圈小蛙
美国司法部已经修改了与一项有争议的反黑客法有关的执法政策,为闯入数字系统以提供帮助而不是破坏的安全专业人员提供了急需的法律赦免,撤销了自2014年以来对安全研究产生寒蝉效应的政策。
《计算机欺诈和滥用法案(CFAA)》最初于1986年颁布,旨在惩罚黑客犯罪。然而,由于它是在互联网的早期设计的,它经常因其过于宽泛的法律语言而受到批评,批评者称这些语言无法区分涉及“黑帽”网络犯罪分子和道德黑客或“白帽”的黑客案件。即使CFAA已被多次修订,批评者仍担心该法律的广泛授权可能会让无辜的网络专业人士被卷入严厉的法律案件中。
在周四发布的一份新闻稿中,司法部试图明确表示,它并不想追捕好人。该新闻稿称,美国司法部对CFAA执法政策的修改现在“指示善意的安全研究不应受到指控”。所有希望根据美国《计算机欺诈和滥用法案(CFAA)》追查案件的联邦检察官都必须遵守美国司法部颁布的立即生效的新政策[pdf]。
假设一下,根据以前对法律的解读,可能会对从事合法数字入侵的安全专业人员提起诉讼——包括研究人员、渗透测试人员和希望暴露软件漏洞的“白帽”黑客。司法部的政策修订排除了这种可能性。
副司法部长Lisa O. Monaco说:“计算机安全研究是提高网络安全的关键驱动力。司法部从来没有兴趣将善意的计算机安全研究作为犯罪进行起诉,今天的公告通过为善意的安全研究人员提供明确的规定,促进了网络安全,这些研究人员为了共同的利益而铲除漏洞。”
新修订的政策现在试图将司法部的时间和精力集中在这样的案件上:一个人“根本没有被授权访问计算机或被授权访问计算机的一部分(例如一个电子邮件帐户)和,尽管知道该限制,但仍访问了他的授权访问权限未扩展到的计算机的一部分,例如其他用户的电子邮件。”该公告解释说。希望通过CFAA起诉的联邦检察官将不得不参考新修订的政策。
然而,司法部也指出,最近的这一修改并不是“对那些恶意行为者的免费通行证”。因此,如果您侵入计算机并试图敲诈所有者,结果却转身声称您在进行“研究”,那么脚本小子们,您可能会很不走运。