比利时今年通过了一项最新的“吹哨人”法案,该法将“白帽黑客行为”赋予了正当性并且免除任何刑事责任——即使是在未获攻击目标同意的情况下。
在业界,黑客通常是指那些未经授权访问计算机系统或网络的人。这类未经授权的访问有很多是出于犯罪意图,例如通过加密、窃取数据等向攻击目标索要赎金(即所谓的“勒索软件攻击”)——此类黑客通常被称为”黑帽黑客”。
同时,也有部分黑客是出于其他考虑,例如替企业检测是否存在有可能会被不法分子利用的漏洞——这些黑客通常被称为“白帽黑客”。白帽黑客的工作能够使安全漏洞在被利用之前得到解决,从而防止网络安全事件的发生,因此他们的攻击行为实际上是属于改善公司和公共机构IT系统网络安全的一种手段。
但“黑帽黑客”和“白帽黑客”的行为方式近乎一样,很难对其进行区分,因此白帽黑客总是冒着潜在的刑事起诉风险进行活动。在比利时这项新“吹哨人”法出台之前,根据比利时刑法,所有形式的黑客行为(包括白帽黑客行为在内),都将受到惩罚,除非已经提前得到受攻击实体的同意。
如今黑客有权主动调查比利时的机构是否存在潜在的网络安全漏洞,并且无需该机构同意。但这并不意味着黑客就完全自由了,白帽黑客行为仍需要符合法律规定的四个条件,才不会被追究责任。
法律规定的第一个条件是,白帽黑客不能有意图造成侵害或通过其活动获得非法利益。敲诈勒索不为法律所认可,白帽黑客不得以漏洞向机构索要钱财,除非已得到对方的事先同意,例如漏洞赏金计划。
第二个条件则要求白帽黑客必须尽快向比利时网络安全中心(CCB)报告任何发现的网络安全漏洞。同时,白帽黑客亦需要将其发现报告给其攻击目标。
第三个条件要求白帽黑客在攻击中不得超出必要和相称的程度。白帽黑客还需要确保他们的攻击活动不会影响被测试机构的正常运营。
最后一个条件是白帽黑客不得在未经CCB同意的情况下向公众披露有关漏洞的信息。
可以看到,这项法律在某些地方使用了相当暧昧的词语,例如“必要和相称”,实际上是很难预测哪些技术可以用于白帽黑客攻击,而哪些又不可以的——这意味着在实际操作中,如何界定合法攻击与非法攻击这件事情上仍会存在一些问题。另外,未经CCB许可,白帽黑客不能发布他们的测试结果,这项规定可能会损害白帽黑客在机构不愿意或无法解决漏洞的情况下警告广大公众的能力。
但不管怎么说,比利时至少在网络安全上迈出了崭新一步,时间自会证明这项开创性尝试的价值。
Anna艳娜
RacentYY
RacentYY
FreeBuf
安全侠
ManageEngine卓豪
Anna艳娜
安全侠
007bug
Anna艳娜
ManageEngine卓豪
Coremail邮件安全
