两名美国参议员已提交了关于CFAA(《计算机欺诈与滥用法》)的修订方案,EFF(电子前线委员会)告警称它将会为安全研究人员的工作定罪,并且给予美国地方相关机构新的监控权力。
他们提交的修订提案名为《2016年僵尸网络阻止方案》,目的是想要扩大密码在禁止出售访问凭证条款中的释义。他们已将“密码”更改为“访问方式”,后者是一个定义模糊的词语,可以解释为高度机密的SSH密钥也可以解释为URL等等不一而足。
而正是该条款会为安全研究人员带来最多的问题,因为很多情况下测试漏洞的进程要求研究员们测试后凭证或利用,通常是通过“访问”目标系统的方式。从理论上来讲,如果企业想要干扰安全研究人员的工作,那么就会利用CFAA修订案中的新释义并且威胁他们提起刑事诉讼。
相关安全研究人员表示,“每次CFAA条例的修改都会为安全研究带来糟糕的影响”。并指出,虽然有些有远见的组织机构会通过推出漏洞披露和漏洞奖励计划的方式为安全研究员创造安全港,但是这些措施对于有才能的安全研究员来说还是显得缓慢。如果该修订案被通过,那么研究人员的研究工作就会跟修订案产生冲突。
第二个问题是该修订案促成了一种新观念的产生,它将帮助政府机构在未获得合理根据的情况下监控该国公民。该修订案能够让美国机构获得合法强迫互联网服务提供商或技术公司入侵用户计算机以调查僵尸网络的法庭颁令。
虽然相关机构调查僵尸网络的命令基础架构也说得过去,但是修订案并没有提出任何保护措施来保护因调查而遭受入侵的受害者安全。此外,该修订案并没有提出任何关于通知被入侵僵尸网络受害者的事宜,也就是说并没有关注受害者的利益。
而所提议的修订案中还为美国立法带来了新的复杂情况。目前,CFAA认为损害关键基础架构将构成重罪。白宫和参议员将会把对“关键基础架构”的定义换为国土安全部所提出的定义,这样会扩大对网络空间的犯罪范围。而且也会让安全研究人员受到更多的“欲加之罪何患无辞”的不公待遇。
美国技术和网络安全机构此前已经表达了对类似法规如CISA的入侵性修订案的不满,并且取得了一定程度的胜利。然而,美国政府最终还是在2015年12月通过了该法案。
有人认为法案的形成应当也要参考网络安全专家、电子犯罪实证组织机构、执法机构、甚至是前黑帽黑客的意见。否则法律永远不会被实行或者导致更糟糕的后果即惩罚无辜的人们。