EEPW论坛

上月，负责信用卡交易处理的国际数据处理公司宣布，该公司的系统不久前被黑客侵入，估计有高达800万名信用卡持有人的资料被窃取。这是有史以来最大的信用卡资料被窃事件，多家机构的信用卡受到影响。无独有偶，国内近期也发生了小型的“黑客”事件：某家提供大学英语四、六级考分查询的网站遭遇了“黑客”。该网站原来免费的查询变成收费查询后，一名大学生破译了密码，并通过各种途径广泛传播。在计算机网络日益广泛地应用到社会各行业和影响到人们生活时，如何在认识和法律上正确处理与黑客相关的事件成为不容回避的现实。 　　黑客为何而战？ 　　游荡于网络小道，冒险、制造恶作剧，在某些情况下寻找他人的财宝，仿佛是互联网的地下侠客，黑客在很多人眼中就是这样一种形象。其实，这种背负精神包袱的业余爱好的理由同互联网本身一样多种多样。 　　黑客季刊《2600》的编辑Emmanuel Goldstein曾表示，黑客就是“学习、分享信息，成为发现某东西的第一人。”“如果黑客行为不存在的话，人们将不会发现错误，不会发现系统可能遭到损害的基本途径。”一些黑客认为计算机罪犯，即所谓的“计算机窃贼”(cracker)才会闯入系统中偷窃或制造严重的破坏。 　　黑客组织甚至将自己的活动与自由等崇高的字眼联系起来。去年在美国举行的“第四届H2K2黑客年会”上，2000多名包括黑客精英在内的安全专业人士和电脑网络发烧友声称要针对全球20多个实行网络检查的国家发动“信息游击战”，让身处网络管制国的网民能绕过防火墙匿名浏览网络。知名黑客组织Hactivism还发布了名为“Camera/Shy”的软件。 　　但网络安全公司Network Flight Recorder的CEO Marcus Ranum却认为，闯入他人的计算机意味着受害者经受“绝对的精神和情感痛苦”，品格高尚的黑客道德规范忽视了最善意的入侵也会给人们造成极大痛苦的现实。Ranum说，假如有一位在华尔街工作的系统或网络管理员的系统遭受黑客的入侵，他会为自己的工作担心，害怕失去工作，无法偿付自己的贷款。 　　有法律专家认为入侵计算机系统应当是违法行为，这与未经许可穿越住宅不合法是一样的道理。一般来说，真实世界中的非法闯入罪会给你带来缓刑，而入室行窃应当更严肃地处理，这同样适用于网络犯罪。 　　作为私有心较强的人类，对黑客似乎很难以道德规范进行约束。在精通网络技术的情况下，受万能金钱的驱动，以某种方式为自己牟利，满足一下私欲自然难免。这包括小到利用计算机网络为自己谋取便利，大到盗窃信用卡资料进行诈骗，无奇不有，不一而足。这些都是所谓“网络游侠”中的害群之马。去年8月，美国特拉华大学一学生因盗窃密码修改考试成绩而被指控。而同年10月，俄国黑客Vasiliy Gorshkov则因盗窃信用卡资料被控计算机犯罪。 　　黑客的探索还造成了非主观的严重后果。1998年，美国马萨诸塞州的一位少年黑客通过侵入Bell Atlantic电话公司的网络，切断了对当地机场控制塔的重要服务。所幸的是没有造成飞机坠毁的严重后果。在网络安全和反恐怖专家眼中，黑客的一些手段很有可能为恐怖分子所利用，客观上成为“帮凶”，因而“Camera/Shy”之类软件可能并不会给黑客们的预想目标国制造太多的危险，倒更有可能成为商业间谍和恐怖分子眼中的“新发现”。 　　有关黑客的争议将会继续下去，一时还难有答案，但有一点清楚的是：现在的黑客比以往更多。据美国计算机安全协会与FBI 2002年的安全调查，信息盗窃、金融诈骗、病毒等电脑犯罪所造成的损失达4.55亿美元，比2000年上升了58%。计算机与网络安全专家发现自己正面对着一个拥有丰富资源、可以披上许多伪装的敌人。 　　反黑要靠自卫？ 　　在受到黑客攻击时，如何应对？这是每个系统管理员都关心的问题。现在看来仅仅靠司法机关的努力似乎远远不够。 　　美国加州共和党的Howard Berman曾推动允许知识产权所有者采用技术手段防范侵犯版权的措施，包括进入对方的系统等。近日又有美国技术法律专家称，根据联邦反骚扰法律，对攻击企业或家庭网络的行为进行反击可能是合法的。 　　法律事务所Sonnenschein, Nath & Rosenthal的律师Curtis Karnow日前强调，对于采用有限反击手段阻止互联网攻击的行为，目前还没有任何诉讼先例，但美国联邦的反骚扰法令可能会适用。这项法律允许国家和个人提起旨在终止伤害行为的诉讼，不经批准也可参与减弱或阻止骚扰的行为，甚至还可起诉违法者支付为此所花的费用。这些自救条款允许公民采取措施减轻显然的威胁，受害者甚至可以理直气壮地关闭攻击服务器上的攻击程序，即使服务器属于他人。 　　这些言论使系统管理员看到了新的希望，以往在受到攻击时，他们只能通过司法部门解决这一问题，但这通常会贻误战机，使攻击行为不能及时得到遏止。“北美网络运营商组织”的系统管理员数周来一直就在讨论如何对付受到Slammer蠕虫病毒袭击、并仍在继续发送大量数据流量的约20000台服务器。 　　但这些措施或看法受到一些国家的反对，因为可能会保护一些黑客行为。根据澳大利亚的法律，对于不经司法当局许可入侵计算机系统的行为，最高可判处高达6个月的监禁。美国有类似的规定，但上述言论一经披露，在澳大利亚立刻引起广泛关注。有澳洲报纸曾透露，如果美国企业运用黑客手段保护知识产权，公司主管有可能被禁止入境。 　　类似的冲突相信会越来越多，这也是全球化趋势和网络无国界的必然结果，如何解决，似乎一时陷入了两难境地。 　　网络无疆，谁家法律适用？ 　　自2001年9月11日美国遭受恐怖袭击以来，有关电子恐怖主义的话题不断见诸报端。世界各国政府已对那些重要的设施，譬如电力和供水系统的网络瘫痪所带来的危险产生了警觉，对黑客进入安全部门盗取信息的行为也给予了越来越多的关注，并制订了相关法规。 　　2001年俄国软件程序员Dmitry Sklyarov在美被捕，并因提供破解电子图书的软件的罪名被指控，而上述行为在俄国并不是犯罪。 　　对Sklyarov的指控引发了如何将各国法律适用于互联网的争论。除了起诉ElcomSoft公司外，美国法官还命令加拿大公司iCraveTV.com关闭其网站，原因是美国广播公司控诉该网站盗窃了有版权的作品。一家意大利网站在美国法院的命令下也封锁了美国人对该网站的访问。但美国法院却对外国法律不能“投桃报李”，认为外国法律不适用于美国。比如美国一法官判定法国要求封锁法国人访问Yahoo！的裁决在美不适用。 　　对美国司法部门的做法，一些人称为伪善，认为网络应该被当作国际电子资源进行管理。ElcomSoft公司的律师宣称，在司法管辖权的意义上，与互联网类似的是外太空和国际水域。 　　去年，包括美国在内的30个国家签署了《反计算机犯罪公约》协调针对互联网犯罪的法规及惩罚措施。但有关如何将各地法律适用于互联网的冲突还会继续。 　　去年10月，FBI设计将俄国黑客Vasiliy Gorshkov诱骗到美国，并从疑犯在俄国的计算机网络下载了证据。俄国国家安全局今年年初指控FBI未经批准擅自进入俄国的计算机网络并下载文件。 　　欧盟各国司法部长日前批准了一项新法律，针对任何非法进入计算机网络和服务器，以及任何传播网络病毒的人。根据这项新法律，有组织的黑客行为和传播病毒者，将会处以两到五年的监禁。这项新法律会寻求在15个欧盟成员国之间现存的法律中进行调解，因为现在这些国家之间的法律还有很多的不同。 　　欧盟各国通过的新法律让人们对各国间通过签署条约解决法律适用问题增加了希望。 　　黑客大事记 　　60年代初 　　拥有巨型计算机的大学设施成为黑客初显身手的舞台。 　　1969年 　　斯坦福大学、加州大学洛杉矶分校、加州大学圣巴巴拉分校和犹他州大学的研究人员建立了第一批高级研究计划局网络(即Arpanet)，后来发展成为Internet。 　　1982年 　　“Internet”一词首次使用。 　　1983年 　　在首次抓捕黑客的行动中，FBI逮捕了6名来自Milwaukee州的少年黑客，这几名黑客被控实施了60多次计算机入侵。 　　1984年 　　黑客Emmanuel Goldstein创办黑客季刊《2600》，成为交流黑客信息的交换站。 　　1985年 　　地下记者“Taran King”和“Knight Lightning”创办电子杂志《Phrack》，提供了有关计算机黑客技术的信息。 　　1987年 　　高中生Herbert Zinn承认曾潜入新泽西州的AT&T计算机，成为依据1986年的《计算机欺诈与滥用法》受到起诉的第一人。 　　1988年 　　11月2日，Cornell大学研究生Robert Morris在Internet上释放了一个“蠕虫”程序，迅速传播到6000多个系统上，造成了1500万～1亿美元的损失。 　　1989年 　　3月，3名前西德网络间谍被指控将获得的信息和软件出售给苏联克格勃的黑客被判入狱服刑。7月，Kevin Mitnick因偷窃软件以及偷窃长途代码而被判有罪。 　　1990年 　　2月，南方黑客团伙“Legion of Doom”的4名成员因偷窃BellSouth公司的911应急电话网络的技术规范而被捕。 　　1991年 　　11月，总审计局透露说，几名荷兰少年在海湾战争期间曾进入国防部计算机，修改或拷贝了与作战行动有关的非保密敏感信息。 　　1992年 　　7月，纽约市布鲁克林和昆斯地区的少年帮派“Masters of Deception”的5名成员，因入侵包括AT&T、Bank of America、TRW和国家安全局等机构的计算机系统而被捕。 　　1993年 　　4月，Kevin Poulsen被控利用计算机操纵三家洛杉矶广播电台的竞赛，诈骗了两辆保时捷汽车、2万美元的现金和至少两次夏威夷之旅。 　　1994年 　　2月，两个名为“Data Stream”和“Kuji”的黑客入侵了Griffith空军基地和数百个其他系统。12月，黑客向安装在圣地亚哥超级计算机中心的安全专家Tsutomu Shimomura的计算机发动全面的攻击，这台计算机保存着尖端的计算机安全软件。 　　1995年 　　2月15日，Kevin Mitnick在北卡罗莱纳州Raleigh市被捕。Mitnick被控入侵一系列计算机网络和盗窃两万个信用卡号码以及复制软件程序。3月，俄国黑客Vladimir Levin在英国被捕，被控利用计算机将至少370万美元的资金非法转到世界各地的账户上。 　　1996年 　　8月，一位名叫Johnny [Xchaotic]的黑客利用邮件炸弹对40名政客、企业领导人和其他个人与机构进行了攻击。 　　1998年 　　2月，黑客发动了一场五角大楼迄今遇到的“最有组织和系统的攻击”。3月，联邦检察官指控一年轻的计算机黑客在一年前入侵Bell Atlantic公司的计算机系统时关闭了马萨诸塞州一个机场通信系统，造成了Worcester机场控制塔与飞机之间的通信中断6个小时。 　　1999年 　　5月，美国参议院、白宫和美国陆军网络以及数十个政府网站被黑客攻陷。11月，挪威黑客组织“反编译工程大师”破解了DVD版权保护的解码密钥，并编制了DVD解码程序在互联网上公布，引发了一系列诉讼。 　　2000年 　　2月，在3天的时间里，黑客使用“拒绝服务式”的攻击手段，使雅虎、亚马逊、电子港湾、CNN陷入瘫痪。 　　2002年 　　10月，管理全球互联网运作的13台根服务器受到“分布式拒绝服务”袭击，历时大约一个小时。