风险的边缘 菜单 搜索
关于全球经济的企业风险与恢复力的新思考。
技术

ACDC ACT打开了一个黑客后路的门

宾夕法尼亚州立大学狄金森法律和网络科学研究所网络法律和政策的杰出学者

这是关于主动网络防御确定法案的两篇文章中的第二篇。第一部分可以阅读在这里

由于网络空间的性质和大量恶意网络攻击,执法部门在应对、破坏和起诉大多数网络犯罪方面装备不良、人手不足。为了解决这个问题,在美国提出了2019年主动网络防范确定性(ACDC ACT)由REP.Tom Graves(R-Ga)引入。

这个想法听起来很棒,但它最初的闪光隐藏了一些危险的区域。正如书面状况,行为存在重大问题。

ACDC ACT的主要条款

ACDC is designed to harness the power of the private sector to investigate, identify, defend and deter cyber hackers, although it requires companies who want to use ACDC’s provisions to legally hack back against attackers to notify the FBI Cyber Investigative Joint Task Force and receive acknowledgment of notification before hacking back.

根据众议员坟墓,ACDC的主要规定将允许这些“授权”公司“离开他们的网络”(未经授权访问攻击者系统的委婉语)和:

  1. 建立归因(识别攻击者)
  2. 扰乱或停止网络攻击而不会沿途损坏其他电脑
  3. 检索受害者被盗的文件或销毁攻击者系统上的文件
  4. “监控攻击者的行为”
  5. 使用信标技术

这些行动被描述为主动网络防御措施(ACDMS) - 并为强大,积极主动的政策制作。但语言潜伏在一起存在一些重大问题。

危险的歧义

不仅是行动的语言模糊和混乱,但它也创造了危险的模糊区域,在什么时候和什么网络防御活动是适当的。这种含糊其辞和含糊不清对授权公司没有好处。相反,它们可能意味着重大的经济和法律风险。

国会在ACDC上的调查结果告诫被黑客攻击的企业:首先,向执法部门报告网络犯罪,其次,改进防御措施。当自己公司的系统受到恶意网络攻击时,许多信息安全官员有理由不同意这种优先顺序。

谁可以回复,什么时候回复?

该法案将“后卫”定义为一个人或实体,作为持续未经授权的后卫电脑侵入的受害者。一个人可能合理地问:入侵持续时间何时?没有授权的两个系统访问事件有资格作为持久性?持久性是否有关入侵者在后卫系统内的长度,或入侵者违反了系统的次数?不幸的是,拟议的立法未能定义构成持续入侵的内容。这为公司和法院创造了一个大的灰色区域。

此外,只有在通知联邦调查局并收到联邦调查局的通知确认后,法案才允许合格的辩护人使用ACDMs。总而言之,只有当FBI在船上,并且受害者/辩护者对攻击者是谁有高度的信心时,黑客反击才被允许。为了帮助实现对归属的高度信任,ACDC将使信标技术的使用合法化。

信标是嵌入在嵌入备用信标的文件的文件中的程序,代码或命令,当未经Defender系统授权时删除嵌入带信标的文件。这允许防御者追踪信标的路径和位置(并且因此被盗文件),如果在另一个实体的系统中发现信标,则提供可能更强大的归属证据。

这一部分的行为非常有帮助,因为有些人争论 - 错误地 - 使用信标技术是非法的,因为它是未经授权访问另一个系统的访问。该法案澄清了这一点,没有哪些公司将不愿意使用该技术。

在回黑期间可以做什么?

该法允许合格的维护者使用ACDM来打击网络犯罪,但它违背了司法部关于定义ACDMS是合法合法的详细信息。它向DOJ指控“澄清从事”ACDMS“的实体的适当协议。

值得赞扬的是,该法案确实规定了一些不能做的事情:它禁止防御者破坏攻击者计算机系统上的数据(除非是防御者自己的文件),损害攻击者计算机系统的操作,或者创建一个进入攻击者系统的后门。然而,它也缺乏任何协议或技术指导方针可以做的事情。

ACDC含糊其辞,将会造成大量的诉讼和回头路,而没有任何明显的好处。

黑客返回的责任

重要的是,公司要明白,尽管ACDC将修改现有的美国计算机犯罪立法,使ACDMs非罪化,但该法案并没有为在该法案下的辩护者活动提供任何民事诉讼保护。它也可能会给州计算机犯罪法留下漏洞,将黑客式的活动定为犯罪。

此外,ACDC还将避免违反其他国家法律的责任交给了系统防御者。除了美国之外,其他许多国家也宣布对黑客进行反击,这应该不足为奇。在ACDC下,公司要为自己的行为承担民事责任,而在提案中缺乏明确性的情况下,这是一个代价高昂的提议。

黑客回来的问题太多了

ACDC第5节要求任何后卫通知FBI,并从FBI收到在使用ACDM之前对通知的确认。这会产生一个合法的泥潭。当一家公司在执法方向采取调查疑似刑事的行动时,他们可以成为第四修正案的政府代理人。FBI通常需要一个令要求进入指称的攻击者的系统并在系统监测行为的系统中闲逛。因此,ACDM可以称为正常法律程序的申请;这是法律执法和后卫的危险。

此外,如果攻击者是一个国家的国家怎么办?或国家的代理商?

ACDM是否允许防守公司根据联邦调查局监督,从事国际规范和武装冲突的法律下的报复行为?回想回索尼黑客,据称由朝鲜犯下。假设,如果联邦调查局同意并监督索尼对朝鲜的使用ACDMS,那么国际影响将是什么?

把现有的立法搞得一团糟

In the U.S., our primary federal “hacking” law is the Computer Fraud and Abuse Act, (CFAA), which prohibits accessing any “protected computer” (defined as any computer attached to the internet) without authorization (this usually means an outside hacker) or in excess of authorization (usually an inside hacker).

CFAA显然使骚扰非法 - 除了其刑事处罚之外,CFAA还允许个人对任何违反CFAA禁止的人带来私人原因。CFAA的私人行动原因产生了大量的民事诉讼,CFAA病例中的判决可能很大。CFAA多年来的长诉讼历史和修正案创造了私营部门清楚地理解的强烈法律。

我们都希望法律和法律体系具有确定性,并从中受益。ACDC语言模糊,缺乏明确的协议,以及CFAA关键条款的弱化,将会造成大量的诉讼和黑客反击地狱,所有这些都没有任何明显的好处——除了联邦调查局可能获得更多关于黑客攻击漏洞和监管的信息。

辩论将继续围绕ACDC的通过 - 因为它应该。也许我们应该感激,此刻,Govtrack.us只给了ACDC5%的几率被颁布到法律。

Anne Toomey McKenna.

宾夕法尼亚州立大学狄金森法律和网络科学研究所网络法律和政策的杰出学者

Anne Toomey Mckenna是宾夕法尼亚州狄金森法的网络法律和政策的杰出学者。她也是宾夕法尼亚州州际网络学院的副教授。

    有关最佳交付,请选择您所在的地区:
    请输入有效的电子邮件地址。
    成功!谢谢您注册。