信息安全这场无形的战争:我被黑客攻击了,我能黑回去吗
|
2012 年,伊朗政府借助一个名叫”Shamoon”的病毒对美国多家银行进行了网络盗窃,同时造成这些银行的服务器瘫痪。结果,这些美国银行相继雇佣黑客对伊朗进行反击,瘫痪了大量位于伊朗的服务器。这件事情因为并没有提前和美国政府通报,政府很不满。 2014 年FBI对这些搞报复的银行做了相关调查,调查结果目前还未有定论。 尽管谷歌和这些被攻击的银行都违反了现存的信息安全法,但并没有任何人因为报复行为而被定罪。既然这些“黑进黑客服务器”的行为情有可原,那我们是不是要对现存的法律进行补充呢? 反对的声音格瑞夫斯和贝克支持的这个“主动防御法”,支持的人不多,反对的人不少。 首先警方对此很质疑。假如允许受害者报复,那黑客就可能再报复回来。受害者和黑客几轮互相攻击后,服务器应该都瘫痪的差不多了。如果这样,警察搜集证据会变得非常困难。警察不鼓励受害者利用黑客工具“自行执法”。至于惩治罪犯这样的事,还是要相信国家 其次法律界对“主动防御法”也是充满了疑问。黑客攻击往往是匿名的,找到真正的黑客非常困难。怎么保证你怀疑的对象真的是黑客呢?一轮黑客反击之后,发现自己打的是友军怎么办?还有,黑客的攻击有轻有重,怎么保证反击不会“防卫过当”呢? 黑客有时并不直接用自己的电脑搞网络攻击,他们会往一些无辜的人电脑上装个病毒,用老百姓的电脑搞破坏。那在反击过程中,你根本不能确定攻击者是黑客还是感染了黑客病毒的老百姓。这种情况怎么做反击呢? 还有,“主动防御法”不是有三个“万万不可”吗?这三个“万万不可”,每一条都有漏洞可以钻:
而且,就算这个“主动防御法”在美国通过了,黑客不一定身在美国呀!就拿谷歌反击台湾黑客的事件为例,就算谷歌没犯美国的法律,他也肯定犯了台湾的法律。 一些信息安全专家担心这样的法律会鼓励更多的黑客攻击,让互联网成为你死我活的战场。 奇虎 360 和腾讯QQ曾经在 2010 年打过一场“3Q大战”,双方都指责对方是流氓软件,强迫用户卸载对方的产品。装了360, 360 就逼着你卸载QQ;装了QQ,QQ就提醒你关掉360。假如“主动防御法”通过了,那这场“3Q大战”会不会升级为黑客大战呢?想象一下, 360 和QQ各自聘请一帮专业黑客,互相指责对方先动的手,然后疯狂地攻击对方的服务器。这样一来,商业竞争变得更恶化,受害的反倒是装了QQ和 360 的消费者。
2010 年的“3Q大战”,QQ和 360 同时逼迫用户卸载对方产品 我们文章开头列举了一些常见的网络攻击和防御手段,我们看到攻击者和防御者用的工具是不一样的。一旦我们允许了防御者去主动攻击,攻击者和防御者的界限就变得很模糊。一场黑客大战下来,根本分不出什么是合理反击,什么是纯粹的攻击。 “奉旨讨贼”一些信息安全专家认为,主动防御是合理的,但规定可以改一下。与其规定“怎么反击”是合法的,不如规定“谁来反击”是合法的。 杰米·拉不金(Jeremy Rabkin)是乔治梅森大学法学院的教授,他认为政府可以授权一些信息安全公司,让他们去反击黑客。假如谷歌下次被黑客攻击了,谷歌不能自己反击,而是雇佣一个信息安全公司,让他们帮谷歌“报仇”。 因为这些信息安全公司都是经过政府的严格筛选的,所以他们搜集证据的手段更专业,更张弛有度,不会伤及无辜。因为报复行为都是由这几家信息安全公司执行,那他们的反击手段会标准化,也容易被政府监管。 拉不金教授的提议确实比之前的“主动防御法”靠谱多了。有了美国政府给的“尚方宝剑”,信息安全公司就能放开手脚,“奉旨讨贼”了。上述顾虑,完全消除。国安民乐,岂不美哉? 事情并没有这么简单。“奉旨讨贼”虽然解决了信息安全“攻防失衡”的问题,却引入了一个更危险的元素。 如果这些信息安全公司,变成了政府的“黑客雇佣军”怎么办?政府既然可以授权他们反击黑客,那是不是也可以暗地里让他们攻击敌国的网络、偷取邻国的军事情报、盗窃别国的商业机密呢? “奉旨讨贼”的制度在美国只是个设想,但在俄罗斯却早已是现实。俄罗斯常常雇佣一些黑客临时工,窃取北约各国的军事情报,甚至干预欧美国家的民主选举。 著名黑客叶甫盖尼·波加车夫(Evgeniy M. Bogachev)就是俄罗斯政府的赏金猎人。他攻击的对象数不胜数,从北卡罗来纳州的一家防虫公司,到马萨诸塞州的一个公安局,再到华盛顿州的一个印第安部落。不过这些都是叶甫盖尼的业余爱好,他真正的攻击对象是美国国防部。叶甫盖尼在窃取了一些东乌克兰和叙利亚的战场情报,和美国的军事机密以后,正式被FBI全球通缉。他通缉令的赏金是 3 百万美元,也创下了黑客通缉令赏金的世界记录。
叶甫盖尼·波加车夫就是俄罗斯政府雇佣的黑客 (编辑:威海站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
