企業被黑客攻擊，「懟回去」合法嗎？

「我的電腦被黑了，進行反擊合法嗎？」這個問題現在成為了主動防禦概念中的焦點問題。

美國現有《計算機欺詐與濫用法》（CFAA，從1986年實施的CFAA禁止個人使用如防病毒軟體等預防措施之外的防禦行動）規定個人只能以防病毒軟體進行被動防禦。但

美國議員Tom Graves前幾個月提出了《主動網路防禦明確法案(Active Cyber Defense Certainty Act，ACDC)》，該法案將允許網路攻擊受害者在受到攻擊時能夠反擊。

被攻擊的細節

企業會如何保護入侵的證據

企業打算如何避免攻擊到未參與黑客行動的第三方系統

最近國外媒體SecurityAffairs對此發表評論文章，文章作者認為該修正案過於模糊，如果施行，則可能給法庭審判造成困擾。除此之外，作者還提出了以下對該法案的質疑，比如說攻擊溯源本來就不容易，攻防雙方資源規模並不對等。這些或許是值得立法者深思的。

問題1：網路攻擊的歸屬問題

早期DoS防範時，大家普遍使用的方法是丟棄所有來自發動攻擊的網路流量。但是黑客可以輕易把攻擊偽裝成某個無關的第三方，這樣的話第三方就受到影響了。比如，A公司和B公司經常有生意往來。突然間某個黑客向B公司發送了大量流量，流量看起來像是來自A公司。B公司的防火牆因此屏蔽了所有來自A公司的流量。但是這樣的話兩個公司的正常流量也中斷了。因此這樣的防禦方式實際上起到了更糟糕的結果，甚至比被DoS還糟糕，因此我們必須採用其他的方法。

假設這不是單純的DoS流量，而是表面上A公司黑了B公司，B公司轉而報復，黑了A公司呢？修正案中沒有提到讓受害者提供對於攻擊歸屬的證明或者證據。我們知道要對攻擊進行溯源是很困難的。2014年索尼公司被黑，大家都認為是朝鮮乾的，現在過去好幾年了，多國政府都努力查明，但是攻擊的確切來源依然不明確。

「原本我們可以根據武器來判斷敵人。你看到一輛坦克，就知道一定是軍隊的，因為只有軍隊買得起。網路世界裡就不一樣了。網路空間里技術的傳播很廣，人們可能擁有同樣的武器：黑客、政治黑客、國家間諜、軍隊甚至是網路恐怖分子。」Bruce Schneier在2015年說過。

試想索尼時間中這麼多公司組織都無法查明攻擊來源，一家公司怎麼可能查出真正的幕後黑手？

問題2：資源的規模

企業擁有的資源其實並不多。企業的安全建設受限於道德、預算、開發的優先順序等，但犯罪分子沒有限制，並且即便他們本身的水平不夠，也可以找一些黑客服務來進行攻擊，企業是沒有辦法抗衡的。我們看看殭屍網路的規模就知道，在網路世界中，壞人的資源更多，互聯網是不對稱的。

問題3：如何避免傷及無辜

ACDC法案保證企業「能夠防禦欺詐或者其他的活動」，但卻沒有提到社會責任。想像一下黑客黑了某個共享的伺服器進行攻擊，受到攻擊的組織進行反擊，勢必就會影響到使用共享伺服器的其他公司。

問題4：法案的意義

如果進行反擊，企業希望達成的結果是什麼？如果企業感染了勒索病毒，丟失了資料，即便攻擊了「敵人」，這些數據也不會回來，並且我們假設企業能夠識別出攻擊的真實來源。從投資者的角度來看，你的數據還是丟了，而且還付出了額外的時間和金錢成本。如果是一些數據被竊取，通過黑客手段進行反擊，即便刪除了攻擊者的數據也不能保證他們沒有其他備份。

我們目前是靠政府執法部門追查網路攻擊事件的，但很難達成滿意的效果。但是連大公司都無法追查的網路攻擊怎麼能指望這些小公司會成功？反擊能夠讓誰獲益？這些問題令人摸不著頭腦，更何況反擊還可能會波及與攻擊事件無關的人。

喬治亞理工學院信息安全和隱私協會分析師Yacin Nadji認為：

「更好的辦法是提高執法部門官員的能力，包括研究自動化溯源攻擊、估算經濟損失、加快沒收涉案計算機的速度。而允許『用黑客手段反擊』的法案從長遠來看只會增加麻煩。」

*參考來源：SecurityAffairs & Doit，本文作者：Sphinx，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！