“黑客反击”的合法化之争

“黑客反击”的合法化之争

为了防止出现类似Equifax-style的重大网络安全事故,不少公司开始实行反击策略,试图阻止或至少限制外部黑客的攻击。但这里存在一个问题:黑客反击行为,并不全是合法的。

黑客反击的计划是直接黑掉黑客

大多数情况下,趋利的网络犯罪分子的目标是全球银行的客户,通过网络钓鱼电子邮件闯入他们的帐户。如果选择法律途径解决问题,需要等待执法人员的调查,也许逮捕黑客需要很长时间,甚至犯罪分子会逍遥法外。所以银行可能会愿意尝试做一些其他的事情,例如一个安全顾问团队提出的反击黑客

安全团队中的一名成员说,“数据已经泄漏了,收集嫌疑人的情报,反击他们,然后销毁任何被盗的数据。”因为讨论的是行业的一种敏感做法,所以请允许让这家银行匿名。

银行的技术团队入侵了黑客位于海外的服务器,发现一个被袭击者钓鱼的名单,以及他们的位置的线索。这与Equifax事件中被攻击者悄悄窃取信息不一样,想象一下如果有一组复仇黑客抓住了犯罪分子的行为?如果他们进一步反击,并在更多的伤害造成之前删除数据,事情会怎么样?

这是地下黑客的做法,私营公司和个人对黑客进行报复,以保护自己的网络或数据,这一过程中采用的方式通常也会触犯法律。尽管在信息安全世界中,这是一个公开的秘密,但这些复仇黑客的活动背后究竟发生了什么事情的例子却很少出现在公众面前,从而引发了关于这种做法是否应该成为规范的争论。

今年初,格鲁吉亚国会议员就曾提出一项法案,建议将反击黑客入侵的行为合法化。

对于这个话题,Flyingpenguin总裁Davi Ottenheimer 谈到“几乎每一个我咨询过的大型组织都有某种对黑客进行反击的方式。”

反击黑客,有时也被称为主动防御,涵盖了一系列不同的技术和工具。最低层面的方式,公司可能设置一些陷阱文件,当试图入侵的黑客窃取并打开文件时,公司会暗中提醒受害者。其他方法包括探测网络犯罪分子的基础设施的漏洞或情报信息,揭示攻击背后的策划人。更高级的黑客反击行为,包括远程侵入黑客的服务器并擦除任何被盗的数据,使黑客的恶意软件失效,甚至发动分布式拒绝服务(DDoS)攻击使罪犯的行动缓慢,顺便炫耀一下团队的实力。

反击黑客可能有助于调查人员归因:找出发动网络袭击的攻击者的身份,或者至少知道他们来自哪里。受害者不必依赖黑客在网络上留下的取证证据,而是从黑客的电脑中收集更多的信息。或者不只是在盗窃之后检查脚印,调查人员可以沿着这些轨迹进入罪犯的内部。

尽管反击黑客有上述益处,但事实上它却是非法的,因此很少有人或组织承认从事这种做法。2005年初,一名网络安全分析师因反击黑客而被公司解雇(他最终因不法解雇而赢得诉讼)。

最近的一个案例中,加密的电子邮件提供商ProtonMail声称打击了试图窃取用户登录信息的黑客。不过该公司很快删除了发出的推特消息,并拒绝进一步置评。

黑客反击行为可能会违反在美国已经声名狼藉的计算机欺诈和滥用法案,这还与黑客反击的具体方式有关,也可能因违反窃听相关法律而面临刑事诉讼。如果黑客的服务器或其他基础设施位于海外,黑客反击行为也可能违反外国法律。

据悉美国司法部已考虑起诉个人进行黑客反击的行为,而那些造成数据丢失等事情的人更可能面临指控。

在某些情况下,打击诈骗者的黑客也干扰了执法调查。例如在一个网络攻击案例中,有人调查了网络罪犯的基础设施,但骗子们注意到他们正在被监视,因此转移了行为。最终执法人员的调查无疾而终。

专注于调查网络犯罪的前联邦调查局特工E.J. Hilbert 说“我知道有五家公司曾在遭遇黑客后,做过黑客反击的事情,其中两个是政府承包商,另外两个是零售部门,第五个是制造业公司。不过这里不便于透露具体的公司名称。”

Hilbert还说:“这五家公司试图反击并想弄清除黑客攻击的来龙去脉,但这些公司都很难找到黑客最初用来传输数据的系统。黑客经常利用别人的电脑或服务器发动攻击。所以当对黑客进行反击时,复仇的对象可能不是针对黑客的计算机,甚至在某些情况下反击目标是无辜的系统。这就像是一场枪战,一颗流弹击中一个过路人。

“考虑到大多数攻击并不是直接来自攻击者的计算机,而是通过那些在途中遭到破坏的系统进行路由,复仇黑客的反击行为会对无辜的系统造成损害,却不会影响到真正的犯罪分子。最后,五家公司都因为害怕被抓而放弃了。” Hilbert补充道。

在Hilbert的经验中,许多公司谈论过黑客攻击,但没有攻击的能力。也许是为了弥补技术上的短板,另外有一些公司在悄悄地提供黑客反击服务,比如代表全球银行工作的安全顾问,以及一些其他的营销更明确的公司。

英国网络安全公司Pervade为私营企业提供更容易发动DDoS攻击的软件,用于打击黑客使他们的行为更缓慢直至停止。该公司还提供基本的SQL注入,可用于某些情况下窃取数据。这家公司的客户包括游戏公司、对冲基金和卫生部门。

Pervade 公司的总经理John Davies 说道:“面对越来越多的网络攻击,只是坐以待毙、默默忍受,并不是解决问题之道”。

随着多个国家开始考虑黑客反击的合法,允许公司对黑客进行报复,预计会有更多的公司可能开始提供黑客反击服务。

今年早些时候,共和党众议员T·格瑞斯在积极网络防御确定性法案(ACDC)中提出使部分黑客反击行为合法化的建议。这样做的目的是让公司能够更多地了解攻击者的工具,阻止正在进行的黑客活动,或者收集可能识别黑客的信息。

一些以色列政府成员也在探讨黑客反击合法化的可能性。Harvard Kennedy 学校Belfer中心网络安全项目负责人Michael Sulmeyer近日组织了一个会议,与以色列官员一起讨论这个问题。有几个美国网络安全公司的员工也参加了,网络安全公司Rapid7社区和公共事务的副总裁Jen Ellis以个人身份参与了这次会议,他说道:“我想以色列政府官员们对他们收到的反馈有点吃惊,美国的公司和其他专家一致反对黑客反击,而以色列则倾向于支持。

Sulmeyer 认为“我确信,目前只是主张黑客反击行为是非法的,所以什么也不做,这并不是一个可持续的方法,有些事情必须改变。” 黑客反击合法化不可能一撮而就,不过目前组织和机构还有其他更多的工作可以去做,比如,互联网服务提供商可以选择拒绝为黑客提供服务。

黑客反击行为合法化的支持者认为,授权这种做法可以使它更安全。“把它带到阳光下,我们将能够更准确的评估风险,而不是闭门造车,假装它不存在….我们错过了一个调整已经发生的事情的机会。”

无论立法者是否推动变革,公司将继续在阴影中反击,“因为这样做是有效的”为全球性银行公司的黑客反击行为辩护的安全顾问说。

原创文章,作者:猫小编,如若转载,请注明出处:http://www.mottoin.com/sole/view/105921.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code