安全研究组织倡议修法保护白帽黑客

安全研究人员或白帽黑客从软件找出漏洞可确保修户安全及厂商名誉,却被厂商告上法院的例子屡见不鲜。一群网络安全专家本周联合倡议修改过时法令,使漏洞研究人员不再遭受被告威胁。

代表22国网络安全研究人员的法国非营利组织CyAN(Cybersecurity Advisor Network)和零时差立法项目(Zero Day Legislative Project)联合发出倡议。

零时差立法项目主管Peter Coroneos指出,白帽黑客是保护联网系统的重要环节,他们披露未修补的软件漏洞,并通报相关企业解决漏洞,但是他们却面临对产品漏洞公开很敏感的企业以法律威胁之。

这些研究人员面临著作权法,或与访问或扰乱计算机系统有关的刑事罪名。例如2017年DJI曾经举办抓虫奖励方案,最后却不但没付奖金,反而扬言将以《计算机欺诈和滥用法》控告通报安全漏洞的研究人员。有时威胁甚至来自政府。2017年美国司法部控告曾经找出WannaCry破解决方案法的天才黑客Marcus Hutchins,指其撰写木马程序Kronos并卖给罪犯,有记者认为美国政府是为了掩饰更多漏洞而出手。美国政府一共对其以10项罪名提起诉讼。

Coroneos指出,过时法令脚步跟不上网络挑战,将阻碍研究及延误漏洞通报。他们希望共组国际联盟倡导法令革新,使零时差漏洞研究人员不再需要担心产品企业过激的法律回应。

经济合作与发展组织(OECD)也将修法列为2021年对立法单位观察指引,指出漏洞所有者不但不欢迎漏洞通报,反而以法律程序威胁研究人员,而如果相关单位是跨不同国境,则这类法律风险将对负责任披露行为引发寒蝉效应。

这项行动已获得许多安全界知名人士的声援,包括微软漏洞研究创办人Katie Moussouris、前英国网络中心CEO Ciaran Martin、前美国网络外交官Chris Painter、CyberPeace Institute CEO Stéphane Duguin,和前法国网络防御指挥(FR COMCYBER)中将Arnaud Coustilliere等。

发表评论