当地时间5月19日,美国司法部宣布其已经修改了根据《计算机欺诈和滥用法》对谁提出违规指控的政策。DOJ现在规定,善意的安全研究和研究人员不能根据CFAA受到指控,因为它们有助于提高网络安全标准。DOJ还明确指出,“CFAA 执法的目标是通过维护个人、网络所有者、运营商和其他人确保其信息中存储的信息的机密性、完整性和可用性的合法权利来促进隐私和网络安全。
一些安全研究人员和漏洞猎人、漏洞赏金平台开始欢呼,以为从此白帽黑客将获得渗透测试、挖洞、研究的通行证。也有研究者表达谨慎的乐观。因为诚信研究或善意研究,与恶意的或不诚信的研究,这之间的界限可能没那么容易界定。CFAA修订后的落地实施仍然还要受到DOJ下属的计算机犯罪和知识产权部门的制约,还有可能的DOJ副部长办公室的审核。一旦进入诉讼,这两个环节那就有巨大的操作空间。
DOJ的副部长Lisa Monaco解释说,计算机安全研究是改善网络安全的关键驱动力,该部门从未有兴趣将善意的计算机安全研究作为犯罪起诉,今天的公告通过提供清晰的善意来促进网络安全——相信安全研究人员会为共同利益而根除漏洞。
为什么要修订CFAA?
2021年,密苏里州州长迈克尔·帕森 (Michael Parson) 呼吁对一名报纸记者提出刑事指控,该记者发现并披露了一个网站。该网站上披露了教师的社会安全号码。
帕森称这是一个“严重的问题”,并表示这“显然是一个黑客行为”。但他的言论在当时因其技术上的笨拙和错误描述而引起了广泛的嘲笑。
以此为例, Rapid7高级政策总监Harley Lorenz Geiger说:“对于真正善意的安全研究人员来说,州计算机犯罪法和私人诉讼似乎比CFAA更具威胁性。请记住,CFAA承担刑事和私人民事责任。”
Geiger说,诸如此类的例子是政策变化背后的原因,并补充说修订并非一夜之间完成。事实上,美国司法部多年来通过两项单独的裁决指示版权局进一步加强对安全研究人员的保护——一项于2018 年作出,另一项于2021年作出。这对这项工作的成功产生了很大影响。
Geiger补充说,在此之前,司法部还更新了其CFAA政策,以严格限制基于服务条款或违反合同的起诉。“如《计算机欺诈和滥用法》C节所述,当计算机可供公众使用时,此类起诉是被禁止的。
Geiger说,这背后的原因是最高法院在Van Buren诉美国案中的裁决。
最高法院以6票对3票的结果裁定,一名警察在政府拥有的车牌数据库中搜索熟人以换取现金并没有违反法律。Geiger说,这项裁决消除了一些担忧,即对CFAA的广泛解释可能会使此类活动过度定罪。
如何定义善意研究?
Rapid7高级政策总监Harley Lorenz Geiger、漏洞赏金猎人Katie Paxton-Fear以及漏洞赏金平台HackerOne和Bugcrowd 等网络安全专家对DOJ的举措表示欢迎。
黑客有福了!我们为这一明智而公正的决定喝彩。
但其他一些人担心“诚信”或”善意“目前是主观的,需要明确定义以避免误用。
Rapid7的Geiger也是一名网络律师,他说,司法部似乎从版权局发布的《数字千年版权法案》第1201条中借用了善意安全研究的定义。
根据版权局的定义,善意安全研究指“仅为善意测试、调查和/或纠正安全缺陷或漏洞的目的而访问计算机,而此类活动的进行方式旨在避免对个人或公众造成任何伤害,以及从该活动中获得的信息主要用于促进被访问计算机所属的设备、机器或在线服务类别的功能安全性或网络安全性,或用于使用这些设备、机器或在线服务的人的安全。”
如何应对不诚信的行为者?
根据修订后的政策变化,美国司法部表示,它将不会根据CFAA起诉以下案件:“违反交友网站的服务条款,美化网上交友资料;在招聘、住房或租赁网站上创建虚拟账户;在禁止使用假名的社交网站上使用假名;工作时查看体育成绩;在工作中支付账单;或者违反服务条款中的访问限制。”
司法部还表示,政策部门的资源集中于案件中,被告没有授权访问计算机或被授权访问计算机的一部分——例如一个电子邮件帐户——尽管知道这个限制,访问计算机的一部分,其授权访问没有扩展,比如其他用户的电子邮件。
但司法部强调,这并不能为那些恶意行为的人提供“免费通行证”。“例如,发现设备中的漏洞以勒索其所有者,即使声称是出于研究目的,也不是出于善意。”
修订后的政策如何实施?
实施这一修订政策后,司法部立即采取的下一步措施是要求国会设立新的CFAA管理机构来处理内部威胁,因为范布伦限制了这一点。但要起草只针对恶意内部人士的立法,而又不让普通互联网用户或白帽黑客承担责任,将是很困难的。不过,这些最近为安全研究人员提供的保护措施有助于证明,司法部针对的目标是真正的威胁,而不是有益的黑客行为。因此,我们将不得不在新提案出台时审查其细节。
据美国司法部称,修订后的政策将取代2014年的政策,并立即生效。但为了避免混淆,在界定根据CFAA起诉案件的善恶行为时,司法部要求所有联邦检察官“在提出任何指控之前,都要与CCIPS协商。
注意,首先要与CCIPS协商细节。CCIPS是DOJ下属的计算机犯罪和知识产权科。CCIPS的三个任务是:通过发起和支持关键调查和起诉来阻止和破坏计算机和知识产权犯罪,指导调查人员和检察官正确收集电子证据,并提供技术和法律建议并为美国和世界各地的代理人和检察官提供协助。CCIPS 以多种方式推动这些任务的完成,包括 (a) 通过识别、支持和起诉高影响力、前沿和敏感的调查和起诉;(b) 向司法部、调查机构和其他行政部门机构提供专业的法律和技术咨询、培训和支持;(c) 促进有利于在国外执行计算机犯罪和知识产权法的国际政策,特别是通过建设外国政府调查和起诉的能力;(d) 向检察官提供精英级别的数字调查分析;(e) 就电子证据的合法收集提供咨询和诉讼;(f) 制定和倡导计算机和知识产权犯罪政策和立法。
司法部表示,如果CCIPS提出反对意见,检察官在起诉CFAA案件之前,必须通知司法部副部长,在某些情况下,还必须得到DAG(副部长办公室)的批准。副部长是DOJ的二号官员,负责部门的全面监督。担任首席运营官,司法部的诉讼和政策组成部分、执法机构和93名美国检察官向副部长报告。副部长为部长制定和实施部门的政策和计划提供建议和协助。
一旦有此类诉讼,必须与CCIPS协商,协商未果后还要DAG批准。
国内的安全研究圈也借机吐槽似乎中国法律法规抑制了白帽子的网络安全研究,好像老美比咱先进多少,生态好了多少。如果真那么想,那就是对美国的FBI、DOJ、NSA还了解不深、研究不够!!
参考资源
1、https://www.govinfosecurity.com/doj-revises-policy-for-good-faith-security-researchers-a-19112
2、https://www.justice.gov/criminal-ccips
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。