,意味着善意安全研究不应面临指控,并为那些试图改善技术的网络安全研究人员减轻了压力。


“计算机安全研究是提高网络安全的关键驱动力”,美国司法部副部长Lisa O. Monaco在公告的相关声明中表示,“司法部从不打算将善意的计算机安全研究视为应被起诉的罪行。此次公告希望为善意的安全研究人员提供明确的规定以促进网络安全的发展,鼓励研究者出于公共利益去根除漏洞。”


该政策的文本也提到,“司法部执行《计算机欺诈与滥用法》的目标是维护个人、网络所有者、运营商及其他方的合法权利,促进隐私和网络安全,保障信息系统内所承载信息的机密性、完整性和可用性。”



数十年来,相关领域的专家们一直批评CFAA“管得太宽”。激进派组织电子前沿基金会此前曾表示,“安全研究对于保障所有计算机用户的安全非常重要。如果我们不知道漏洞的存在,就无法着手修复,更无法在未来制造出更好的计算机系统。CFAA应该保护白帽黑客,激励他们做好这份重要的工作。”


此次公告也提供了反面案例,即会被视为恶意而面临指控的“研究”行为。其中写道,“若发现设备中的漏洞并借此勒索所有者,即使声称属于‘研究’行为,仍将被视为非善意。”


公告还补充称,新政策将立即生效,所有根据《计算机欺诈与滥用法》起诉案件的联邦检察官必须遵循新政策要求。


这则新闻,无疑是对黑客有利的倾向。那么,为何美国会在这个时刻,对CFAA做出这样的修改呢?对此,我们不免将今年的几则新闻联系在一起。


第一则新闻是,今年四月,有媒体报道,数据显示,俄乌战事开始后,受制裁冲击,俄罗斯信息技术领域的职位数量减少了26%。



第二则新闻是,今年5月初,美考虑修法吸引俄罗斯高技术人才移民。西方官员表示,目前对俄罗斯实施的就是一场“全面的经济战”。据美国有线电视新闻网CNN报道,白宫向国会提交了一份补充预算申请,用于加大对乌克兰的援助力度,其中包含了有关向俄罗斯公民发放签证的内容。


拜登提出,对美国《移民和国籍法》进行修改,简化向俄罗斯高技术人才发放签证的流程。所谓“高技术人才”被定义为“在数学、科技和工程领域获得硕士及以上学位”,重点涉及的领域包括高超声速、尖端导弹推进技术、尖端核能、人工智能、网络安全及太空技术等。 



看见了么,“网络安全”赫然与尖端导弹推进技术、尖端核能、太空技术等超尖端科技并列为六大领域,由此可见网络安全在美国眼中是何等重要。


美媒表示,拜登政府希望“吸引、并留下俄罗斯理工科人才,破坏俄罗斯的创新潜力,以促进美国国家安全”。一位白宫官员更是直言:美国希望抓住机会,向俄罗斯科学家们提供一条永远离开俄罗斯的清晰路径,让俄罗斯失去其最优秀的人才。



事实上,这已经不是美国第一次从俄罗斯抢人才。苏联解体后,美国曾于1992年出台《苏联科学家移民法》,允许此前苏联加盟共和国的科研人员在没有找到美国雇主的情况下移民美国。由此可见,人才之争,从来都不会过时,也是维护科技霸权的重要利器。


第三则新闻是,当地时间5月16日,俄罗斯黑客组织“Killnet”正式向10个支持恐俄症的国家宣战。


黑客组织“Killnet”在其社交媒体账号上发布的视频中指出,他们的攻击目标国家是美国、英国、德国、意大利、波兰、罗马尼亚、拉脱维亚、爱沙尼亚、立陶宛和乌克兰等10个支持恐俄症的国家。Killnet还强调这与《欧洲歌唱大赛》的攻击无关。



Killnet这个黑客组织相当神秘,网上甚至很少其相关报道,而且今年3月1日才正式以组织的身份公开亮相,2个月的时间便跻身全球前三黑客组织。区别于其他以勒索软件进行谋财的黑客组织,横空出世的Killnet所有的网络攻击行为都只有一个目的——为俄罗斯而战, 有网友猜测此前多起大型来自俄罗斯的网络攻击便是出自其手。


Killnet的第一次出场,便是瘫痪乌克兰右翼部门的军事网站、乌克兰总统泽连斯基办公室网站以及匿名者的黑客组织的官方网站。



难道美国会害怕俄罗斯的黑客?


其实,这些年来,俄罗斯的经济发展不咋地,但是俄罗斯的黑客却是格外强大,令许多国家和组织闻风丧胆。故而曾有人说:世界只有两种黑客——俄罗斯黑客和其他黑客。


俄罗斯的黑客,最主要的特点就是“快”。有多快呢?美国网络安全公司曾发布报告,从入侵者发起攻击到获得系统权限所需要的时间,为世界黑客进行排名统计,俄罗斯黑客用时18分49秒,第二名则用时2小时20分14秒,第三名则是中国黑客,总共用时4小时左右。果真是没有对比就没有伤害。

三十年来,俄罗斯黑客战绩显赫,驰骋全球,威名十


1994年,俄罗斯数学家弗拉基米尔.列文带领团队攻击花旗银行icon,成功获取花旗银行系统访问权限,向自账户转了370万美元,而花旗银行竟一无所知,最后还是黑客们心生得瑟,主动宣扬这一战果,银行方才知晓;


1996年,俄罗斯黑客组织“月光迷宫”入侵美国NASA、海军、空军总部的机构,窃取了大量军事机密,轰动全球;


2010年,全球第二大股票交易所纳斯达克交易所(NASDAQ)的电脑系统遭黑客入侵并被植入恶意程序,美国FBI事后竟不知是谁所为,直到俄罗斯黑客自己坐不住主动承认,方才大悟;


2014年,俄罗斯4名黑客制造了号称“美国史上最大数据盗窃案之一”的雅虎账号盗窃案。他们盗窃至少5亿个雅虎账户信息,包括超过150万个属于美国联邦政府以及美军人员,有白宫官员、国会议员、CIA、FBI、NSA的员工、美国当时现任及前任国务院官员,以及1个美国空军情报大队指挥官;


2016年,俄罗斯黑客组织“奇幻熊(Fancy Bears)”入侵了世界反兴奋剂机构(WAD)的服务器,曝光了一系列体育明星使用“禁药”的信息,其中以英美运动员为主,包括了大小威、纳达尔等网球名将;


2022年,乌克兰副总理发文想要邀请30万黑客大军攻击俄罗斯,世界最大的黑客组织匿名者通过DDOS攻击了俄网站,俄罗斯政府机关和媒体网页频繁崩溃。俄罗斯黑客“killnet”作为防守方瞬间将其反杀。


除此之外,全球第一个破解Windows XP系统的黑客就来自俄罗斯



俄罗斯黑客,恐怖如斯!


未来战争,一定是数字化战争,数字安全必须要得到极高的重视。而参与数字化战争的人,自然就是那些被称之为“黑客”的人才。


将这几则新闻联系在一起,虽不能断言它们之间必然存在某种联系,但美国放开对黑客白帽的打压,无意中必然能吸引一部分顶尖黑客更加专注于投身网络安全的钻研与探究。


有位网友在朋友圈也发表了相关的看法,他认为:“如果(安全)研究发布都有罪,那就是自废武功。而安全攻击没有地域限制,那就等着别人研究来攻击吧。”



可以看出,这是一位绝对资深的业内人士,字里行间难掩忧思,却颇显恳切。话题是老话题,问题是老问题,但,在新的背景下,作为业界,是否值得再做反思呢?


因此,我们应该如何更好地让安全研究者放开手脚,去对网络安全进行不受限制地探索,又能遏制网络安全相关的违法犯罪行为,这确实考验法律法规制定者的智慧与胸襟。


冲突可能是未来的主旋律。美国已经有所行动,我们不但要有所警惕,更要有充分的应对措施和远见格局。




参考资料

cnBeta.COM:《美司法部修订CFAA:将不对白帽黑客追究责任》


安全内参:《重磅!美国司法部修订法律,不再起诉白帽黑客行为》


虫虫搜奇:《关于黑客的起源、文化,为黑客正名!》


上观新闻:《为全面削弱俄罗斯 拜登出新招》


木兰稍作看点:《向欧美十国宣战的俄黑客组织killnet,究竟是个怎样的存在?》


苗家少女:《俄黑客向欧美政府宣战,黑客帝国究竟有多牛,学网络安全任重道远》


齐心抗疫 与你同在 



你怎么这么好看

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接