关于“诚实信仰”安全研究的最新进展

关键要点

美国联邦政府在应用《计算机欺诈和滥用法》CFAA时，仍需进一步明确什么构成“诚实信仰”的安全研究。但与此同时，安全研究者应当“拥抱胜利”，如司法部官员周一所言。

去年发布的最高法院意见书Van Buren vs United States显著缩小了CFAA在个体“超出授权”访问计算机事件中的适用范围。最近，司法部正式化了一项政策，官员们称其长期以来一直在非正式执行：即不对进行“诚实信仰”安全研究的黑客提起CFAA指控。

这两项变更表明，经过多年的模糊性，法律体系逐渐认识到第三方研究人员审查产品和系统是美国网络安全生态系统的重要组成部分。

“司法部非常重视计算机安全研究我们对此很重视，”网络犯罪和知识产权部门的网络安全单位负责人Leonard Bailey说。“我们认为，网络安全相当复杂，因此在帮助的情况下不应将某些参与者排除在外。”

点击这里查看RSAC的所有报道。

尽管有这种情绪，CFAA仍然是网络安全领域最令人畏惧的法律之一，某些安全研究者表示，该法律依旧对他们的工作产生寒蝉效应。最初的这种看法在司法部内部引发了困惑，因为在回应这些担忧时，部门回顾了过去十年所起诉的案件，仅发现一起CFAA被用来对安全研究者进行起诉的案例，且该案件涉及到进行计算机安全研究的行为。

“我们回顾了我们的做法，以确定我们可能在哪里例如，追究安全研究者的责任我们发现并没有这样做，”他表示。

然而，与信息安全界的进一步讨论使Bailey意识到，伦理黑客确实在被CFAA追究责任方面有合理的抱怨，只是并不是来自联邦政府。

这是因为除了允许追究违反法律的黑客的刑事责任，CFAA还允许私人个人和机构对这些研究者提起法律诉讼。直到最近，商业组织可以合法地就其服务条款的微不足道或荒谬的违规行为提起诉讼，例如在其网站上创建虚假账户或在社交网络上以化名发布内容。

美国各地的巡回法院对这些法律的解释不尽相同，大多数法院要么限制了CFAA对“超出授权”的定义，要么对此表示支持。但最终结果是一系列的分歧决定，进一步加剧了混乱，让人感到“你所承担的责任的确切范围实际上与法院位置密切相关，”Rapid7公共政策高级主管Haley Geiger说道。

对《计算机欺诈和滥用法》的“欢迎但不够”的变更

在司法部宣布其政策后，电子前沿基金会的律师Andrew Crocker表示，该举措虽然受欢迎，但仍不足以实质性降低安全研究者的负担，因为它“没有减少对安全研究者、记者和创新者提起琐碎或过于宽泛的CFAA民事诉讼的风险。”

这仅仅是一项政策变更，这意味着在未来某个政府下，司法部可能会选择改变策略，撤回起诉指导，甚至以更为严厉的角度解读CFAA。Crocker和其他人呼吁通过国会对法律进行立法更新，称这是确保安全研究者能够开展工作的唯一途径。

当被问及对此的看法时，Bailey告诉SC Media这“是一个公正的担忧”，自2014年以来，他一直与安全研究者讨论这一问题。他表示，的确，另一届政府可以选择改变方向或