加强对白帽黑客的法律保护

  • Dedaub
  • 发布于 2024-09-13 11:20
  • 阅读 18

文章讲述了马耳他几名大学生因负责任地披露了一个安全漏洞而被捕的事件,并探讨了现有网络犯罪法律对白帽子黑客的保护不足的问题。文章强调,白帽子黑客在发现安全漏洞后的披露行为可能被错误地解读为恶意行为,并呼吁立法者重新考虑网络安全方法,保护那些出于善意行动的道德黑客,文中还提到了Safe Harbor框架,为道德黑客提供法律保护。

新闻

NEVILLE GRECH

加强对白帽黑客的法律保护

身处困境的白帽黑客

更新(2025年3月11日):议会投票通过对白帽黑客的法律赦免。

作为一名白帽黑客和教育者,我亲眼目睹了法律框架未能保护那些毕生致力于保护软件系统的人们。

有一个与我密切相关的案例,是我大学里的几个学生,他们因为负责任地披露了一个漏洞而被捕,现在在马耳他被传唤出庭。泄露的漏洞披露邮件的副本可在此处获取 here。其中两名学生,Michael Debono 和 Giorgio Grigolo,后来被 Dedaub 聘用。我们还提供了财政援助,以支付他们的一部分法律费用。逮捕事件发生在他们发现并揭露了马耳他最大的学生应用程序中的一个安全漏洞 并提出了漏洞赏金建议之后。这一事件表明,法律可能会将这些善意的努力与恶意黑客行为同等对待。

除了这些学生之外,Mark Vella,一位教授,恰好是我在马耳他大学的同事,也被指控为同谋。

泄露的指控清单(翻译成英文) 包括非常严重的指控,所以让我们来看看其中的几个,并尝试理解这些指控的荒谬之处。在这样做的时候,我牢记着他们的审讯问题和交换的电子邮件的笔录。

提出的指控 可能的原因
1,2, 5 – 7: 未经授权远程访问计算机并复制其部分数据。 作为负责任披露的一部分,学生们据称包含了一个屏幕截图,演示了该问题(通过 curl 命令)。
9, 10: 意图获取非法收益,无论是经济上的还是其他的。 学生们在他们的漏洞报告中建议他们有资格获得漏洞赏金。
9: 强迫“受害者”(软件的作者)做(或不做)某些行动。 学生们友好地要求推广他们的 CTF 团队。
8: 关于 Vella(大学教授)——准备其余被告人实施犯罪。 据称,他们的教授看到了电子邮件交流,并建议他们对负责任披露的措辞做一些修改。

另一个让我震惊的有趣的事情是,在对 Vella 的审讯过程中,审讯者似乎在玩弄将他描绘成这个(犯罪)组织的头目的想法,学生们在他的指导下行事,这显然是荒谬的。

此案的影响

此案凸显了白帽黑客面临的重大风险,尤其是在过时和僵化的网络犯罪法律下。虽然这种情况在马耳他得到了突出展示,但它也作为一个更广泛的警告,即这种挑战可能在其他地方出现。马耳他的网络犯罪法规,特别是 Article 337C,很大程度上是仿照英格兰和威尔士的 Computer Misuse Act 1990 (CMA) 建立的。CMA 不仅影响了马耳他法律,还影响了许多英联邦国家的立法,例如澳大利亚的 Crimes Legislation Amendment Act 2001。同样,虽然美国的 Computer Fraud and Abuse Act (CFAA) 早于 CMA,但它已经过更新,包含了与 CMA 中的条款非常相似的规定。

马耳他问题的症结在于总检察长对这些法律的过于严格的解释。这种僵化的执行未能考虑到恶意行为者和道德黑客之间的差异,使得善意的个人容易受到起诉。但是,为什么白帽黑客应该因为过时的法律和过于严格的解释而受到惩罚呢?

一个潜在的解决方案是实施 Safe Harbor 框架,例如由 Security Alliance (SEAL) 提出的框架,SEAL 是 Web3 领域领先的安全联盟,我们(Dedaub)是其创始成员。Safe Harbor framework 为负责任地披露漏洞的道德黑客提供法律保护。虽然它可能不是一个完美的解决方案,但 Safe Harbor 为更新马耳他过时的网络犯罪立法提供了一个起点,使其更符合现代网络安全的现实。

对像 Debono 及其同行的白帽黑客的指控应该给立法者敲响警钟。立法者必须重新思考他们对网络安全的方法,并确保道德黑客——那些以诚实信用行事以保护数字系统的人——免受起诉。

马耳他总理的巧合访问

最后,这个故事以一线希望结束。我们在本文中讨论的指控(具有讽刺意味的是)几乎在总理和经济部长来到 Dedaub 办公室的同时送达了学生。在那里,学生们以及我本人有机会就该主题交流意见。部长们发誓要提供帮助并建立更好的法律框架,以避免将来发生这样的案件。部长们清楚地理解,白帽黑客的活动对社会有益。我真诚地希望在未来几个月内,我们将看到更多进步的法律变革,以保护和促进白帽黑客的活动。

  • 原文链接: dedaub.com/blog/white-ha...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
点赞 0
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论
Dedaub
Dedaub
Security audits, static analysis, realtime threat monitoring