长期以来,对于全球各地从事渗透测试、漏洞挖掘、事件调查、分析和溯源等工作的安全研究人员(白帽黑客)来说,网络安全法规(的模糊地带)都是高悬在头顶的达摩克里斯神剑。

根据美国司法部(DoJ)上周四发布的一份声明,符合“共同利益”的安全研究将不再受到《计算机欺诈和滥用法案》(CFAA)的起诉。

修订后的政策立即生效,旨在避免不必要地惩罚“善意”安全研究,同时加强美国国家隐私和网络安全工作。它还将允许司法部将其资源集中在明显违反CFAA的案件上。

“善意”安全研究将免于起诉

这是美国司法部自2014年发布以来首次修订该政策,CFAA于1986年颁布,多年来经过多次修订,以跟上不断发展的技术和网络安全形势。

根据美国司法部的声明,善意的安全研究包括道德黑客攻击以及仅为调查和/或减轻安全漏洞或漏洞而访问计算机。修订后的政策涵盖此类活动,前提是这些活动旨在避免个人或公共伤害,并加强被测系统的安全性。

美国司法部承认“善意”研究和滥用访问之间的区别——例如当设备所有者被勒索时,或者在最初未授权访问时。检察官将咨询刑事司的计算机犯罪和知识产权科(CCIPS),以确定适用修订政策的情况。

美国司法部表示,所有希望根据CFAA起诉被告的检察官都必须遵守新政策并通知副检察长。

安全研究人员松了一口气

美国司法部的新政策让(美国的)网络安全界松了一口气。

“这份CFAA指南有望改善那些害怕因做正确的事情而遭到报复的人(比如我)的生活。”数据泄露猎人Chris Vickery在推特上写道。

Politico网络安全记者Eric Geller在推文中评论道:“CFAA是美国主要的网络犯罪法,多年来一直受到严密审查,因为有人指控其被滥用。”

此前不少法律专家呼吁反对CFAA的滥用。

在一个案例中,警官内森·范布伦(Nathan Van Buren)在访问一个案件的车牌数据库后因超出授权访问而被定罪。最高法院后来以6比3的投票结果推翻了最初的判决。

CFAA被滥用的最著名的案例可能是自由黑客激进主义者Aaron Swartz,在从JSTOR下载数百万篇期刊文章后,Swartz被指控违反了CFAA。他于2013年在监狱中自杀,当时他面临审判,并有可能被判入狱数十年。Swartz的律师辩称,他行动前获得了麻省理工学院(MIT)的授权。

美国副检察长:安全研究是提高网络安全的关键动力

“计算机安全研究是提高网络安全的关键驱动力。”副司法部长Lisa O. Monaco在声明中说。她补充说,对CFAA的修订将支持善意的安全研究人员,他们“为共同利益消除漏洞”。

通过更清晰的政策消除歧义和混乱,司法部能够将注意力集中在未经授权访问系统或安全研究人员访问其授权未扩展到的系统的其他部分的情况。

现在,指控安全研究人员违反CFAA“需要对技术有细致入微的理解”。然而,声明中写道,进行安全研究“对于那些恶意行为者来说并不是免费通行证”。

参考链接:

https://www.justice.gov/opa/press-release/file/1507126/download

(来源:@GoUpSec)