美國(guó)CFAA迎來(lái)重大修訂,白帽黑客或?qū)o(wú)責(zé)

發(fā)布時(shí)間 2022-05-20

2022年5月19日,美國(guó)司法部(DOJ)對(duì)《計(jì)算機(jī)欺詐和濫用法》(CFAA)進(jìn)行修訂,明確指出網(wǎng)絡(luò)安全研究人員(白帽黑客有著“改善技術(shù)”的良好愿景,因此司法部門(mén)將不再以CFAA起訴他們。

這對(duì)白帽黑客而言無(wú)疑是一項(xiàng)重大利好政策,此后他們?cè)僖膊挥脫?dān)心因?qū)ふ衣┒炊硐萼蜞簦瑸槟切┰噲D改善技術(shù)的網(wǎng)絡(luò)安全研究人員減輕了壓力。對(duì)此,美國(guó)副司法部Lisa Monaca表示,計(jì)算機(jī)安全研究是改善網(wǎng)絡(luò)安全的重要關(guān)鍵驅(qū)動(dòng)力。美國(guó)司法部門(mén)從未對(duì)將“善意的計(jì)算機(jī)安全研究”作為犯罪進(jìn)行起訴感興趣。另外,今天(5月19日)的公告通過(guò)為善意的安全研究人員提供明確的規(guī)定以促進(jìn)網(wǎng)絡(luò)安全的發(fā)展,他們將為了網(wǎng)絡(luò)安全的發(fā)展不斷發(fā)現(xiàn)新的漏洞。

1.jpg

資料顯示,CFAA頒布于1986年,是美國(guó)重要的反黑客法律,旨在禁止黑客惡意入侵未經(jīng)授權(quán)的計(jì)算機(jī)系統(tǒng)。CFAA雖然不解決數(shù)據(jù)收集和使用等數(shù)據(jù)保護(hù)問(wèn)題,但對(duì)于未經(jīng)授權(quán)而侵入計(jì)算機(jī)并獲得他人信息的行為規(guī)定了法律責(zé)任。

這意味著,如果未獲得授權(quán),那么白帽黑客們將不能私自掃描網(wǎng)站漏洞,也不能因此獲得任何非公開(kāi)的數(shù)據(jù),否則就有觸犯CFAA的風(fēng)險(xiǎn),并因此受到法律的制裁。

2.jpg

如今,這一政策終于有所改善,CFAA法律將不再適用于白帽黑客群體。但需要注意的是,修訂后的CFAA明確指出必須要是“善意的計(jì)算機(jī)安全研究”,除此之外的非善意行為依舊會(huì)被追責(zé)。

美國(guó)對(duì)CFAA法案爭(zhēng)議由來(lái)已久

一直以來(lái),美國(guó)對(duì)于CFAA法案存在較大爭(zhēng)議,很多人認(rèn)為CFAA是技術(shù)法律書(shū)籍中 “最糟糕的法律”,其過(guò)時(shí)和模糊的法律條款給善意發(fā)現(xiàn)和披露安全漏洞的黑客帶來(lái)了極大的障礙。

由于CFAA所禁止的犯罪行為的范圍遠(yuǎn)遠(yuǎn)超越了傳統(tǒng)黑客攻擊的概念,并將未經(jīng)授權(quán)的訪問(wèn)行為以及使用越權(quán)所得信息,引起政府或其他方損失的越權(quán)訪問(wèn)行為,或構(gòu)成對(duì)該等主體的欺詐的越權(quán)訪問(wèn)行為都定性為犯罪行為。CFAA還為遭受上述計(jì)算機(jī)犯罪行為損害的個(gè)人提供了民事訴由,同時(shí)規(guī)定了損害賠償和衡平法救濟(jì)。

對(duì)此,有專(zhuān)家認(rèn)為CFAA的存在對(duì)白帽黑客全體產(chǎn)生了不良的“寒蟬效應(yīng)”:即如果違反計(jì)算機(jī)系統(tǒng)的使用政策會(huì)有潛在的刑事(和民事)后果,那將使這些系統(tǒng)的所有者有權(quán)禁止善意的安全研究,并使研究人員噤若寒蟬,不敢披露他們?cè)谶@些系統(tǒng)中發(fā)現(xiàn)的任何漏洞。

近年來(lái),通過(guò)白帽黑客尋找安全漏洞一直是科技企業(yè)的普遍做法,作為回報(bào),企業(yè)也會(huì)給他們不菲的報(bào)酬。這一做法成效斐然,白帽黑客為企業(yè)找到了無(wú)數(shù)的重量級(jí)漏洞,也讓企業(yè)有了將這些威脅消滅在萌芽之中的機(jī)會(huì)。

但是,這一行為在法律上一直處于灰色地帶,白帽黑客有可能因此被起訴。雖然Mozilla、Dropbox、特斯拉等科技巨頭承諾不會(huì)根據(jù)CFAA起訴善意的黑客,但是更多的公司還是保留了起訴的權(quán)利,甚至于在某些情況下會(huì)積極發(fā)起法律行動(dòng),防止出現(xiàn)一些不光彩的新聞。

CFAA縮小范圍的標(biāo)志性案件

2020年,美國(guó)佐治亞州的前警察警長(zhǎng)Nathan Van Buren利用他對(duì)警用車(chē)牌數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限,搜索一個(gè)熟人的車(chē)牌號(hào)并收取5000美元。該交易實(shí)際上是FBI的誘捕行動(dòng),車(chē)牌號(hào)是虛構(gòu)的。

隨后,Van Buren被以越權(quán)訪問(wèn)警方數(shù)據(jù)庫(kù),違反CFAA的罪名被提起訴訟。Van Buren的律師稱(chēng),無(wú)論Van Buren是否濫用數(shù)據(jù)庫(kù),他都是被授權(quán)訪問(wèn)的,因此沒(méi)有違反反黑客法。

對(duì)此美國(guó)最高法院法官Amy Coney Barrett的意見(jiàn)指出,如果“超過(guò)授權(quán)訪問(wèn)”條款將每一次違反計(jì)算機(jī)使用規(guī)定的行為視為犯罪,那么數(shù)百萬(wàn)在其他方面守法的公民就將成為罪犯。

2021年6月,美國(guó)最高法院以6票對(duì)3票的裁決確認(rèn)Van Buren沒(méi)有違反CFAA,而該案件的判決結(jié)果也直接縮小了CFAA的適用范圍。

對(duì)于該結(jié)果,有專(zhuān)家認(rèn)為,“這是數(shù)字時(shí)代公民自由和公民權(quán)利執(zhí)行的一個(gè)重要?jiǎng)倮?。這項(xiàng)裁決則留下了一些沒(méi)有得到解答的關(guān)鍵問(wèn)題,美最高法院的決定最終并未取決于該法律的整體影響或有效性,但是足以推動(dòng)社會(huì)各界人士對(duì)于CFAA的進(jìn)一步深入討論。

另外,還有一起著名案件讓CFAA的適用范圍變的更加清晰,這也是美國(guó)爬蟲(chóng)斗爭(zhēng)歷史中極具意義的一個(gè)裁決。

2017年,微軟旗下的職業(yè)社交平臺(tái)LinkedIn向數(shù)據(jù)分析公司HiQ發(fā)送了禁止通知函,并在函中援引了CFAA,警告后者不要再通過(guò)爬蟲(chóng)獲取LinkedIn 網(wǎng)站的數(shù)據(jù)。隨后HiQ向法院提起訴訟,控訴 LinkedIn 通過(guò)法律、技術(shù)等多種方式阻止其復(fù)制 LinkedIn 用戶的公開(kāi)個(gè)人資料,還向法院申請(qǐng)了臨時(shí)禁令。

雙方就這一問(wèn)題一直在打官司,并最終上訴至美國(guó)最高法院。此前,地方法院認(rèn)為,雖然HiQ公司對(duì)LinkedIn網(wǎng)站實(shí)施了網(wǎng)絡(luò)爬蟲(chóng),但這種爬蟲(chóng)行為并不違反法律,因?yàn)?LinkedIn 網(wǎng)站上的數(shù)據(jù)是公開(kāi)數(shù)據(jù),CFAA中的“未經(jīng)授權(quán)”或者以“超出所授予訪問(wèn)權(quán)限”條款,并不適用于 HiQ 從 LinkedIn 網(wǎng)站收集公開(kāi)數(shù)據(jù)的行為。

隨后,LinkedIn選擇繼續(xù)上訴,第九巡回法院最終還是維持原判,認(rèn)為該案件并不適用CFAA,認(rèn)為HiQ沒(méi)有違反該法律。這也讓CFAA的法律解釋進(jìn)一步清晰,“未經(jīng)授權(quán)”概念將不適用于公共網(wǎng)站。

對(duì)于白帽黑客來(lái)說(shuō),規(guī)則清楚很重要

CFAA最令人詬病的地方在于法律條文出了名的模糊,不同的指控可以判處最高5年、10年或20年的監(jiān)禁。而不清不楚的條文也讓白帽黑客心驚膽戰(zhàn),無(wú)法更好地完成漏洞發(fā)掘的工作。

我國(guó)也曾經(jīng)歷過(guò)一段“白帽黑客規(guī)則不清楚”的時(shí)代,白帽黑客們自然百無(wú)禁忌,其中免不了有人會(huì)因?yàn)橥诼┒吹姆椒ú坏卯?dāng)而觸犯法律,這大大限制了白帽黑客群體的成長(zhǎng),也讓很多有技術(shù)的人才畏手畏腳,無(wú)所適從。

近年來(lái),隨著我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)不斷發(fā)展,相關(guān)法律法規(guī)的不斷完善,白帽黑客的規(guī)則也也逐漸清晰明了。2021年,《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》正式頒布并實(shí)施讓白帽黑客群體的行為有了明確的規(guī)則。

此后,什么可以干,什么不能干都有了明確的說(shuō)法。只要是在法律允許的范圍內(nèi),白帽黑客們將不用再畏首畏尾,也不用擔(dān)心會(huì)不小心觸碰到法律的底線,可以沉下心來(lái)挖漏洞。同時(shí),《規(guī)定》也鼓勵(lì)廠家針對(duì)白帽子設(shè)立漏洞獎(jiǎng)勵(lì)機(jī)制,白帽群體可通過(guò)自己的技術(shù)獲得收入,從而形成良性循環(huán),推動(dòng)安全產(chǎn)業(yè)不斷壯大。

可以這么說(shuō),白帽黑客已經(jīng)成為網(wǎng)絡(luò)安全產(chǎn)業(yè)的重要組成力量,對(duì)于網(wǎng)絡(luò)安全產(chǎn)業(yè)的健康發(fā)展有著極為關(guān)鍵的作用。我們都知道,將風(fēng)險(xiǎn)掐滅在搖籃之中所付出的成本是最低的。而白帽黑客就是一群尋找風(fēng)險(xiǎn)的人,搶在漏洞爆發(fā)之前率先找到并上報(bào)給企業(yè)修復(fù),化威脅于無(wú)形。

于他們而言,最重要的無(wú)非是一個(gè)清楚的規(guī)則,一個(gè)合法的保障。