据外媒报道,美国司法部(DOJ)于当地时间周四修订了有关美国最重要的反黑客法--《计算机欺诈和滥用法(Computer Fraud and Abuse Act,以下简称CFAA)》中的相关政策,经过本轮修订后,美国司法部将不再依据该法案对白帽黑客的研究行为进行起诉,因为白帽黑客在安全研究的过程中往往是“善意的提醒”。
据悉,CFAA是于1986年颁布的一项联邦法规,其禁止未经授权或超出授权的情况下访问计算机。长期以来,该法律的反对者们一直批评其部分责任部分描述过于宽泛和模糊,比如,对什么是对受保护的计算机的授权访问,以及哪些行为超过了授权许可的相关标准并不明确。
反对该法律的人普遍对该法案的适用范围感到担忧,担心该法可能允许对看似无害的活动进行起诉,如分享Netflix密码或使用工作的Zoom账号拨打私人电话等等。
而随着这一次美国司法部对该法案的修订,该法案的适用范围将变得更加细化和明确,并为那些试图改善安全环境的网络安全研究人员们减轻了压力。
“计算机安全研究是提高网络安全的关键驱动力,”美国司法部副部长Lisa O. Monaco在公告的相关声明中表示,“司法部从不打算将善意的计算机安全研究视为应被起诉的罪行。此次公告希望为善意的安全研究人员提供清晰指引,鼓励研究者出于公共利益去根除漏洞。”
值得一提的是,修改后的该法案明确了会被视为恶意的攻击行为的标准,“若发现设备中的漏洞并借此勒索所有者,即使声称属于‘研究’行为,仍将被视为非善意。”
安全419注意到,此前国内外对于相关责任的界定均以“访问是否得到授权”为基础标准,这一点也受到了许多白帽黑客的诟病,而美国司法部这一做法虽然会为白帽黑客的研究行为带来更多的自由度和开放度,但无疑也会为目标企业和系统造成难以想象的压力。
一个小互动:
白帽子黑客的自发探测行为到底是应该收紧还是应该放松?大家怎么看?