Login  |  繁體中文
感謝您對「自由軟體鑄造場」的支持與愛護,十多年來「自由軟體鑄造場」受中央研究院支持,並在資訊科學研究所以及資訊科技創新研究中心執行,現已完成階段性的任務。 原網站預計持續維運至 2021年底,網站內容基本上不會再更動。本網站由 Denny Huang 備份封存。
也紀念我們永遠的朋友 李士傑先生(Shih-Chieh Ilya Li)。
FOSS Forum Andrew Auernheimer、網路安全、洩露與 CFAA

Andrew Auernheimer、網路安全、洩露與 CFAA

美國的 hacker-troll 運動者 (hacker-troll-activist) Andrew Auernheimer,又名 Weev,日前針對因非授權存取 AT&T 網站,違反計算機欺詐和濫用法 (Computer Fraud and Abuse Act,CFAA),於 3 月遭到判決一事提起上訴。該定罪判決與哥倫比亞大學法學院教授 Tim Wu 口中最爛的科技法 CFAA,對於思索美國在國家安全中,對於異己的處置,以及該國將無法制服之對手,列為刑事罪刑的傾向,提供了便捷的途徑。

基本上,Weev 是因為多次存取公開給所有人的公共資料,而惹上麻煩。你或許會說,他之所以惹上麻煩,是因為得罪了 FBI。或許上述兩者皆是,Weev 利用自動化程式多次查詢 AT&T 的伺服器,存取公開資訊。多年來,他一直對權威以及好品味嗤之以鼻。在沒有破解密碼、沒有黑客行為的查詢過程中,他取得了某些有力人士的電子郵件帳號。該承擔主要疏失責任的 AT&T,在調查該漏洞時將矛頭指向 Weev 與一名同僚。事件結果是他把這個資訊透露給 Gawker,並因此獲罪。

讓我們回到法律面。CFAA 原本是偽造訪問計算機欺詐和濫用法 (Counterfeit Access Computer Fraud and Abuse Act,CADFAA),更精確的說法是,雷根總統 (Ronald Reagan) 與某些參議員看過電影戰爭遊戲 (WarGames) 後被嚇壞搞出來的法律,無論如何,今天它主要意味著起訴發生在電腦與網際網路上的犯罪。因此其範圍之廣闊無可言喻,再者,依照所在法院的不同,還可能把所有人每天做的簡單小事,像是在約會網站上撒有關身高體重或年齡的謊,而違反網站片面的使用條款,變成是刑事犯罪。對於一個原本設計用來避免核子大戰的法令來說,這的確是一大擴充。

CFAA 部分爭端,以及出自法律社群的批評,主要是未經授權與超出授權這些字眼的意義為何。上述提到的極端解釋,也就是以合約為基礎的做法,是司法部的首選。其他人則傾向有實際上的駭客行為,像是暴力破解密碼,或是破壞某些安全機制。最後,其他人仍然依賴代理理論 (theories of agency) 來判別授權的含義。

在 Weev 因為存取公開網站而惹禍上身的案例中,他的律師在上訴中聲稱,就該法律的目的而言,由於 AT&T 自己將該資訊加以公開,對這些資訊的存取,是無法未經授權的。他們指出,將 Weev 的行為加以定罪,也就是將許多美國民眾的行為視為有罪,這是令人無法接受的,同時也會為裁決的其他層面,以及審判的嚴重程度,帶來許多挑戰。

CFAA 的重要缺點之一,是其賦予檢察官與警察權力,以任意或歧視性地鎖定在政治上抱有不受歡迎觀點的個人。作為一名多年來從事政治活動的網路小白 (troll),Weev 因為收刮公開網站的資訊而遭到判刑 41 個月。在加州,一間法律公司同樣操作網路 URL,來存取無意中公開的健康紀錄,卻不用面臨起訴而獲得和解。許多人認為,這個看似歧視性的結果,使得該法律與憲法的正當法律程序禁止模糊性相互抵觸。基本上,該原則要求公民了解何種行為會被判刑,檢察官不能任意或歧視性進行執法。而這並非政治活動人士首次遭到鎖定起訴。

老實說,儘管這些情節很可笑,但這一切並不有趣。為何?為什麼 Weev 要服的刑期比多數強暴犯都還長?因為他與 FBI 為敵?因為他毫無悔意?因為他讓一間跨國公司看來像笨蛋?不管你怎麼看,這都不是正義。CFAA 很危險。Edward Snowden 與稜鏡計畫 (PRISM) 洩密案在國際舞台上演戲碼中的情節也是一樣,該案與 Weev 定罪和 CFAA 中的爭議,在許多方面講的是同一件事。

CFAA 之所以如此嚴苛,或有意更為嚴苛的眾多理由,是已成為誇張且危言聳聽怪物的美國政治論述。暴力聖戰份子,請歡迎黑客,他們將作為你們的替代品,成為美國可怖稻草人商店的本週熱門。在 Weev 與前路透社社交媒體編輯 Matthew Keys 的 CFAA 案子中,作為代表的 Tor Ekeland 表示,黑客是新的共產黨員。他說得對,這是個大問題。

當 Keith Alexander 將軍表示,他擔心 Anonymous 會破壞電力網,這和要求對政治黑客施以加重懲罰,以及讓自由派與保守派獨裁者追殺 Edward Snowden 的說法,完全是同一種言論。當 Janet Napolitano 對網路 9/11 提出警告,她是在為正當化大規模監控提出論據,也讓我們在 Weev 因為更改 URL 而在監獄裡度過 3 年半一事,選擇睜一隻眼閉一隻眼。

CFAA 目前的形式是一個強大的錯誤,其使用反映出政府尋求對它所不理解之物,加以定罪並使其銷聲匿跡。Weev 的判決,一旦成立,將絕非僅有,也不會是最後一次。


相關網址:

  1. Andrew Auernheimer、網路安全、洩露與 CFAA
    https://www.truth-out.org/speakout/item/17438-andrew-auernheimer-cyber-security-leaks-and-the-cfaa
  2. 維基百科對於 internet troll 的解釋
    https://en.wikipedia.org/wiki/Troll_(Internet)



OSSF Newsletter : 第 223 期 利用自由開源軟體元件開發雲端應用專案

Category: FOSS Forum