美国司法部修订法律,不再起诉白帽黑客善意行为

2022 年 6 月 6 日 InfoQ

作者 | Tina

2022 年 5 月 19 日,美国司法部 (DOJ) 对《计算机欺诈和滥用法》(CFAA)进行了修订,将不再依据 CFAA 对安全人员的善意研究行为进行指控。

新政策指出“如果现有证据表明被告的行为是进行善意的安全研究,政府应拒绝起诉。” 该政策将“善意安全研究”定义为“仅出于善意测试、调查和 / 或纠正安全漏洞的目的访问计算机”,并且此类活动主要用于促进计算机设备安全性。

新政策也声称进行安全研究并不是恶意行为者的免费通行证。例如,发现设备中的漏洞以勒索其所有者,即使声称是“研究”,也不是出于善意。

这对白帽黑客而言无疑是一项重大利好政策,此后他们再也不用担心因寻找漏洞而身陷囹圄,为试图改善技术的网络安全研究人员减轻了压力。“这份 CFAA 指南有望改善那些害怕因做正确的事情而遭到报复的人(比如我)的生活。”一位网络安全人员 Chris Vickery 在推特上写道。在此之前,CFAA 的模糊界限为企业提供了以“起诉白帽黑客来遮盖丑闻”的空间。

美国副司法部 Lisa Monaca 则表示,计算机安全研究是根除漏洞、改善网络安全的重要关键驱动力。她补充说,美国司法部门从未对将“善意的计算机安全研究”作为犯罪进行起诉感兴趣,对 CFAA 的修订将支持善意的安全研究人员,他们“为共同利益消除漏洞”。

CFAA 颁布于 1986 年,经过了多次修订,最近一次是在 2008 年。它是美国重要的反黑客法律,旨在禁止黑客恶意入侵未经授权的计算机系统。CFAA 虽然不解决数据收集和使用等数据保护问题,但对于未经授权而侵入计算机并获得他人信息的行为规定了法律责任。这意味着,如果未获得授权,那么白帽黑客们将不能私自扫描网站漏洞,也不能因此获得任何非公开的数据,否则就有触犯 CFAA 的风险。白帽黑客是网络安全产业的重要组成力量,此法律的完善无疑在促进网络安全产业的健康发展。

参考链接:

https://www.justice.gov/opa/pr/department-justice-announces-new-policy-charging-cases-under-computer-fraud-and-abuse-act

https://slate.com/technology/2022/05/cfaa-justice-department-policy-update.html

点击底部阅读原文访问 InfoQ 官网,获取更多精彩内容!

今日好文推荐

我用一个跨平台 Web 应用替换了原生 iOS 应用,竟没人发现

腾讯薪酬大改革:升职不直接调薪;马斯克称特斯拉需裁员10%,暂停全球招聘;华为成立第三批军团|Q资讯

成为函数式编程工程师四年,我为什么说它既“流氓”又“可爱”

10万 npm 用户账号信息被窃、日志中保存明文密码,GitHub安全问题何时休?

点个在看少个 bug 👇

登录查看更多
0

相关内容

黑客(Hacker,台湾译作「骇客」)广义上指在计算机科学,编程以及设计领域有高度理解力的人。 然而,人们通常对黑客一词的理解都是取其狭义的涵义,即信息安全领域的黑客: 未经许可入侵他人系统并窃取数据信息等的可以视为 黑帽黑客,也可取侩客 cracker 的涵义。
而主要从事安全检测,系统调试,技术研究的安全从业者可称为 白帽黑客
还有一种存在称为「脚本小子」,往往冒充黑客也常被人误认为是「黑客」,其实是利用一些现有的工具或者程序达到入侵或破解等目的,然而其知识储备以及对技术的理解力却完全不符合广义黑客的标准,甚至不及狭义黑客标准。
《军事决策过程》118页手册,美国陆军军事经验教训中心
专知会员服务
141+阅读 · 2022年7月26日
战争武装冲突时期的隐私权和数据保护,333页pdf
专知会员服务
15+阅读 · 2022年6月24日
【2022新书】数据隐私:工程师手册,799页pdf
专知会员服务
82+阅读 · 2022年6月20日
新美国安全中心《数字秩序的未来》报告,54页pdf
专知会员服务
26+阅读 · 2022年4月27日
美国陆军情报分析手册,新版174页pdf
专知会员服务
168+阅读 · 2022年3月25日
移动应用(APP)个人信息保护白皮书
专知会员服务
16+阅读 · 2021年10月31日
警惕钓鱼邮件,保护您的 Google Play 账号信息
谷歌开发者
0+阅读 · 2022年4月23日
俄罗斯开发人员或因制裁而无法使用开源软件!
大数据文摘
0+阅读 · 2022年3月8日
外媒:美国政府正以安全为由审查阿里云
机器之心
0+阅读 · 2022年1月19日
意大利法院认可 GPL 开源协议的法律效力
已删除
将门创投
13+阅读 · 2019年4月17日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年8月18日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
Arxiv
0+阅读 · 2022年7月28日
已删除
Arxiv
32+阅读 · 2020年3月23日
dynnode2vec: Scalable Dynamic Network Embedding
Arxiv
14+阅读 · 2018年12月6日
VIP会员
相关基金
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年8月18日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
Top
微信扫码咨询专知VIP会员