比利時今年通過了一項最新的“吹哨人”法案,該法將“白帽黑客行為”賦予了正當性并且免除任何刑事責任——即使是在未獲攻擊目標同意的情況下。
在業界,黑客通常是指那些未經授權訪問計算機系統或網絡的人。這類未經授權的訪問有很多是出于犯罪意圖,例如通過加密、竊取數據等向攻擊目標索要贖金(即所謂的“勒索軟件攻擊”)——此類黑客通常被稱為”黑帽黑客”。
同時,也有部分黑客是出于其他考慮,例如替企業檢測是否存在有可能會被不法分子利用的漏洞——這些黑客通常被稱為“白帽黑客”。白帽黑客的工作能夠使安全漏洞在被利用之前得到解決,從而防止網絡安全事件的發生,因此他們的攻擊行為實際上是屬于改善公司和公共機構IT系統網絡安全的一種手段。
但“黑帽黑客”和“白帽黑客”的行為方式近乎一樣,很難對其進行區分,因此白帽黑客總是冒著潛在的刑事起訴風險進行活動。在比利時這項新“吹哨人”法出臺之前,根據比利時刑法,所有形式的黑客行為(包括白帽黑客行為在內),都將受到懲罰,除非已經提前得到受攻擊實體的同意。
如今黑客有權主動調查比利時的機構是否存在潛在的網絡安全漏洞,并且無需該機構同意。但這并不意味著黑客就完全自由了,白帽黑客行為仍需要符合法律規定的四個條件,才不會被追究責任。
法律規定的第一個條件是,白帽黑客不能有意圖造成侵害或通過其活動獲得非法利益。敲詐勒索不為法律所認可,白帽黑客不得以漏洞向機構索要錢財,除非已得到對方的事先同意,例如漏洞賞金計劃。
第二個條件則要求白帽黑客必須盡快向比利時網絡安全中心(CCB)報告任何發現的網絡安全漏洞。同時,白帽黑客亦需要將其發現報告給其攻擊目標。
第三個條件要求白帽黑客在攻擊中不得超出必要和相稱的程度。白帽黑客還需要確保他們的攻擊活動不會影響被測試機構的正常運營。
最后一個條件是白帽黑客不得在未經CCB同意的情況下向公眾披露有關漏洞的信息。
可以看到,這項法律在某些地方使用了相當曖昧的詞語,例如“必要和相稱”,實際上是很難預測哪些技術可以用于白帽黑客攻擊,而哪些又不可以的——這意味著在實際操作中,如何界定合法攻擊與非法攻擊這件事情上仍會存在一些問題。另外,未經CCB許可,白帽黑客不能發布他們的測試結果,這項規定可能會損害白帽黑客在機構不愿意或無法解決漏洞的情況下警告廣大公眾的能力。
但不管怎么說,比利時至少在網絡安全上邁出了嶄新一步,時間自會證明這項開創性嘗試的價值。
看雪學苑
安全牛
安全圈
安全圈
安全圈
安全圈
安全牛
系統安全運維
云計算和網絡安全技術實踐
天億網絡安全
E安全
數世咨詢
