計算機安全之法律與道德因素 I

計算機***法規：不容許「******」

對於***測試人員及安全研究人員，須要理解的最重要準則就是對計算機***的禁止。

 

在特定環境中，經過法律規則以及條例都禁止計算機***（通用法律規則指隨着時間的推移而產生而且由法官制定，而法律條例是由立法機關頒佈的成文規則 —— 兩種法律具備同等效力）。在美國全部 50 個州中，聯邦法律和法規都禁止不經受權或者未經容許使用計算機或者計算機網絡。

不少人非正式的將這種行爲稱之爲對計算機的******（ hacking ）。雖然***行爲已經意味着***計算機，但該術語還包含了計算機管理法規的法律以及道德複雜性。某些******合法而且有價值，而有些非法而且的破壞性的。因爲這個緣由，這裏使用術語 「 計算機*** （ computer trespass ） 」 和侵犯者（ trespasser ） 「 ，或者 」 未受權訪問 （ unauthorized access ） 和***者（ attacker ） 「 代表合法與非法******之間的區別。

 

全部禁止計算機***的法規都具備兩個基本部分，對用戶而言，這兩個部分都必須真實的非法發生。首先，該用戶必須接入或者使用計算機。第二，該使用或訪問必須是未經許可的。美國聯邦法規對於損害有一條額外的規定。損害包含了諸如更改醫療記錄或者妨礙用於司法管理用途的計算機系統的使用等非財產損害。損害還包含在一年期間內可共計至少 5000 美圓的損失。在實際中，因爲大部分計算機***調查在工做和時間上的花費就將大於五千美圓，全部原告不須要花費太多力氣證實其損失。

 

美國某些州立法律規定了犯罪行爲，這意味着，***者能夠由此被政府起訴，同時，若是被判有罪，將會入獄。美國某些州立法律以及聯邦法律對計算機***行爲既定義了刑事責任，又定義了民事責任，所以，計算機系統全部人將可以向***者提出經濟賠償要求。

 

***測試人員以及安全人研究人員發現了幾種不經受權而得到對計算機訪問權的方式。學習如何獲得訪問權不是違法的，但使用該信息卻可能沒法。特定的技術是否合法取決於訪問和受權的方式。例如，下面舉出兩個可能會真實發生的例子：

一、  一家電子投票儀制造公司爲該儀器在一臺匿名 FTP 服務器上遺留了源代碼。我相信該公司是無意爲之，但我想爲了尋找安全漏洞而分析它。我能夠這樣作嗎？

二、  我是一名處於來自被紅色蠕蟲當面感染的殭屍機***網絡的系統管理員。我想要使用一種經過在殭屍機上安裝代碼的工具來制止殭屍機，這種工具經由與紅色蠕蟲相同的漏洞，採用漏洞利用手段來安裝代碼的。我能夠用此工具嗎？

 

「訪問或者使用計算機「的含義

未受權訪問（ unauthorized access ）的概念貌似很簡單。在現實世界中，當某人侵犯他人的土地或財產時，對財產的公認社會價值以及觀點使其相對清晰。但即便在這裏，對的規定也不是一條明確的界限。你能夠穿越某人的地產去按響門鈴。穿過私人領地的近路到達海灘，這些多是被容許的。若是商店在營業，即使沒有看到售貨員在店中也能夠進入。當咱們仍是孩子時，咱們在全部鄰居的院子裏玩耍，即便其中沒有他們本身的孩子。這些社會習俗隨着時間而發展，雖然還有意見不一樣的領域，但人們每每會理解這些習俗。

 

計算機的出現比土地晚太多，並且咱們對於網絡計算機有着更短的歷史、更少的有關權利和責任的共同見解。訪問或者使用計算機應爲應爲着什麼？端口掃描是訪問仍是使用？發送電子郵件、訪問或者某人訪問個人網頁算什麼？打個來講，你向其餘人的計算機發送電子郵件，但咱們不能說設置網頁得到了對瀏覽者的訪問。從技術上講，在每個例子中，兩臺網絡計算機都交換了電信號。那麼，二者其一，仍是二者都訪問計算機？

法律已經對訪問進行了較爲普遍的調查，其中一種就是以電信號的物理交換以及計算週期的使用爲基礎。本質上，每一次對接入網絡計算機的使用都是一次訪問。事例說明訪問計算機包括：

n  端口掃描

n  閱讀網頁

n  使用蜘蛛程序或者搜索機器人

n  發送電子郵件

n  對網絡上公佈的數據庫進行自動尋找

因爲基本上每一次與鏈接至網絡的計算機進行通訊都是訪問，因此，在合法與非法之間的區分界線就是用戶是否擁有許可或者受權。

 

[轉自《計算機安全超級工具集》 清華大學出版社引進 O'Reilly Publish 第一章 1.2小節]