美国CFAA迎来大改版,白帽黑客可能不被追究)抱有“提高技术”的美好愿景,因此司法部门将不再与CFAA一起起诉他们。这对于白帽黑客来说无疑是一大利好政策。之后,他们再也不用担心因发现漏洞而入狱,减轻了正在努力改进技术的网络安全研究人员的压力。对此,美国司法部副部长丽莎·莫纳卡表示,计算机安全研究是提高网络安全的重要关键驱动力。美国司法部从来没有兴趣将“善意的计算机安全研究”作为犯罪进行起诉。此外,今天(5月19日)的公告通过为善意的安全研究人员提供明确的指导方针来促进网络安全的发展,这些研究人员将继续为网络安全发展而发现新的漏洞。资料显示,CFAA于1986年颁布,是美国重要的反黑客法,旨在禁止黑客恶意入侵未经授权的计算机系统。尽管CFAA没有解决数据收集和使用等数据保护问题,但它规定了未经授权侵入计算机和访问他人信息的法律责任。这意味着,如果未经授权,白帽黑客将无法私下扫描网站漏洞,也无法获取任何非公开数据,否则将面临违反CFAA而受到法律制裁的风险。今天,这项政策终于有所改善,CFAA法律将不再适用于白帽黑客社区。但需要注意的是,修改后的CFAA明确规定必须是“诚信计算机安全研究”,其他非诚信行为仍将被追究责任。长期以来,美国对CFAA法案的争议由来已久。许多人认为CFAA是技术法律书籍中“最糟糕的法律”。黑客提出了一个很大的障碍。由于CFAA所禁止的犯罪行为范围远远超出了传统的黑客攻击、未经授权访问和使用未经授权访问所获得的信息、未经授权访问给政府或其他方造成损失或对政府或其他方构成威胁的概念。将欺诈性未经授权的访问行为归类为犯罪。CFAA还为受到上述计算机犯罪伤害的个人提供民事诉讼理由以及损害赔偿和衡平法救济。对此,有专家认为,CFAA的存在对整个白帽黑客有一种不良的“寒蝉效应”:即如果违反计算机系统的使用政策可能会产生刑事(和民事)后果,它将使这些系统的所有者。有权禁止善意的安全研究并阻止研究人员披露他们在这些系统中发现的任何漏洞。近年来,通过白帽黑客寻找安全漏洞已成为科技公司的普遍做法。作为回报,公司也会付给他们很多钱。这种方法取得了显着的效果。白帽黑客为企业发现了无数的重量级漏洞,也给了企业将这些威胁消灭在萌芽状态的机会。然而,这种做法一直处于法律的灰色地带,白帽黑客可能会因此受到起诉。尽管Mozilla、Dropbox、Tesla等科技巨头已经承诺不会根据CFAA起诉善意的黑客,但更多的公司仍然保留起诉的权利,甚至在某些情况下主动发起法律行动,以防止一些恶意黑客出现。光荣的消息。缩小CFAA范围的标志性案例2020年,佐治亚州前警长内森·范布伦(NathanVanBuren)利用他对警察车牌数据库的访问权限,搜索熟人的车牌号,并收取了5,000美元。这笔交易实际上是联邦调查局的一次诱捕行动,车牌号码是虚构的。随后,范布伦被指控越权访问警方数据库,违反了CFAA。VanBuren的律师说,无论VanBuren是否滥用数据库,他都有权访问它,因此没有违反反黑客法。对此,美国最高法院大法官艾米·科尼·巴雷特的意见指出,如果“超出授权访问”条款将每一次违反计算机使用规定的行为都定为犯罪,那么数百万原本守法的公民将成为罪犯。2021年6月,美国最高法院以6票对3票确认范布伦并未违反CFAA,该案的判决也直接缩小了CFAA的适用范围。对于结果,一些专家认为“这是数字时代公民自由和公民权利执法的重要胜利”。这项裁决留下了一些关键问题没有得到解答。美国最高法院的判决最终并不取决于法律的整体影响或有效性,但足以推动各界对CFAA的进一步深入讨论。此外,还有一个著名案例明确了CFAA的适用范围,这也是美国爬虫斗争史上一个非常具有重大意义的裁决。2017年,微软旗下专业社交平台LinkedIn向数据分析公司HiQ发出禁止通知,并在信中援引CFAA,警告后者不得通过爬虫获取LinkedIn网站数据。HiQ随后向法院提起诉讼,指控LinkedIn通过法律、技术等多种方式阻止其复制LinkedIn用户的公开个人数据,并向法院申请了临时禁令。双方一直就此问题打官司,最后上诉到美国最高法院。此前,地方法院认为,虽然HiQ在LinkedIn网站上实施了网络爬虫,但这种爬虫行为并不违法,因为LinkedIn网站上的数据是公开数据,“未经授权”或“超过规定限额”CFAA中“授予访问权”不适用于HiQ从LinkedIn网站收集公开数据。随后,LinkedIn选择继续上诉,第九巡回法院最终维持原判,认为CFAA不适用于HiQ从LinkedIn网站收集的公开数据。案件,HiQ并没有违法。这也让CFAA的法律解释更加明确,“未经授权”的概念将不适用于公共网站。对于白帽黑客来说,明确的规则非常重要。最受诟病的部分CFAA的最大问题是法律规定模糊不清,不同的罪名最高可判处5年、10年或20年监禁。不明确的规定也让白帽黑客胆战心惊,无法更好地完成漏洞发现工作。我国也经历过“白帽黑客规则不清”的时代。白帽黑客自然无所忌讳,其中一些人难免会因为挖坑的方法不当而触犯法律,这极大地限制了白帽黑客群体的壮大。也让很多技能型人才望而却步,不知所措。近年来,随着我国网络安全行业的不断发展和相关法律法规的不断完善,白帽黑客的规则也逐渐清晰起来。2021年,《网络产品安全漏洞管理规定》将正式颁布实施明确的白帽黑客群体行为规则。从那以后,什么能做什么,什么不能做,都有了明确的规定。只要在法律允许的范围内,白帽黑客就不用再胆怯了,也不用担心不小心触及法律的底线,可以安下心来挖漏洞了。同时,《规定》也鼓励厂商设置白帽漏洞奖励机制。白帽子可以通过自己的技术赚取收入,从而形成良性循环,促进安全行业的持续增长。在国内网络安全政策和企业需求的不断刺激下,我国白帽黑客数量持续增长。根据FreeBuf发布的《2021中国白帽子调查报告》,2021年国内白帽总数已超过17.33万,已帮助超过数万家客户组织发现并修复了超过260万个漏洞。可以说,白帽黑客已经成为网络安全行业的一支重要力量,对网络安全行业的健康发展起到极其关键的作用。众所周知,在摇篮中蚕食风险的成本是最低的。白帽黑客是一群寻找风险的人,他们在漏洞爆发前第一时间发现并报告漏洞,并报告给企业进行修复,让威胁无形化。对他们来说,最重要的是明确的规则和法律保障。
