2007 年 5月 25日夜晚,德國通過 hacking law 202(c),當時只有左派黨(Left Party)投下反對票[來源1]。這個事件將會是去年度資安最重大的新聞,也是對白帽駭客最嚴重的打擊。此條款已於 2007年 8月 10日開始生效[來源2]。
這項條款申明,只要違反 202a 或 202b 所描述的 “有人提供、販賣、獲得、交付或散佈,及其它可取得” 駭客工具(by providing access to, selling, acquiring, leaving at the disposition of someone, distributing or otherwise making accessible) 管道者,皆違反此條款,得以罰金或拘役。[來源2]
這意謂著,現在很多電腦資訊安全的工具,在德國境內都不再合法,如 NMAP、Metasploit、 密碼破解器(password cracker)、密碼恢復工具(password recovery)或網路效能壓力測試工具等。NMAP 與 Metasploit 都是著名的資訊安全檢查工具,目前也常見於 Linux distributions 中散佈。因此這些被認定為駭客的工具不得在公開場合中展示,也不得包含於各大 Linux distributions 中散佈。
更嚴重的是,任何人不再能夠自由的在公眾場合中自由的討論,包含研討會。當你發表任何資訊,你就必須對此資訊負被人拿去犯罪之責。換句話說,你因為幫助某人犯罪而吃上官司。[來源2]
這是否也表示,如果你是業務員,因為你的顧客買了你販賣的 Windows XP 來進行入侵行為,你也是共犯?![來源2]。這就好像是販賣棒球棒的店員,因顧客買去攻擊別人也是共犯?![來源3]
德國這項法案最近也影響英國法院決議是否也通過此項條款。[來源4][來源5]
因為條款並沒有對駭客工具(hacking tools)說的很明確,使得何謂駭客工具尚沒有明顯的界線。但不論如何,白帽駭客們仍然開始把自行開發的資安工具地下化,不再公開讓人取得,這將使得資 訊安全鑑識愈來愈困難,因為你幾乎沒有任何工具可以公開使用。當然,這項政策對於原本地下化的黑客組織沒有什麼影響。
當正義一方的工具不再有效抑制黑暗時,資安工作者將會紛紛離開這場註定敗戰的戰役。
[來源1] Heise Security: Germany passes Anti-Hacking laws
[來源2] DarkReading: Hacking Germany’s New Computer Crime Law
[來源3] Darknet: New German Hacking Law 202(c) - Sites Close & Possible Backfire
[來源4] The register:UK gov sets rules for hacker tool ban
[來源5] Darknet: UK Government Set to Make ‘Hacking Tools’ Illegal
Posts
No comments:
Post a Comment