美国CFAA迎来重大修订,白帽黑客或将无责

发布时间 2022-05-20

2022年5月19日,美国司法部(DOJ)对《计算机欺诈和滥用法》(CFAA)进行修订,明确指出网络安全研究人员(白帽黑客有着“改善技术”的良好愿景,因此司法部门将不再以CFAA起诉他们。

这对白帽黑客而言无疑是一项重大利好政策,此后他们再也不用担心因寻找漏洞而身陷囹圄,为那些试图改善技术的网络安全研究人员减轻了压力。对此,美国副司法部Lisa Monaca表示,计算机安全研究是改善网络安全的重要关键驱动力。美国司法部门从未对将“善意的计算机安全研究”作为犯罪进行起诉感兴趣。另外,今天(5月19日)的公告通过为善意的安全研究人员提供明确的规定以促进网络安全的发展,他们将为了网络安全的发展不断发现新的漏洞。

1.jpg

资料显示,CFAA颁布于1986年,是美国重要的反黑客法律,旨在禁止黑客恶意入侵未经授权的计算机系统。CFAA虽然不解决数据收集和使用等数据保护问题,但对于未经授权而侵入计算机并获得他人信息的行为规定了法律责任。

这意味着,如果未获得授权,那么白帽黑客们将不能私自扫描网站漏洞,也不能因此获得任何非公开的数据,否则就有触犯CFAA的风险,并因此受到法律的制裁。

2.jpg

如今,这一政策终于有所改善,CFAA法律将不再适用于白帽黑客群体。但需要注意的是,修订后的CFAA明确指出必须要是“善意的计算机安全研究”,除此之外的非善意行为依旧会被追责。

美国对CFAA法案争议由来已久

一直以来,美国对于CFAA法案存在较大争议,很多人认为CFAA是技术法律书籍中 “最糟糕的法律”,其过时和模糊的法律条款给善意发现和披露安全漏洞的黑客带来了极大的障碍。

由于CFAA所禁止的犯罪行为的范围远远超越了传统黑客攻击的概念,并将未经授权的访问行为以及使用越权所得信息,引起政府或其他方损失的越权访问行为,或构成对该等主体的欺诈的越权访问行为都定性为犯罪行为。CFAA还为遭受上述计算机犯罪行为损害的个人提供了民事诉由,同时规定了损害赔偿和衡平法救济。

对此,有专家认为CFAA的存在对白帽黑客全体产生了不良的“寒蝉效应”:即如果违反计算机系统的使用政策会有潜在的刑事(和民事)后果,那将使这些系统的所有者有权禁止善意的安全研究,并使研究人员噤若寒蝉,不敢披露他们在这些系统中发现的任何漏洞。

近年来,通过白帽黑客寻找安全漏洞一直是科技企业的普遍做法,作为回报,企业也会给他们不菲的报酬。这一做法成效斐然,白帽黑客为企业找到了无数的重量级漏洞,也让企业有了将这些威胁消灭在萌芽之中的机会。

但是,这一行为在法律上一直处于灰色地带,白帽黑客有可能因此被起诉。虽然Mozilla、Dropbox、特斯拉等科技巨头承诺不会根据CFAA起诉善意的黑客,但是更多的公司还是保留了起诉的权利,甚至于在某些情况下会积极发起法律行动,防止出现一些不光彩的新闻。

CFAA缩小范围的标志性案件

2020年,美国佐治亚州的前警察警长Nathan Van Buren利用他对警用车牌数据库的访问权限,搜索一个熟人的车牌号并收取5000美元。该交易实际上是FBI的诱捕行动,车牌号是虚构的。

随后,Van Buren被以越权访问警方数据库,违反CFAA的罪名被提起诉讼。Van Buren的律师称,无论Van Buren是否滥用数据库,他都是被授权访问的,因此没有违反反黑客法。

对此美国最高法院法官Amy Coney Barrett的意见指出,如果“超过授权访问”条款将每一次违反计算机使用规定的行为视为犯罪,那么数百万在其他方面守法的公民就将成为罪犯。

2021年6月,美国最高法院以6票对3票的裁决确认Van Buren没有违反CFAA,而该案件的判决结果也直接缩小了CFAA的适用范围。

对于该结果,有专家认为,“这是数字时代公民自由和公民权利执行的一个重要胜利”。这项裁决则留下了一些没有得到解答的关键问题,美最高法院的决定最终并未取决于该法律的整体影响或有效性,但是足以推动社会各界人士对于CFAA的进一步深入讨论。

另外,还有一起著名案件让CFAA的适用范围变的更加清晰,这也是美国爬虫斗争历史中极具意义的一个裁决。

2017年,微软旗下的职业社交平台LinkedIn向数据分析公司HiQ发送了禁止通知函,并在函中援引了CFAA,警告后者不要再通过爬虫获取LinkedIn 网站的数据。随后HiQ向法院提起诉讼,控诉 LinkedIn 通过法律、技术等多种方式阻止其复制 LinkedIn 用户的公开个人资料,还向法院申请了临时禁令。

双方就这一问题一直在打官司,并最终上诉至美国最高法院。此前,地方法院认为,虽然HiQ公司对LinkedIn网站实施了网络爬虫,但这种爬虫行为并不违反法律,因为 LinkedIn 网站上的数据是公开数据,CFAA中的“未经授权”或者以“超出所授予访问权限”条款,并不适用于 HiQ 从 LinkedIn 网站收集公开数据的行为。

随后,LinkedIn选择继续上诉,第九巡回法院最终还是维持原判,认为该案件并不适用CFAA,认为HiQ没有违反该法律。这也让CFAA的法律解释进一步清晰,“未经授权”概念将不适用于公共网站。

对于白帽黑客来说,规则清楚很重要

CFAA最令人诟病的地方在于法律条文出了名的模糊,不同的指控可以判处最高5年、10年或20年的监禁。而不清不楚的条文也让白帽黑客心惊胆战,无法更好地完成漏洞发掘的工作。

我国也曾经历过一段“白帽黑客规则不清楚”的时代,白帽黑客们自然百无禁忌,其中免不了有人会因为挖漏洞的方法不得当而触犯法律,这大大限制了白帽黑客群体的成长,也让很多有技术的人才畏手畏脚,无所适从。

近年来,随着我国网络安全产业不断发展,相关法律法规的不断完善,白帽黑客的规则也也逐渐清晰明了。2021年,《网络产品安全漏洞管理规定》正式颁布并实施让白帽黑客群体的行为有了明确的规则。

此后,什么可以干,什么不能干都有了明确的说法。只要是在法律允许的范围内,白帽黑客们将不用再畏首畏尾,也不用担心会不小心触碰到法律的底线,可以沉下心来挖漏洞。同时,《规定》也鼓励厂家针对白帽子设立漏洞奖励机制,白帽群体可通过自己的技术获得收入,从而形成良性循环,推动安全产业不断壮大。

可以这么说,白帽黑客已经成为网络安全产业的重要组成力量,对于网络安全产业的健康发展有着极为关键的作用。我们都知道,将风险掐灭在摇篮之中所付出的成本是最低的。而白帽黑客就是一群寻找风险的人,抢在漏洞爆发之前率先找到并上报给企业修复,化威胁于无形。

于他们而言,最重要的无非是一个清楚的规则,一个合法的保障。