近几年美国《计算机诈骗和滥用法案》CFAA频频进入公众的视野,并引起了极大的争论,尤其是本月记者Mattew Keys因涉嫌协助黑客可能面临25年的监禁。
联邦政府首次使用反黑客攻击法令是在1989年,该法案颁布的三年后。被告是时任NSA美国国家计算机安全中心首席科学家的儿子,就读康奈尔大学的研究生Morris Jr.被控创造并释放了后来臭名昭著的Morris蠕虫。Morris最终被判三年缓刑和400个小时的社区服务。而现在,他是MIT终身教授。(上图为年轻的Morris)
自Morris一案之后,用CFAA起诉的黑客数以百计,常常引发极大争议。
CFAA的是是非非
CFAA简洁明了地禁止了未经授权的访问,或者超越权限的访问,以此保护计算机和网络。这说起来似简单,但由于法律中写得如此泛泛,以至于颇具有创意的检察官们任意扩展“未经授权”的解释,目前已远远超过立法者当时的本来意图。例如,此法案曾用于起诉Andrew Auernheimer在AT&T网站免费提供未经授权的数据访问。
另一个令人不安的趋势便是检察官越来越多地利用这个法律起诉公司雇员或者前雇员进行越权访问。特别是在1994年之后,经过修正的CFAA可被用于民事诉讼。这为公司起诉员工窃取公司机密、越权访问提供了支持。而实际上,在几起案例中我们发现公司并不倾向于行使民事诉讼的权利,而更多地是与政府合作,以刑事指控起诉违反合同的雇员。
一位来自纽约的辩护律师Tor Ekeland称,
“法律写得如此糟糕,甚至无法有效地定义它想要保护的东西。在这含糊不清的定义之下,检察官便有更加广泛的诉讼空间,从而会对IT领域的信息安全社区造成冲击。”
公民自由与法律游说组织呼吁美国国会议员改革CFAA以防范“过分热心”的检察官滥用法律。2013年著名黑客Aaron Swartz在因免费下载学术论文被起诉之后自杀,呼吁法案改革的声音越来越大。
但是就在批评者推进对CFAA权利进行限制的同时,奥巴马政府则号召立法者增加了网络攻击犯罪的最高量刑,并扩大了未经授权访问的定义,以此加强了法律的范围。
在这里我们整理了一些奇怪并带有争议的案件,看看美国政府会在审判中如何使用CFAA的罪行。
天才的陨落:Aaron Swartz
Reddit联合创始人、RSS规格合作创造者、著名电脑黑客Aaron Swartz因向观光MIT校园的所有游客提供JSTOR(一个在线学术期刊系统)免费学术论文下载而遭到起诉。尽管JSTOR表示无意起诉Swartz,但是美国联邦检察官坚持诉诸法律。2013年1月11日,患有抑郁症的Swartz于纽约自杀身亡,年仅26岁。他的死亡对于崇尚信息自由开放的互联网社区是一个重大损失。
他的家人之后发表声明称:
“Aaron的死不仅仅是一个人的悲剧。这一罪恶的司法体系充斥着恐吓行为和无法无天的公诉人,最终酿成恶果。”
此案也被列为批评人士呼吁司法变革的主要原因之一。
巨魔猎人:Andrew Auernheimer
Andrew Aueenheimer(又名“weev”),自称互联网巨魔猎人,2011年政府指控Andrew和他的朋友Daniel Spitler时,几乎没有施以任何同情。他们发现了AT&T(美国电信服务巨头)网站的一个漏洞,让他们可以获得使用AT&T服务的iPad用户电子邮箱地址。而政府坚称这两人访问AT&T公司不希望任何人访问的电子邮件是网络犯罪,尽管是这家公司自身并没有承担起保护这些电子邮件的责任。
路透社编辑:Matthew Keys
记者Matthew Keys因与一个“匿名者”黑客共享前雇主服务器的登录凭证,协助后者入侵《洛杉矶时报》网站,将一篇关于国会减税报道的标题改为“CHIPPY 1337”,而遭到政府起诉。Mattew被法院判处重罪,将面临25年监狱和75万美元(约475万人民币)罚款。
连不久前才落户Twitter的斯诺登都对此表示同情:只因为40分钟的影响(《洛杉矶时报》网站并没有因此受到太大损失),居然让一个记者面临25年的刑期。
差点坐牢440年:Fidel Salinas
Fidel Salinas因为与黑客组织“匿名者”的关系,面临着可能是有史以来最疯狂的网络犯罪指控:2012年他被控违反“计算机欺诈与滥用法”中44项内容,每一条都蕴藏一个10年有期徒刑。到2014年底,几乎所有的罪名全被驳回。
最后,Salinas承认了运行脚本尝试暴力破解Hidalgo县网站的管理账号,在尝试了14000次错误密码后,系统将真正的管理员给踢了出去。Salinas因承认了一项轻罪名,同意向Hidalgo县赔偿1万美元。
复仇者母亲:Lori Drew
2008年,检方指控密苏里州的一位名叫Lori Drew的中年母亲,并非因为她试图入侵一台电脑,而是因为她违反了MySpace的服务条款。
这位母亲为了替自己的女儿"报仇",在网络上冒充男性少年与邻居13岁的女孩Megan Meier"网恋",在对方"陷入情网"的时候,又用恶毒的语言加以伤害,最终导致女孩Megan Meier禁受不住刺激而自杀。而检方却苦于没有合适的法律条款,最后依照1984年的CFAA中的一条所谓越权使用账号,指控Lori违反了MySpace的服务条款。
前高管窃取公司数据库信息:David Nosal
David Nosal从一家高管猎头公司离职后,唆使一些前同事帮他获取原公司的机密数据库信息。这些前同事从数据库下载源列表、姓名和联系信息,然后将这些信息交给David。美国政府以多项罪名起诉他,其中包括违反CFAA规定的罪名。而法庭第一次驳回了政府对于“超过授权的访问”的指控。第二次,法官裁定雇员不能仅仅因为违反了公司的计算机使用条例就遭到起诉。
程序员VS华尔街:Sergei Aleynikov
Sergei Aleynikov是一个为高盛工作的程序员,他的职责是开发用于高频交易的软件。而在他离开工作不久之后,他下载了自己曾经为公司写的代码。2009年,检察官以未经授权访问并窃取商业机密为由起诉他。Aleynikov承认他下载了部分源代码,但坚称他的目的是为了收集开源代码。Aleynikov被判入狱97个月,但在坐牢近一年后,联邦最高法院推翻了对他的判决。2012年8月9日,Aleynikov 再被逮捕。
事实上,Aleynikov仅是被曼哈顿地方检察官指控知识信息剽窃的华尔街分析师和程序员之一。
以史为鉴,可以知兴替
TK教主曾对“黑客是一种职业吗”一问如是回答:
“黑客相当于习武之人。强盗、飞贼、保镖、捕快是习武之人的职业。”
水可载舟亦可覆舟,习武之人亦有所为有所不为。
2013年,Sablog作者谭登元(4ngel)因入侵P2P网贷系统非法盗取资金而被捕入狱的消息,曾令不少用过他写的phpspy程序、sablog的安全爱好者震惊!
2007年黑客基地站长王树哲(龙哥)因涉嫌参与“特大高校招生诈骗案”被绳之以法,他利用电脑黑客技术非法入侵并篡改了海南大学招生信息网站的数据,使受骗高考落榜学生名字等信息出现在海南大学招生信息网上。
其实现在的网络安全行业形势一片大好,安全从业者已经越来越多地由幕后走到台前,并且担负起守护网络及企业安全的重任。
小编在这里推荐一句谷歌新公司Alphabet的员工行为准则:
应该做正确的事——遵守法律、行为端正并相互尊重。