计算机***法规:不允许******”<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

对于***测试人员及安全研究人员,需要理解的最重要准则就是对计算机***的禁止。

 

在特定环境中,通过法律规则以及条例都禁止计算机***(通用法律规则指随着时间的推移而产生并且由法官制定,而法律条例是由立法机关颁布的成文规则 —— 两种法律具有同等效力)。在美国所有 50 个州中,联邦法律和法规都禁止不经授权或者未经允许使用计算机或者计算机网络

很多人非正式的将这种行为称之为对计算机的******( hacking )。虽然***行为已经意味着***计算机,但该术语还包含了计算机管理法规的法律以及道德复杂性。某些******合法并且有价值,而有些非法并且的破坏性的。由于这个原因,这里使用术语 计算机***computer trespass侵犯者trespasser ,或者 未授权访问unauthorized access ) 和***者attacker 表明合法与非法******之间的区别。

 

所有禁止计算机***的法规都具有两个基本部分,对用户而言,这两个部分都必须真实的非法发生。首先,该用户必须接入或者使用计算机。第二,该使用或访问必须是未经许可的。美国联邦法规对于损害有一条额外的规定。损害包含了诸如更改医疗记录或者妨碍用于司法管理用途的计算机系统的使用等非财产损害。损害还包含在一年期间内可共计至少 5000 美元的损失。在实际中,由于大部分计算机***调查在工作和时间上的花费就将大于五千美元,所有原告不需要花费太多力气证明其损失。

 

美国某些州立法律规定了犯罪行为,这意味着,***者可以由此被政府起诉,同时,如果被判有罪,将会入狱。美国某些州立法律以及联邦法律对计算机***行为既定义了刑事责任,又定义了民事责任,因此,计算机系统所有人将能够向***者提出经济赔偿要求。

 

***测试人员以及安全人研究人员发现了几种不经授权而获得对计算机访问权的方式。学习如何得到访问权不是违法的,但使用该信息却可能无法。特定的技术是否合法取决于访问和授权的方式。例如,下面举出两个可能会真实发生的例子:

1、  一家电子投票仪制造公司为该仪器在一台匿名 FTP 服务器上遗留了源代码。我相信该公司是无心为之,但我想为了寻找安全漏洞而分析它。我可以这样做吗?

2、  我是一名处于来自被红色蠕虫当面感染的僵尸机***网络的系统管理员。我想要使用一种通过在僵尸机上安装代码的工具来制止僵尸机,这种工具经由与红色蠕虫相同的漏洞,采用漏洞利用手段来安装代码的。我可以用此工具吗?

 

“访问或者使用计算机“的含义

未授权访问( unauthorized access )的概念貌似很简单。在现实世界中,当某人侵犯他人的土地或财产时,对财产的公认社会价值以及观点使其相对清晰。但即使在这里,对的规定也不是一条明确的界限。你可以穿越某人的地产去按响门铃。穿过私人领地的近路到达海滩,这些可能是被允许的。如果商店在营业,即便没有看到售货员在店中也可以进入。当我们还是孩子时,我们在所有邻居的院子里玩耍,即使其中没有他们自己的孩子。这些社会习俗随着时间而发展,虽然还有意见不同的领域,但人们往往会理解这些习俗。

 

计算机的出现比土地晚太多,而且我们对于网络计算机有着更短的历史、更少的有关权利和责任的共同看法。访问或者使用计算机应为应为着什么?端口扫描是访问还是使用?发送电子邮件、访问或者某人访问我的网页算什么?打个来说,你向其他人的计算机发送电子邮件,但我们不能说设置网页获得了对浏览者的访问。从技术上讲,在每一个例子中,两台网络计算机都交换了电信号。那么,两者其一,还是两者都访问计算机?

法律已经对访问进行了较为广泛的调查,其中一种就是以电信号的物理交换以及计算周期的使用为基础。本质上,每一次对接入网络计算机的使用都是一次访问。事例说明访问计算机包括:

n  端口扫描

n  阅读网页

n  使用蜘蛛程序或者搜索机器人

n  发送电子邮件

n  对网络上公布的数据库进行自动寻找

由于基本上每一次与连接至网络的计算机进行通信都是访问,所以,在合法与非法之间的区分界线就是用户是否拥有许可或者授权
 
[转自《计算机安全超级工具集》 清华大学出版社引进 O'Reilly Publish 第一章 1.2小节]