免于起訴？美國司法部給白帽黑客“松綁”

長期以來，對于全球各地從事滲透測試、漏洞挖掘、事件調查、分析和溯源等工作的安全研究人員（白帽黑客）來說，網絡安全法規（的模糊地帶）都是高懸在頭頂的達摩克里斯神劍。

根據美國司法部(DoJ)上周四發布的一份聲明，符合“共同利益”的安全研究將不再受到《計算機欺詐和濫用法案》(CFAA)的起訴。

修訂后的政策立即生效，旨在避免不必要地懲罰“善意”安全研究，同時加強美國國家隱私和網絡安全工作。它還將允許司法部將其資源集中在明顯違反CFAA的案件上。

“善意”安全研究將免于起訴

這是美國司法部自2014年發布以來首次修訂該政策，CFAA于1986年頒布，多年來經過多次修訂，以跟上不斷發展的技術和網絡安全形勢。

根據美國司法部的聲明，善意的安全研究包括道德黑客攻擊以及僅為調查和/或減輕安全漏洞或漏洞而訪問計算機。修訂后的政策涵蓋此類活動，前提是這些活動旨在避免個人或公共傷害，并加強被測系統的安全性。

美國司法部承認“善意”研究和濫用訪問之間的區別——例如當設備所有者被勒索時，或者在最初未授權訪問時。檢察官將咨詢刑事司的計算機犯罪和知識產權科(CCIPS)，以確定適用修訂政策的情況。

美國司法部表示，所有希望根據CFAA起訴被告的檢察官都必須遵守新政策并通知副檢察長。

安全研究人員松了一口氣

美國司法部的新政策讓（美國的）網絡安全界松了一口氣。

“這份CFAA指南有望改善那些害怕因做正確的事情而遭到報復的人（比如我）的生活。”數據泄露獵人Chris Vickery在推特上寫道。

Politico網絡安全記者Eric Geller在推文中評論道：“CFAA是美國主要的網絡犯罪法，多年來一直受到嚴密審查，因為有人指控其被濫用。”

此前不少法律專家呼吁反對CFAA的濫用。

在一個案例中，警官內森·范布倫（Nathan Van Buren）在訪問一個案件的車牌數據庫后因超出授權訪問而被定罪。最高法院后來以6比3的投票結果推翻了最初的判決。

CFAA被濫用的最著名的案例可能是自由黑客激進主義者Aaron Swartz，在從JSTOR下載數百萬篇期刊文章后，Swartz被指控違反了CFAA。他于2013年在監獄中自殺，當時他面臨審判，并有可能被判入獄數十年。Swartz的律師辯稱，他行動前獲得了麻省理工學院（MIT）的授權。

美國副檢察長：安全研究是提高網絡安全的關鍵動力

“計算機安全研究是提高網絡安全的關鍵驅動力。”副司法部長Lisa O. Monaco在聲明中說。她補充說，對CFAA的修訂將支持善意的安全研究人員，他們“為共同利益消除漏洞”。

通過更清晰的政策消除歧義和混亂，司法部能夠將注意力集中在未經授權訪問系統或安全研究人員訪問其授權未擴展到的系統的其他部分的情況。

現在，指控安全研究人員違反CFAA“需要對技術有細致入微的理解”。然而，聲明中寫道，進行安全研究“對于那些惡意行為者來說并不是免費通行證”。

參考鏈接：

https://www.justice.gov/opa/press-release/file/1507126/download

（來源：@GoUpSec）