Enable 平台工程总监 Rob Dyke,讨论了企业对善意研究人员的法律欺凌行为。一如既往,我们致力于了解黑客的思想、动机和问题。
关于成为和定义黑客
罗布·戴克 (Rob Dyke) 在理解这个词的含义之前就已经是一名黑客了。小时候,他会收到“一点科技”作为圣诞礼物,并在节礼日之前将其拆开。凭借他的化学设置,他总是想知道如果将这两种不同的物质混合在一起会发生什么。他还通过杂志订购额外的零件,扩大了 FM/AM 无线电发射器的范围(这是在互联网出现之前)。
“当我十几岁时理解黑客这个词时,我已经是一名黑客了,”他说。对他来说,“关键是了解事物如何运作,以便让它们更好地运作。”
继续使用不科学但广泛理解的标签,我想知道他是否曾经被黑客的黑暗面所诱惑?反过来,他想知道我所说的“黑暗面”是什么意思——我们决定“为了个人利益”。“我只是写了一些代码并将其放在那里,我对此感觉很好。它给我带来了一点声望,因为它得到了认可,这对黑客来说是最有动力的事情。”
对于戴克来说,个人声望和认可是“个人收益”。“在某些情况下,我发现了大量的个人信息,”他继续说道,“公司泄露了数据——我从来没有想过利用这些信息来敲诈或威胁那些受到信息泄露威胁的人。”泄漏。”
他补充道:“我特意编写查询来索引互联网,以发现信息缓存。我特意开始寻找那些不小心将所有数据泄露给互联网上的人的公司,然后当我找到它时,我会告诉他们他们做了什么。这对我来说只是一件令人愉快的事情。我从中得到满足。有时我会喝点啤酒以示谢意。有时我会收到汇款。有时我只是收到一句“谢谢”。[有时,正如我们将看到的,他会受到他寻求帮助的企业的威胁。] 所有这些事情都激励我做得更多。所有这些都是‘个人利益’。”
言下之意是,纯粹根据个人利益将黑客分为道德、非道德和不道德在伦理上是困难的。实际上,寻求声望、寻求经济赏金或为个人利益勒索费用之间有什么区别?在现实世界中,这种差异往往由法律定义:美国的 CFAA 和英国的 CMA。这两项法律都没有起到很好的作用。最终,这些法律的适用往往取决于主观意见,这使得这两项法律都可以被希望惩罚任何类别黑客的企业武器化。
顺便说一句,戴克确实在犯罪团伙和孤独的黑客之间做出了自己的主观区分。对于以角色为基础的犯罪团伙来说,黑客是一种以盗窃或勒索赎金为唯一目的的职业——这显然是不道德的。更难以刻板印象的是孤独的黑客。
关于独狼黑客、犯罪团伙和神经分歧
神经分歧与黑客之间的相关性已得到充分证实,但戴克对神经分歧导致黑客攻击的说法并不满意。神经分歧可以造就伟大的工程师,但这也包括合法的渗透测试人员和恶意软件研究人员。要使神经发散工程师成为独狼黑客还需要其他因素。
他还认为,来自独狼黑客的威胁被夸大了。“我很高兴地说,有些人患有自闭症谱系障碍,并在互联网上做坏事。但这些典型的独狼的风险、威胁或影响实在是太小了,不值得调查。”
媒体再次负有部分责任。独狼黑客很容易被抓,因为他们根本不是犯罪分子。因为他们更容易被抓获和起诉,他们的“功绩”更频繁地被媒体报道,而且他们的行为似乎也比实际情况更为普遍。
“给它们起名字很容易。它符合刻板印象,而报道则强化了刻板印象,”戴克继续说道。“我们甚至有‘好书呆子嫁给超级名模、拥有游艇、经营社交媒体科技巨头等等’;我们还有另一种形式的“转向网络黑客的邪恶书呆子”。不管怎样,它只会延续刻板印象,而刻板印象对安全行业和技术行业都是有害的。例如,它延续了‘工程师是白人和男性’等刻板印象。”
独狼黑客的形象是一个戴着兜帽的孤独人物,在黑暗的房间里蜷缩在电脑前,这是一个媒体迷因,它转移了公众对真正的网络安全威胁:犯罪团伙的注意力。“绝大多数网络风险来自资金和资源极其充足的网络对手:民族国家、准民族国家、受雇的犯罪团伙以及受雇于犯罪团伙的犯罪工程师。对于罪犯来说,这是一桩生意。这是一种生活方式——这正是他们选择全职做的事情。大量的欺诈、恶意软件、勒索软件和此类攻击都是由那些日常工作就是犯罪分子的人发起并最终实施的。”
身份和角色不为公众所知的全职大规模犯罪分子,比有时意外的被高度宣传的独狼模因更大的威胁。
论黑客道德与企业将法律武器化
我们已经看到戴克对刻板的标签不满意。他不喜欢将黑客分为黑帽和白帽,但承认在某种程度上这是不可避免的并且被广泛接受。我们还看到,他创建了脚本来扫描互联网,寻找公司暴露的机密数据,然后他将这些数据报告给所属公司,而不是为了个人利益而将其货币化。“我想这让我成为了白帽黑客,”他说。
“白帽黑客可能会发现并公开披露医疗设备中的漏洞。这可能会挽救生命,但会毁掉公司的股票价值。从人们的角度来看,这可以挽救生命,这是一件好事,但从法律的角度来看,这是一件坏事。”
法律的设计和制定是为了保护财产。公司股票及其价值属于财产。在美国,《计算机欺诈和滥用法案》(CFAA) 旨在保护此类财产免遭黑帽黑客滥用。在英国,它是《计算机滥用法》(CMA)。然而,这两种方法都容易被那些寻求保护其股票价值免受善意白帽研究人员披露的公司滥用和误用。供应商的这种法律武器态度在过去很常见,但今天仍然存在——并且是独立研究人员甚至受雇的渗透测试人员最常提到的担忧。就在 2021 年 3 月,Dyke 就发生过这种事。
相关组织是 Apperta 基金会——一家 NHS 资助的技术衍生公司。Dyke 告知 Apperta,它已在互联网上泄露了用户名、密码和财务数据。“一周后,他们告诉我他们要把我告上法庭,实际上是因为我发现并向他们报告了他们泄露了机密数据。”
最终,案子没有传到法院。“警方没有采取任何行动。NCSC 没有采取任何行动。没有人采取任何行动。”但如果案件提交法庭,他会被判有罪吗?“没有机会。他们永远不会上法庭。CPS(皇家检察署)永远不会对此采取行动。警方发现没有任何罪名可以回答。就像有人把钱包掉在路上,我发现了它,捡起来,然后跑去追失主,把它还回来。”这肯定比把它留在那里让真正的罪犯找到更道德。
这听起来像是“一切都好,结局好”的情况。但正是这个过程对白帽研究人员产生了令人不寒而栗的影响。“最终我和律师之间收到了 500 多封电子邮件,并产生了 25,000 英镑(按今天的费率计算超过 30,600 美元)的法律费用。我必须填写三份高等法院表格。我曾六七次出现在媒体面前。压力导致了我关系的破裂。发生了很多事情。这一切都是因为我说,‘哦,顺便说一句……’”
他认为 CMA 不适合其目的。“它没有提供任何负责任的披露或公共利益研究的规定,也没有为善意行为提供任何保护。因此,在我的例子中,我向其报告此事的组织,尽管这完全是他们的错误和失败,但他们选择将《计算机滥用法》武器化,并向当地警察报告我。”
最后,CMA 很像 CFAA。是否起诉的最终决定取决于检察官的主观决定,而不是写入法律本身的法律例外。一些组织仍然试图射杀这名信使。
戴克在他的个人博客中写下了他的经历,其中包括一幅有趣的漫画。他说:“下次我发现这样的事情时,我一定会遵循这个决策树。”
如果你仔细观察,除非你能找到别人来指责,否则你最终会陷入一个永无休止的循环,导致“你这个可怜的混蛋”。
这次经历会让戴克不再成为一名黑客吗?不。对于大多数黑客来说,“黑客”是写在他们心里的,就像英国的玛丽一世所说的那样,“当我死了并被打开时,你会发现加莱躺在我的心里。”成为一名黑客是黑客 DNA 的一部分。
“在我当前工作的签名文件中,有‘Rob:他/他/黑客’。如果可以的话,我会把“黑客”作为我的代词。作为一家全球软件公司的工程总监,这对我来说是多么重要。这就是我的骄傲。这就是我所在的圈子(价值数十亿美元的软件公司)所接受的程度。这是一个完全正常的词。”
原文始发于微信公众号(祺印说信安):黑客对话:罗布·戴克 (Rob Dyke) 谈善意研究人员的法律欺凌行为
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论