GETTY IMAGES
你曾经也许这样想,如果你有自己的电子设备,你就可以做任何你想做的事。事实上,现在即使是汽车、个人电脑或者胰岛素泵等私人物品,如果你逆向探究他们的软件构造来挖掘安全漏洞,你都可能被起诉。
上周五,实施数十年之久的《数字千禧年版权法案》(DMCA)被废止,美国人从此可以随意“侵入”自己的设备。没有了 DMCA 对版权系统的保护,他们不必再担心因此而被设备生产商起诉。这一关键措施,将允许客户对自己的设备进行新形式的安全性研究。还有一项措施将允许对汽车进行数字维修。同时,这项保护措施由美国版权局于 2015 年 10 月颁发并于 2016 年生效,安全研究人员和发烧友们希望能在研究和修复领域开启一个新时代。
Andrea Matwyshyn 是美国东北大学计算机科学和法律专业的教授,去年就支持废除上述相关措施。他说:“这很大程度上加强了对消费者的保护。美国版权局已经表明,它意识到了不断变化的现实技术,在消费者生活的方方面面,我们都依赖代码。”
现在,上述相关措施的废止试行期是两年。尤其是安全性研究法案的废止只适用于版权局所说的“诚信”测试,“必须是在避免对个人或公众造成任何伤害的受控环境下施行”。正如 Matwyshyn 所说, “当将心脏起搏器装入人体内的时候,我们并不是讨论如何测试起搏器。我们现在讨论的是受控实验室以及研究者的设备。”
但是尽管存在一些限制,安全研究人员也不必再担心面临 DMCA 的起诉。 Kit Walsh 是电子自由基金会的律师,他说:“其实我们每天使用的设备都有很大的安全漏洞,但是这个法案却限制研究者们深入探究,更不要说将其公之于众。接下来两年会进行很多重要的安全研究,安全漏洞威胁也会随之被消除。”
DMCA 的 1201 条款一直禁止黑客逆向研究电脑系统——即使是他们自己的电脑——主要是为了保护生产商的知识产权。比如,索尼利用这个法案起诉逆向研究者乔治·霍兹。 他侵入索尼的 PS 游戏机,使它允许运行未经官方授权的软件。(霍兹于2011年同意不再逆向侵入索尼产品后,双方达成了和解。)拖拉机生产商约翰迪尔去年利用这个法案声称:约翰迪尔拖拉机用户不能自己修复某些软件组件。
Josh Corman 是顾客安全集团 I Am The Cavalry 的联合创始人之一。他说,由于受到《数字千禧年版权法案》的限制,很多针对公共安全的重要研究都夭折了。他指的是最近的几个研究:强生胰岛素泵会被侵入导致用药过量,Jeeps 被黑客通过网络袭击,控制刹车和传动装置以及大众汽车安装特殊软件应付尾气检测。
他说这些发现的研究者都面临着 DMCA 的起诉。废止这项法案,为那些逆向研究者提供了法律保护,这样他们可以去探究那些关键问题。“一些研究者有好的律师,或者他们只能希望没有人会起诉他们。但是现在对于那些不想冒险或不想被起诉的人来说,这个法案的废止,减少了他们面临的风险。”
我们很难去计算 DMCA 实施的20年里,有多少安全研究项目胎死腹中。但是 Corman 举了一个例子: Brian Knopf 因为害怕 DMCA 的起诉,他没有纰漏他妻子公司的神经传递素所存在的安全漏洞。而且他指出, 通用汽车在一月份实施的安全漏洞纰漏计划在一定程度上保证,对此有帮助的黑客不会受到起诉。之后,它就收到了很多有关其汽车安全漏洞的报告。Corman 说:“消除人们对报复的恐惧,能够让人们提出对更多对通用消费者有益,甚至是挽救他们生命的建议。”
废止 DMCA 并不是意味着黑客就可以肆意妄为——即使是那些出于友好研究目的的黑客。除了版权局的“诚信”限制,研究者如果在未被允许的情况下侵入他人计算机,那么他们仍然可能面临《计算机欺诈和滥用法》的起诉或控告。这就意味着,研究者可以研究自己的设备,但是不同侵入他们连接的其它互联网设备。
不得不再次提醒一下, DMCA 的废止试用期只有两年。但是 I Am the Cavalry 的 Corman 希望安全研究人员能够在这段时间内拿出有说服力的研究结果,让版权局相信,废止该法案是有好处的,会使我们大家都更安全。
Corman 说:“我相信,如果我们有足够的证据证明安全研究有积极影响,那么我们就能够让这个法案永远成为过去时。我希望我们能够做到这一点。只有当你能纰漏安全问题时,你才能有机会去修补这些问题。”
