汉尼拔将军曾说过,进攻就是最好的防守。对待来势汹汹的黑客,许多公司已经不再一味的被动防守,它们开始主动防守甚至选择直接“黑回去”了。未来,这种反击方式恐怕会逐渐合法化,其争取合法化的道路与大麻可能会有不少相似之处。
如果你经常留意今年的科技新闻,一定会发现,针对黑客的“以牙还牙”行动正在逐渐增多。当然,这样快意恩仇的复仇行动其实早已有之,但近些年来随着黑客活动的活跃,普罗大众也开始关注起这一有趣的话题。
不过,虽然双方的网络对攻“异彩纷呈”,但有一点必须指出,采用反击策略的公司一般都是在私底下“黑回去”的,而整个对战过程中,为了保护自家网络或数据,反击方通常会触及红线,越过法律划定的边界。
对信息安全行业来说,许多攻防战已经是公开的秘密,但其中细节对外行来说却是神秘异常。由于担心自己也被双方对攻战波及,因此许多人开始激烈争论,其核心就是:作为正义一方的受害者公司,以其人之道还治其人之身真的应该成为常态化行为吗?
今年早些时候,佐治亚州众议员呈交了一份法案,如果该法案通过,受害者反击黑客就会受到法律保护。
“我接触过的所有大公司或组织都正在进行某种形式的反击。”安全咨询公司 FlyingPenguin主席 Davi Ottenheimer 说。同时,许多业内专家也表示自己在反击黑客方面经验丰富,主动防御合法的条文写进法律是不可阻挡的趋势。
针对“黑回去”的话题,媒体都有什么见解?
进入 2017 年以后,媒体上关于这一话题的文章明显多了起来,对于“黑回去”的做法,大家也是有捧有踩,意见不一。下面我们就来参考下几家媒体的报道,首先是反对“报复黑客合法化”的意见。
Motherboard:FBI 局长建议各家公司不要对黑客采取反击行动。
这是三月份的一篇报道,其内容如下:
上周,一位共和党议员提出一项“网络正当防卫”法案,要求法律赋予被攻击的公司反击黑客的权力。如果该法案通过,将会极大的改变臭名昭著的《计算机欺诈及滥用法》,普通人也有权揪出黑客并对他们发动反击了。
不过,前 FBI 局长 James Comey 却对该法案提出了反对意见。在波士顿网络安全大会的问答环节,Comey 表示这种自己手刃仇人的做法会干扰 FBI 的工作。
《连线》杂志:让网络攻击受害者反击黑客可不是个好点子。
怒火中烧之后的报复会带来不少问题,从最近的一系列黑客事件我们也可看出,想找到网络攻击的幕后黑手非常困难。黑客会通过各种迂回的方法掩盖自己的痕迹,如果贸然反击,可能会祸及无辜的第三方。
Engadget:如果“黑回去”受到法律保护,会造成什么问题?
卡巴斯基资深安全研究员 Brian Bartholomew 表示,这项法案虽然是要阻挡黑客的攻击,但也会造成人们的担忧。同时,如果你还是新手就任性的发动反击,很有可能自行摧毁黑客倒走的数据,有些得不偿失。
此外,Bartholomew 警告称,如果“黑回去”成为各家公司的常态化行动,很有可能会破坏证据,导致执法部门无法将黑客绳之以法。
当然,也有人坚定的站在受害者一边,类似报道如下:
《大西洋月刊》:当公司成了黑客事件的受害者,它们是否应该被赋予反击的权利?
曾在小布什政府任国家安全助理秘书的 Stewart Baker 主张各家公司进行反击。他认为政府部门和执法机关根本无法自行解决愈演愈烈的网络安全威胁。Baker 表示:“就像全美步枪协会所说,当危险迫在眉睫,警察赶到还需要几分钟时,如果不采取自保措施,只能任人鱼肉。”
《金融时报》:“想哭”病毒大爆发后,是该让公司们自己“黑回去”了。
一位力主推动网络安全防御新法案的参议院认为,如果公司们有主动防御权,席卷全球的“想哭”病毒完全可以被扼杀在摇篮中。
The Hil:为“黑回去”法案正名。
新的《主动网络防御明确法案》给了受害者豁免权,它们能发动力量抓出幕后黑手,斩断攻击源或拿回自己被盗的数据。
为什么要拿大麻做类比?
类比的方法确实很管用,在雷锋网(公众号:雷锋网)编辑看来,这是帮助读者快速理解复杂概念并洞悉事件核心问题的好方法,而受害者反击黑客也会像大麻一样,在美国部分地区逐渐合法化。
当然,在美国联邦法律的框架下,无论出于医用还是娱乐的目的,大麻都没有取得合法身份。不过,普通民众会先在州里谋求其合法化地位,随后通过游说、活动和投票等活动敦促联邦政府接受。
“黑回去”法案会通过类似途径谋求合法化吗?
大麻和反黑客这两个风马牛不相及的东西在法律上怎么能相提并论?下面我们就逐条列出两者的相似点:
1. 在现有法律框架下,两者都不能被社会普遍接受;
2. 一旦全面合法化,执法部门需要处理的事情和执法成本都会大幅提高;
3. 两者在地下王国早已不是什么新鲜事;
4. 如果吹散两者头上的迷雾,马上会有更多的纪律和标准出台来减少消极影响。此外,征税也是少不了的;
5. 两者在各州、全美甚至世界范围内都有不少支持者;
6. 大麻和反黑客并非在全世界遭禁,如果美国政府阻碍“黑回去”法案,恐怕许多科技岗位会逐渐外流,美国也会丧失对人才的吸引力;
7. 在州、联邦和国际三个不同层面上,有关两者的法律规定有相互矛盾之处。
当然,对黑客的反击与大麻还是有很多不同之处。不过,后者一步步走向合法化的实践可以给“黑回去”法案提供一定的经验借鉴。
下一步如何发展
即使是“黑回去”法案和非医用大麻的坚定反对者,也不得不承认两者在美国的势力范围正日益扩大。这就好像让美国足球队踢巴西队,虽然你不顾一切的摇旗呐喊,美国队胜利的希望也很小。
未来几年内,私人反黑客可能会继续向前迈出坚实的步伐,而官方也会出台相关框架和法规对其进行约束。如果一切顺利,我们甚至能看到详细的法律规定甚至“反击执照”。这与当年大麻的应用类似,它们一开始也只在医用领域合法。
当然,这只是预测,未来私人反黑客能否合法还得参考多方因素,其中就包括其他公司私下抗击黑客的成果。
关于此事还有一件事要提,即使私人反黑客合法,也希望该领域能出现更多的合作(比如缺乏技术的执法部门和专家云集的私人公司),保证整个行动在监管下执行,且不会伤害无辜者的利益。
The Daily Beast 也对私人反黑客行动做了总结,在它们看来,无论能否合法化,受害公司都会奋起反击,只不过这些行动都是在地下完成的。有一点令人振奋的是,最近的反击行动效果都相当显著。
未来,也许大麻和“黑回去”合法化会向两个不同的方向发展,毕竟两者的接受度和民意基础差别巨大。
