圖片來源: 

photo by Glenn Carstens-Peters on unsplash

安全研究人員或白帽駭客從軟體找出漏洞可確保用戶安全及廠商名譽,卻被廠商告上法院的例子屢見不鮮。一群網路安全專家本周聯合倡議修改過時法令,使漏洞研究人員不再遭受被告威脅。

代表22國網路安全研究人員的法國非營利組織CyAN(Cybersecurity Advisor Network)和零時差立法專案(Zero Day Legislative Project)聯合發出倡議。

零時差立法專案主管Peter Coroneos指出,白帽駭客是保護連網系統的重要環節,他們揭露未修補的軟體漏洞,並通報相關業者解決漏洞,但是他們卻面臨對產品漏洞公開很敏感的業者以法律威脅之。

這些研究人員面臨著作權法,或與存取或擾亂電腦系統有關的刑事罪名。例如2017年DJI曾經舉辦抓蟲獎勵方案,最後卻不但沒付獎金,反而揚言將以《電腦欺詐和濫用法》控告通報安全漏洞的研究人員。有時威脅甚至來自政府。2017年美國司法部控告曾經找出WannaCry破解方法的天才駭客Marcus Hutchins,指其撰寫木馬程式Kronos並賣給罪犯,有記者認為美國政府是為了掩飾更多漏洞而出手。美國政府一共對其以10項罪名提出告訴。

Coroneos指出,過時法令腳步跟不上網路挑戰,將阻礙研究及延誤漏洞通報。他們希望共組國際聯盟倡導法令革新,使零時差漏洞研究人員不再需要擔心產品業者過激的法律回應。

經濟合作與發展組織(OECD)也將修法列為2021年對立法單位觀察指引,指出漏洞所有者不但不歡迎漏洞通報,反而以法律程序威脅研究人員,而如果相關單位是跨不同國境,則這類法律風險將對負責任揭露行為引發寒蟬效應。

這項行動已獲得許多資安界知名人士的聲援,包括微軟漏洞研究創辦人Katie Moussouris、前英國網路中心CEO Ciaran Martin、前美國網路外交官Chris Painter、CyberPeace Institute CEO Stéphane Duguin,和前法國網路防禦指揮(FR COMCYBER)中將Arnaud Coustilliere等。


熱門新聞

Advertisement