编者按:前几天,HBO遭黑客入侵,大量未播出剧集被盗,在这样的情况下,HBO是否有权自主追踪黑客并进行反击呢?这其实并不是一个简单的道德问题,而是一个严谨的法律问题——在如今日新月异的网络世界当中,立法如何与时俱进呢?Josephine Wolff在《大西洋月刊》网站上写了这篇文章When Companies Get Hacked, Should They Be Allowed to Hack Back?,分析了当前人们关于网络反击合法化的最新观点。
通常,大型网络安全漏洞(比如5月那次WannaCry勒索病毒攻击)爆发后,都会有一个古老的辩题,辩论声不绝于耳(至少在互联网年代)。在这类事件之后,总有些人对网络安全的状况表示忧虑,坚持认为:只要允许科技公司在遭受攻击之后反攻,凭他们那丰厚的财力和技术实力,他们完全能够及时止损、阻止其他攻击者,哪像现在,执法机构应对网络攻击实在是太缓慢、艰巨,并且他们时间紧任务重,资源又少,还要受着管辖。
这就提出了一个问题:除了那些标准的保护工具——加密、防火墙、防病毒软件、入侵检测系统、二元认证之外,公司应不应该被允许越过公司内网界线,黑掉那些攻击他们的服务器、把被偷走的公司数据删掉?大多数公司和网络安全专家都表示:不应该。但这并不能阻止少数派依然固执己见地支持这一举措,少数派大多是自由主义智库的研究员和一些律师组成,律师们通常忧心于当前反黑客行动管制的严格程度。
应当给公司“主动防御”(网络攻击的委婉语)留有更多的余地,这种观念已经从美国的《计算机欺诈和滥用法令》(CFAA)以及其他地区的类似法令当中消失殆尽多年,相关的法令让人们知道:未经机主允许而入侵计算机是一种违法行为。但是仍有一些立法者认为,公司以自卫的名义入侵外部网络应当是一个例外、不被该法令所限制。3月,佐治亚州的代表Tom Graves提出《主动网络防御确认法》(ACDC),这将改变CFAA原有的规定,遭受攻击的受害者访问攻击者的网络以“收集信息、确立犯罪行为归属、递交给法律部门”或是“中断仍在持续中、未经授权的访问行为”,将不再是犯罪。
让美国政府来处理?为时晚矣!
Stewart Baker是小布什时期的国土安全部长助理,现在是华盛顿Steptoe & Johnson法律公司的合伙人。他倒是想看到公司能够黑回去,他对当前法律在网络安全方面的状态持批评态度,多年来一直试图使私人企业能够更容易地在网上追踪入侵者。Baker说:“一个公司被黑,给FBI说‘我被黑了,你能找到黑我的人吗’就跟你给大学城里的警察们说‘有人偷了我的自行车’一样,没人嘲笑你都是好的了。政府当然会追踪黑政府自己的黑客,但它可没那么多精力帮公司。”
虽然服务器被黑、数据泄露和自行车被盗似乎并不相干,但是没办法,无论好坏,大多数关于网络安全立法、政策的讨论都要以现实世界来类比。对Baker来说,仔细考量ACDC类似法律的重要性,还有另外两种重要的说理方式。一个是人尽皆知的原则——组织有权捍卫自己的利益;另一个则是一种观点,即普通公民和实际法律的执行之间,应当存在许多不同层次、肩负不同责任的责任人。Baker说:“在现实世界,一般公民和军队、实际执法保护人员之间有着各种各样的人存在,也就是中介机构,比如赏金猎人、私家侦探、商场警察。他们有一些额外的权力,也应当能够使用这些额外的权力,因为我们在现实中不能完全只依靠警察,他们的存在很有必要。这是现实世界的现状,那么为什么我们不能在网络世界也接受类似的想法呢?为什么不能在只能被动防御(指安装防火墙)的普通公民和警察中间,设立中间机构呢?”
Baker有着这一提议,并非受到行业利益的驱使,而是他深信政府官员和执法机构自己都无法处理这些网络威胁。“就像美国全国步枪协会(NRA)所说‘当只剩下几秒钟的危急关头,警察们都还得好几分钟才能到现场’,网络世界里也是类似的,除了警察得好几天才能处理情况。”
网络反击合法化?可能会更混乱!
不过,Baker和Graves代表都是少数派。至少在有记录的大多数主动发言中,将网络反击合法化都是一个不受欢迎的想法。批评声音遍布各界:执法官员担心这将导致网络攻击方面的调查走向混乱;律师们警告称,即使美国允许类似的行为,也可能违反外国的法律;安全人士担心这也许会和汽车一样,造成更多的攻击和更大的混乱,尤其是当受害者不能确认攻击者的时候,甚至有些人会伪造虚假攻击,作为黑对方的借口。
如果大型科技公司叫嚣着更多的暴力反击机会,他们肯定也不会公开表示。“我还从来没听过哪个公司说自己想要网络反击的权力的。”民主与技术中心智库的自由、安全和技术项目主任Greg Nojeim如是说。至少在以前,还有少数公司积极地响应这一说法——比如说,谷歌和几家银行。据报道称,2010年,谷歌在调查用户被攻击的情况时黑掉了台湾的一台电脑。2014年,FBI调查了几家银行,怀疑他们雇佣黑客攻击伊朗使用的服务器。但是类似的例子还是太少了,并且总体上相对温和。
“我认为很多公司在选择立场上还是很犹豫,”Nojeim继续说,“对他人网络施加主动防御等措施,他们是可以支持的,但他们犹豫的点在于担心在这之后自己的网络也会成为他人的攻击目标。”就像许多网络反击立法扩大话的批评者们一样,Nojeim对这一情况做了区分,比如一些防守性的活动,他就认为没有多少问题。例如,他认为“标示”就没有问题。(标示:给重要文件内写入代码,一旦被窃,代码即可反馈黑客的IP地址。
授权一些个体反击权力?授权给谁?
另一些人认为,关键应当限制被允许反击的个人,而并非限制他们黑回去的具体内容。例如,乔治梅森大学法学教授Jeremy Rabkin主张,接受美国政府审查的一些网络安全公司,他们就可以雇佣一批黑客,在网络安全受到威胁的时候黑回去。“当有黑客在文件和系统周围游荡的时候,很多事情可能会被搞得一团糟,”Rabkin告诉我。“你必须相信这些人,必须相信他们不会从中偷窃机密、举报他人。”他估计,只有少数公司(大多数都是高度重视网络安全的公司、与美国政府有着长期合作关系的承包商、前军事人员)能够被授予如此的信任。
小布什政府的前国土安全部长Michael Chertoff经营着自己的咨询公司,认为任何私营公司的反击活动都必须经过政府的同意,并且与政府官方密切配合。“如果公司与政府的方向不一致,你可能和俄罗斯人做的没啥两样。” Chertoff这样说,他指的是俄罗斯政府依靠罪犯收集起来的情报,允许罪犯不负任何相关责任,且从罪犯的犯罪行为中受益。最终,Chertoff认为,打击网络攻击,政府并不需要帮助,也不需要外包其责任。
加州州立理工大学的哲学教授Patrick Lin对任何一项有关开放网络反击可能性的立法都有着细致入微的关注,无论人们判断它是否合理。“现在还不太可能允许黑客反击,即使这种做法并不具有道义上的可谴责性,”Lin说。“至少,要有一个透明清晰的程序,无论是授权、或是事后审查网络反击,以确保反击的正当性,以及对非法攻击的处罚。很明显,这一超前的程序还没有一个基础的框架。”(ACDC的草案当中很少有这种前瞻性意见,5月份发布的最新草案当中,公司要向FBI报备自己的反击行为。)
大多数人想的都是减少网络攻击,这时目前的现状,那么合法化网络反击的提案以及鼓励更多的网络冲突都透着那么点儿怪异。人们都相信那个不言自明的假设:进攻是最好的防御。虽然网络上的进攻和防御在一般情况下如此不同:电脑用来防御的工具(加密、网络监控)和用来进攻的工具(僵尸网络、网络钓鱼)完全不同。网络反击合法化将会让这两个领域的界限愈发模糊,这样一来,辨别网上的好人和坏人就更难了。
参考链接:https://www.theatlantic.com/business/archive/2017/07/hacking-back-active-defense/533679/
编译组出品。编辑:郝鹏程
无关风月 无关诗书!