671
京東網上商城
企業被黑客攻擊,“懟回去”合法嗎?
“我的電腦被黑了,進行反擊合法嗎?”這個問題現在成為了主動防禦概念中的焦點問題。
美國現有《計算機欺詐與濫用法》(CFAA,從1986年實施的CFAA禁止個人使用如防病毒軟件等預防措施之外的防禦行動)規定個人隻能以防病毒軟件進行被動防禦。但美國議員Tom Graves前幾個月提出了《主動網絡防禦明確法案(Active Cyber Defense Certainty Act,ACDC)》,該法案將允許網絡攻擊受害者在受到攻擊時能夠反擊。法案中提到,企業若要保證合法,在反擊前要通知FBI國家網絡調查聯合任務部隊以下信息:
- 被攻擊的細節
- 企業會如何保護入侵的證據
- 企業打算如何避免攻擊到未參與黑客行動的第三方係統
最近國外媒體SecurityAffairs對此發表評論文章,文章作者認為該修正案過於模煳,如果施行,則可能給法庭審判造成困擾。除此之外,作者還提出了以下對該法案的質疑,比如說攻擊溯源本來就不容易,攻防雙方資源規模並不對等。這些或許是值得立法者深思的。
問題1:網絡攻擊的歸屬問題
早期DoS防範時,大家普遍使用的方法是丟棄所有來自發動攻擊的網絡流量。但是黑客可以輕易把攻擊偽裝成某個無關的第三方,這樣的話第三方就受到影響了。比如,A公司和B公司經常有生意往來。突然間某個黑客向B公司發送了大量流量,流量看起來像是來自A公司。B公司的防火牆因此屏蔽了所有來自A公司的流量。但是這樣的話兩個公司的正常流量也中斷了。因此這樣的防禦方式實際上起到了更糟糕的結果,甚至比被DoS還糟糕,因此我們必須采用其他的方法。
假設這不是單純的DoS流量,而是表麵上A公司黑了B公司,B公司轉而報複,黑了A公司呢?修正案中沒有提到讓受害者提供對於攻擊歸屬的證明或者證據。我們知道要對攻擊進行溯源是很困難的。2014年索尼公司被黑,大家都認為是朝鮮幹的,現在過去好幾年了,多國政府都努力查明,但是攻擊的確切來源依然不明確。
| “原本我們可以根據武器來判斷敵人。你看到一輛坦克,就知道一定是軍隊的,因為隻有軍隊買得起。網絡世界裏就不一樣了。網絡空間裏技術的傳播很廣,人們可能擁有同樣的武器:黑客、政治黑客、國家間諜、軍隊甚至是網絡恐怖分子。”Bruce Schneier在2015年說過。 |
試想索尼時間中這麼多公司組織都無法查明攻擊來源,一家公司怎麼可能查出真正的幕後黑手?
問題2:資源的規模
企業擁有的資源其實並不多。企業的安全建設受限於道德、預算、開發的優先級等,但犯罪分子沒有限製,並且即便他們本身的水平不夠,也可以找一些黑客服務來進行攻擊,企業是沒有辦法抗衡的。我們看看僵屍網絡的規模就知道,在網絡世界中,壞人的資源更多,互聯網是不對稱的。
問題3:如何避免傷及無辜
ACDC法案保證企業“能夠防禦欺詐或者其他的活動”,但卻沒有提到社會責任。想像一下黑客黑了某個共享的服務器進行攻擊,受到攻擊的組織進行反擊,勢必就會影響到使用共享服務器的其他公司。
問題4:法案的意義
如果進行反擊,企業希望達成的結果是什麼?如果企業感染了勒索病毒,丟失了資料,即便攻擊了“敵人”,這些數據也不會回來,並且我們假設企業能夠識別出攻擊的真實來源。從投資者的角度來看,你的數據還是丟了,而且還付出了額外的時間和金錢成本。如果是一些數據被竊取,通過黑客手段進行反擊,即便刪除了攻擊者的數據也不能保證他們沒有其他備份。
我們目前是靠政府執法部門追查網絡攻擊事件的,但很難達成滿意的效果。但是連大公司都無法追查的網絡攻擊怎麼能指望這些小公司會成功?反擊能夠讓誰獲益?這些問題令人摸不著頭腦,更何況反擊還可能會波及與攻擊事件無關的人。
喬治亞理工學院信息安全和隱私協會分析師Yacin Nadji認為:
| “更好的辦法是提高執法部門官員的能力,包括研究自動化溯源攻擊、估算經濟損失、加快沒收涉案計算機的速度。而允許‘用黑客手段反擊’的法案從長遠來看隻會增加麻煩。” |
本文作者:Sphinx
來源:51CTO
最後更新:2017-11-03 17:33:57