黑客大会:法律边缘的游戏

黑客大会:法律边缘的游戏
张田勘  2008/09/02
黑客PK公众运输安全

    8月8日至10日,美国拉斯维加斯的里维埃拉酒店及娱乐场,Defcon黑客大会正在举行。
    然而,就在会议期间,美国一名联邦法官裁定,禁止3名麻省理工学院(MIT)学生在这次大会上示范如何入侵波士顿地铁系统使用的智能票卡。
    这3名学生是亚历山得鲁・奇萨(Alessandro Chiesa)、R・J・瑞安(R.J. Ryan)和扎克・安德森(Zack Anderson),他们成立了电子前线基金会,并发明了一种破解查利卡(Charlie Card)的黑客软件。
    查利卡是一种无线射频识别(RFID)卡,是波士顿地铁T线目前使用的票卡。参加黑客会议之前,这些学生曾向麻州主管当局表示,他们要在会上演示他们的软件,提醒当局防范未来可能出现的地铁安全漏洞。
    学生与官方的接触并不愉快,对方一开始就提到联邦调查局(FBI)已对他们展开犯罪调查。当局认为,演示这一软件将危及公众运输系统,并对公众健康或安全构成威胁。
    于是就有了麻州当局对3名学生的控告。美国联邦地方法官道格拉斯・伍罗克(Douglas Woodlock)下令,这些学生不得提供“得以协助他人以任何实质方法回避,或以其他方式攻击该系统安全的程序、资讯、软件代码或指令” 。
    3名学生的律师库尔特・奥普沙尔(Kurt Opsahl)认为,这项暂时禁止令侵害了学生们的言论自由权。另一位律师则说,法院预先下令阻止这三名学生是“空前的”做法。当然,这3名学生可以在律师的陪同下出席Defcon黑客大会,但无法回答问题。不过,Defcon黑客大会有关人员暗示,可能会举办另一个相关主题的发表会。
    尽管法院禁止奇萨等人发布他们的黑客软件,但登记参加Defcon黑客大会的人早在法院裁决的两天前就拿到了这次示范内容的光碟,有些人在一个月前就知道了相关内容。但他们被告知,复制和假造波士顿地铁卡是违法的,光碟内容仅供教育使用。

黑道VS红道

    早期“黑客”(hacker)一词专指那些热衷于计算机技术、水平高超的电脑专家,尤其是程序设计人员。如今黑客已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙,而对这些人的正确英文叫法是Cracker,即骇客。但今天人们把黑客和骇客混为一谈,而且,黑客的行为还是让人们忧大于喜。
    从1992年开始,全球的黑客们就有自己的狂欢节即交流大会或学术年会,一般于每年七八月份在赌城拉斯维加斯举行,先后召开黑帽大会、Defcon黑客大会。
    8月6日,第十五届世界黑帽大会(黑客大会之一)召开,不仅黑客云集,而且红道上的诸多高手也参会或潜伏于会议。比如,美国国防部、国家安全局(NSA)、联邦调查局(FBI)以及一些警方电脑专家都到会。他们的目的是既要发现潜在的危害者和安全漏洞,还要利用这些黑客,把他们的才能转化到有益于网络和国家安全的方向。
    黑客们在会上演示了许多政府部门存在的安全漏洞。例如,一些黑客现场示范,要打开美国五角大楼和英国王室使用的所谓最安全的锁易如反掌,所需的工具非常简单。曾出书教导人们开锁的托拜厄斯还在会上示范如何使用回形针和用玩具塑料片制成的钥匙来打开美国制锁公司美迪高(Medeco)的锁。
    尽管美国联邦调查局和国防部官员有意在黑客大会上招聘人才,但黑客们并不感兴趣。因为这些特工部门薪水不高、纪律严明,而黑客习惯了天马行空、无拘无束的生活。

“盗”亦有道

    2002年第十届Defcon黑客大会上,黑客们提出了一个创意:破获那些使用不安全口令、密码的“呆瓜”的用户名及密码,并贴在会场的墙上,还贴了一幅画有受伤绵羊的横幅。“绵羊墙”也就意味着“耻辱墙”。
    但黑客大会更多的涵义在于技术交流。黑客大会创始人杰夫・莫斯(Jeff Moss)于1993年创办 Defcon(黑客大会),1997年创办黑帽(Black Hat,也是黑客大会),他表示,黑客大会包含“技术”和“社交”两层意义。
    黑客们也有严明的纪律,如果违反,将会遭到惩罚。今年的“绵羊墙”事件就是一个典型事例。
  今年的世界黑帽大会中也有“绵羊墙”节目。会议组织者在新闻中心架设了公共Wi-Fi无线接入网络,要求与会黑客们不得入侵该网络,尤其不得使用“嗅探器”(Sniff)和“得到控制权”(Pwn)等计算机工具入侵网络。
    三名来自《全球安全杂志》的法国记者却使用名为Cain的网络嗅探工具,获得了著名网站e周刊(eWeek)和另一个媒体CNET News记者的账号和密码,并将其公布在绵羊墙上。
    这三名记者被要求离开大会,还被禁止出席今年的Defcon大会。
    美国隐私倡导组织电子边境基金会表示,正对《全球安全杂志》入侵事件进行评估,以确定是否建议大会组织者对这三名法国记者提起诉讼。大会组织者称,已经终止与作为本次大会赞助商的《全球安全杂志》的合作关系。
    目前,“绵羊墙”事件已受到美国联邦调查局和中央情报局的关注。

公布安全漏洞是否违法

    尽管相当多的黑客对网络和电脑的研究是为了提供更多的安全保护措施,或促进网络和IT技术的发展及应用,但如果黑客作为安全研究员发现了某些网络安全漏洞,而且在黑客大会上公布和演示,是否违法呢?
    权力和司法部门过去曾多次干预Defcon黑客大会的演讲内容。管理者们认为,作为安全研究员的黑客向人们公开演示安全漏洞等于是在教唆犯法,必须禁止其公开演示。
    四年前,俄罗斯密码专家德米特里・斯克利亚罗夫(Dmitri Sklyarov)就因为在Defcon黑客会议上发表了一场有关电子书安全软件弱点的演说而被美国联邦调查局特工逮捕。
    除了权力和司法部门,安全研究员们也会受到来自其他相关利益方的指控。例如,美国普林斯顿大学电脑科学教授艾德・费尔顿(Ed Felten)及其写作伙伴,因计划在匹兹堡一场安全会议中发表演说,被唱片业威胁要控告他们。
    但安全研究员(黑客)们认为他们发现并演示计算机和网络漏洞并不违法,因为“这只是提出问题并督促管理者弥补漏洞、加强防范,而且如果这些问题不说出来,就没有人会知道”。
    2007年与他人合作破解Mifare Classic卡密码规则而遭起诉的维吉尼亚大学学生卡森・诺尔(Karsten Nohl)表示,麻州当局不该控告他们。诺尔说,地铁的磁条卡可以轻易被篡改,这早在多年前就广为人知,麻州当局不该依赖隐瞒其信息来作为一种安全防卫手段,而其提出控告的行为反而会促使更多人研究波士顿大众运输系统的安全防护漏洞。

你可能感兴趣的:(职场,休闲,黑客大会,法律边缘的游戏)