“我的电脑被黑了,进行反击合法吗?”这个问题现在成为了主动防御概念中的焦点问题。
  美国现有《计算机欺诈与滥用法》(CFAA,从1986年实施的CFAA禁止个人使用如防病毒软件等预防措施之外的防御行动)规定个人只能以防病毒软件进行被动防御。但美国议员TomGraves前几个月提出了《主动网络防御明确法案(ActiveCyberDefenseCertaintyAct,ACDC)》,该法案将允许网络攻击受害者在受到攻击时能够反击。法案中提到,企业若要保证合法,在反击前要通知FBI网络调查联合任务部队以下信息:
  ●被攻击的细节
  ●企业会如何保护入侵的证据
  ●企业打算如何避免攻击到未参与黑客行动的第三方系统
  近国外媒体SecurityAffairs对此发表评论文章,文章作者认为该修正案过于模糊,如果施行,则可能给法庭审判造成困扰。除此之外,作者还提出了以下对该法案的质疑,比如说攻击溯源本来不容易,攻防双方资源规模并不对等。这些或许是值得立法者深思的。
  问题1:网络攻击的归属问题
  早期DoS防范时,大家普遍使用的方法是丢弃所有来自发动攻击的网络流量。但是黑客可以轻易把攻击伪装成某个无关的第三方,这样的话第三方受到影响了。比如,A公司和B公司经常有生意往来。突然间某个黑客向B公司发送了大量流量,流量看起来像是来自A公司。B公司的防火墙因此屏蔽了所有来自A公司的流量。但是这样的话两个公司的正常流量也中断了。因此这样的防御方式实际上起到了更糟糕的结果,甚至比被DoS还糟糕,因此我们必须采用其他的方法。
  假设这不是单纯的DoS流量,而是表面上A公司黑了B公司,B公司转而报复,黑了A公司呢?修正案中没有提到让受害者提供对于攻击归属的证明或者证据。我们知道要对攻击进行溯源是很困难的。2014年索尼公司被黑,大家都认为是朝鲜干的,现在过去好几年了,多国政府都努力查明,但是攻击的确切来源依然不明确。
  “原本我们可以根据武器来判断敌人。你看到一辆坦克,知道一定是军队的,因为只有军队买得起。网络世界里不一样了。网络空间里技术的传播很广,人们可能拥有同样的武器:黑客、政治黑客、间谍、军队甚至是网络恐怖分子。”BruceSchneier在2015年说过。
  试想索尼时间中这么多公司组织都无法查明攻击来源,一家公司怎么可能查出真正的幕后黑手?
  问题2:资源的规模
  企业拥有的资源其实并不多。企业的安全建设受限于道德、预算、开发的优先级等,但犯罪分子没有限制,并且即便他们本身的水平不够,也可以找一些黑客服务来进行攻击,企业是没有办法抗衡的。我们看看僵尸网络的规模知道,在网络世界中,坏人的资源更多,互联网是不对称的。
  问题3:如何避免伤及无辜
  ACDC法案保证企业“能够防御欺诈或者其他的活动”,但却没有提到社会责任。想像一下黑客黑了某个共享的服务器进行攻击,受到攻击的组织进行反击,势必会影响到使用共享服务器的其他公司。
  问题4:法案的意义
  如果进行反击,企业希望达成的结果是什么?如果企业感染了勒索病毒,丢失了资料,即便攻击了“敌人”,这些数据也不会回来,并且我们假设企业能够识别出攻击的真实来源。从投资者的角度来看,你的数据还是丢了,而且还付出了额外的时间和金钱成本。如果是一些数据被窃取,通过黑客手段进行反击,即便删除了攻击者的数据也不能保证他们没有其他备份。
  我们目前是靠政府执法部门追查网络攻击事件的,但很难达成满意的效果。但是连大公司都无法追查的网络攻击怎么能指望这些小公司会成功?反击能够让谁获益?这些问题令人摸不着头脑,更何况反击还可能会波及与攻击事件无关的人。
  乔治亚理工学院信息安全和隐私协会分析师YacinNadji认为:
  “更好的办法是提高执法部门官员的能力,包括研究自动化溯源攻击、估算经济损失、加快没收涉案计算机的速度。而允许‘用黑客手段反击’的法案从长远来看只会增加麻烦。”