IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

互联网和电子商务时代 我们该怎样反击黑客

2013年01月15日
ZDNet安全频道/编译

我注意到在论坛里,有些帖子建议人们应该对黑客的攻击行为实施报复,以其人之道还治其人之身。还有人举了个例子,比如人们可以开枪击毙进入自己家中的犯罪分子。

在新千年开始的时候,互联网和电子商务还处于摇篮期,很多评论家都将那时的互联网比喻为蛮荒的西部,缺乏有效的监管。

实际上,互联网和电子商务那时候都处于严格的监管下。大部分现实世界里的规章制度,包括合同条款等也同样用于互联网环境。在随后逐步颁布的各种专门针对互联网的法规中,这些规章条款也被重新加入到新的法规中。

所以,网络犯罪活动猖獗主要不是法律监管的问题,而是那些网络犯罪分子们,他们的乐趣就在于打破法律的限制。而与现实中犯罪相比,网络上存在着匿名以及可跨越地区甚至国境作案的便利性,这使得网络犯罪活动的风险大大的降低了。

另外,网络上的犯罪活动可以更方便的进行规模化复制。试问,如果能在网络上同时抢劫一百万人,为什么还要在现实里去抢劫一个人呢?

多种类型的黑客犯罪行为

黑客的活动动机有很多种,但不可否认他们的行为都是在犯罪。对于那些将黑客行为作为一种乐趣,或者是好奇心驱使又或者仅仅是某种无恶意的动机的黑客来说,如果你说他已经犯罪了,他会很惊讶而且不承认自己的行为属于犯罪。但是,如果按照英国1990年颁布的《计算机滥用法》(到目前已经修订过很多次了)来看,这些黑客的行为足以满足多条指控。

而我们之所以没有看到那么多的黑客被定罪,主要是因为执法能力为题。由于执法机构的资源有限,他们不得不将有限的资源用到那些更容易被定罪的案件上。

另外,执法机构在调查计算机犯罪和收集相关证据的工作上的时间效率与那些遭受到DDOS攻击或其它类型网络攻击的企业和机构所希望的时间效率完全不对应。这种不同使得很多企业在受到攻击后更希望通过刑法的手段来解决问题,即通过服刑报复黑客。

这种想法是可以理解的,而受攻击的老百姓也有权对黑客提起诉讼。

然而,这种犯罪行为可能不适用于刑法。比如英国的《计算机滥用法案》并没有考虑到计算机犯罪行为背后的动机问题,这与刑法差异很大。而如果黑客是通过一个僵尸网络对某个企业发动的攻击,企业该指控僵尸网络上的所有计算机的主人吗?

公开黑客的身份

这个问题使得黑客活动中处于进退两难处境的ISP们浮出了水面。从合同上讲,ISP应该保护用户的隐私,就算该用户是黑客也不例外。而另一方面,他们可能也希望揭露黑客的真实身份。

对于ISP来说,揭露黑客的身份存在两个风险,即违反与客户签订的合同,以及违反政府监管法规。我想如果ISP将黑客身份揭露,黑客很可能会起诉ISP违反合同,泄露了客户的身份信息;另一方面,我想黑客更愿意向监管部门告发ISP没有按监管部门的规章制度来行事,这种监管风险是ISP最不愿意看到的。

这种情况看起来不利于我们抵抗网络犯罪,但是实际上我们可以通过一些有预见性的措施来改变这种状况,即从申诉成本和原告方的动机出发。

假如原告企业胜诉了,而黑客又拿不出钱来补偿原告企业由于遭受攻击所蒙受的损失,那么原告方支付了诉讼费用却只能得到一个胜诉的名义,根本指望不上损失能够获得赔偿。但如果原告的目的不是索取赔偿,而是要阻止黑客日后的网络犯罪行为,那么结果可能会让原告比较满意。

这种改变也可以用于对于知识产权侵害的诉讼,与其所要对方根本无法兑现的损失补偿款,还不如想想如何通过诉讼让自己的企业扬名,这样未来给企业带来的收益很可能远高于侵权方支付的赔款数额。

不断增加的犯罪风险会让黑客们转而寻找那些更容易下手的小目标,而这样做也会降低攻击所带来的总体损失。而如果能将各种黑客行为均列为违法刑法,也会让那些无恶意的黑客们重新思考是否要继续这种网络犯罪行为。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点