风险的边缘 菜单 搜索
对企业风险和应变能力在全球经济的新思路。
技术

该ACDC法开启了大门,一个黑客回公路到地狱

宾夕法尼亚州立大学狄金森法律和网络科学研究所网络法律和政策的杰出学者

这是关于主动网络防御确定法案的两篇文章中的第二篇。第一部分可以阅读在这里

由于网络空间的性质和大量恶意网络攻击,执法部门在应对、破坏和起诉大多数网络犯罪方面装备不良、人手不足。为了解决这个问题,在美国提出了2019年活跃网络防御确定性法案(ACDC该法案),由众议员汤姆·格雷夫斯(R-佐治亚州)出台,将允许在美国私人实体“黑客背”的时候被人攻击他们的系统,提供了一定的条件得到满足。

这个想法听起来很聪明,但它最初的闪光点隐藏了一些危险区域。如前所述,该法案存在重大问题。

该ACDC法案的主要条款

ACDC is designed to harness the power of the private sector to investigate, identify, defend and deter cyber hackers, although it requires companies who want to use ACDC’s provisions to legally hack back against attackers to notify the FBI Cyber Investigative Joint Task Force and receive acknowledgment of notification before hacking back.

根据众议员坟墓,ACDC的主要条款将允许这些“授权”公司“离开网络”(一种委婉的说法访问攻击者的系统未经授权)和:

  1. 建立归因(识别攻击者)
  2. 破坏或阻止网络攻击,而不沿途损害其他电脑
  3. 检索受害者被盗的文件或销毁攻击者系统上的文件
  4. “监控攻击者的行为”
  5. 使用信标技术

这些动作被描述为主动网络防御措施(ACDMs) - 并作出了一个强大的,积极的政策。但也有潜伏在语言中的一些重大问题。

危险歧义

不仅是行动的语言模糊和混乱,但它也创造了危险的模糊区域,在什么时候和什么网络防御活动是适当的。这种含糊其辞和含糊不清对授权公司没有好处。相反,它们可能意味着重大的经济和法律风险。

国会在ACDC上的调查结果告诫被黑客攻击的企业:首先,向执法部门报告网络犯罪,其次,改进防御措施。当自己公司的系统受到恶意网络攻击时,许多信息安全官员有理由不同意这种优先顺序。

谁可以回复,什么时候回复?

该法规定了“卫士”作为一个人或实体谁是后卫的计算机的持续非法入侵的受害者。人们可能会问:如果是入侵执着?不要擅自两制访问事件资格作为执着?是否持续是指多久入侵者遗迹一个中卫的系统内,或多少次入侵者已超出系统?不幸的是,拟议的立法没有界定什么是持久的入侵。这为公司和法院大的灰色地带。

此外,只有在通知联邦调查局并收到联邦调查局的通知确认后,法案才允许合格的辩护人使用ACDMs。总而言之,只有当FBI在船上,并且受害者/辩护者对攻击者是谁有高度的信心时,黑客反击才被允许。为了帮助实现对归属的高度信任,ACDC将使信标技术的使用合法化。

信标是嵌入在文件中的程序、代码或命令,当未经授权从defender系统中删除嵌入信标的文件时,这些程序、代码或命令会向defender的系统发出信号。这使得防御者能够追踪到信标的路径和位置(从而追踪被盗的文件),如果在另一个实体的系统中发现了信标,则提供了潜在的更强的归属证据。

该法的这一部分是非常有帮助的,因为有些人认为 - 错误 - 即利用信标技术是非法的,因为它是未经授权的访问到另一个系统。该法案规定,在这一点上,没有哪个企业会不愿意使用技术澄清。

在回黑期间可以做什么?

该法允许合格的防守球员用ACDMs打击网络犯罪,但它推迟到司法部关于确定哪些ACDMs是合法和适当的细节。它指控美国司法部“澄清谁是从事实体适当的协议” ACDMs。

值得赞扬的是,该法案确实规定了一些不能做的事情:它禁止防御者破坏攻击者计算机系统上的数据(除非是防御者自己的文件),损害攻击者计算机系统的操作,或者创建一个进入攻击者系统的后门。然而,它也缺乏任何协议或技术指导方针可以做的事情。

ACDC含糊其辞,将会造成大量的诉讼和回头路,而没有任何明显的好处。

黑客返回的责任

重要的是,公司要明白,尽管ACDC将修改现有的美国计算机犯罪立法,使ACDMs非罪化,但该法案并没有为在该法案下的辩护者活动提供任何民事诉讼保护。它也可能会给州计算机犯罪法留下漏洞,将黑客式的活动定为犯罪。

此外,ACDC还将避免违反其他国家法律的责任交给了系统防御者。除了美国之外,其他许多国家也宣布对黑客进行反击,这应该不足为奇。在ACDC下,公司要为自己的行为承担民事责任,而在提案中缺乏明确性的情况下,这是一个代价高昂的提议。

太多的黑客返回提出的问题

ACDC第5节要求任何辩护人在使用ACDM之前通知FBI并从FBI收到通知确认。这就造成了法律上的困境。当一家公司在执法部门的指导下调查一名犯罪嫌疑人时,他们可以成为第四修正案所指的政府代理人。联邦调查局通常需要一张搜查证才能进入一名被指控的攻击者的系统,并在监视该行为的系统中闲逛。因此,ACDM可以说是在正常的法律程序中迈出了一步;这对执法人员和辩护人都是危险的。

此外,如果知道攻击者是一个民族国家或一个民族国家的代理人?

是ACDM允许下FBI监督后卫公司从事国际法准则和武装冲突的法律惩罚的行为呢?回想一下索尼的黑客,据称是朝鲜所为。可以想像,如果FBI是同意和监督索尼的使用对朝鲜ACDMs的,会的国际影响是什么呢?

把现有的立法搞得一团糟

In the U.S., our primary federal “hacking” law is the Computer Fraud and Abuse Act, (CFAA), which prohibits accessing any “protected computer” (defined as any computer attached to the internet) without authorization (this usually means an outside hacker) or in excess of authorization (usually an inside hacker).

该CFAA显然会让黑客非法回来 - 而它除了刑事处罚,该CFAA也允许个人起诉任何人谁违反了CFAA的禁止行为的私人原因。该CFAA的行动的私人原因产生民事诉讼的显著量,而在病例CFAA判决可能是巨大的。该CFAA悠久历史的诉讼,多年来修正案创造,这显然是私营部门所理解的定理。

我们都希望法律和法律体系具有确定性,并从中受益。ACDC语言模糊,缺乏明确的协议,以及CFAA关键条款的弱化,将会造成大量的诉讼和黑客反击地狱,所有这些都没有任何明显的好处——除了联邦调查局可能获得更多关于黑客攻击漏洞和监管的信息。

辩论将继续围绕漩涡ACDC的通道 - 因为它应该。也许我们应该感谢的那一刻,govtrack.us只给出了ACDC5%的几率被定为法律。

安妮Toomey的麦肯纳

宾夕法尼亚州立大学狄金森法律和网络科学研究所网络法律和政策的杰出学者

Anne Toomey McKenna是宾夕法尼亚州立大学狄金森法律学院网络法律与政策的杰出学者。她还是宾州州立网络科学研究所的副教授和实践教授。

    为了获得最佳的交付,请选择您的区域:
    请输入有效的电子邮件地址。
    成功!谢谢你的报名。