如果有人公布了有关软件的缺陷和攻击方法,安全研究者和黑客可能将面临法律纠纷,这是最近一次会议上的话题。
斯坦福大学互联网与社会中心主任Jennifer Granick近日对参加Black Hat安全会议的与会者说,有些人可能触犯了数字千禧版权保护法或数世纪历史的普通法规定。
软件缺陷研究者躲避法律责任的可能办法之一就是要注意他们对外公布的消息。但是刑事辩护律师Granick说,你如何使推销你所公布的东西与你希望公布的东西一样重要?如果你发布信息是为了帮助别人,法律可能会区别对待。
美国宪法第一修正案通常认为,公布真实信息是合法的,但是一直以来,法院和立法者对这个总的原则制定了许多例外。如果公开的信息中包含了可运行的计算机代码,比如对安全缺陷的利用方法,法律对这种情况的规定甚至更不清楚。
法院在将计算机程序与更传统的信息公开形式做对比时需要更多时间,这是因为计算机代码中既有功能部分,也有说明性信息。Granick指出,计算机代码是电脑科学家之间的沟通方式,但是也有别的功能。作为一种工具,它的信息传播功能受到宪法第一修正案的保护。
Granick律师还指出,斯坦福大学法学院打算在今年10月召开一次会议,探讨公布软件安全缺陷时可能触犯的法律规定,这些规定包括数字千禧版权保护法、普通法中的过失侵权、州法律和刑法中关于犯罪共谋的规定、电信欺诈法和欧盟关于网络犯罪的法律。
去年,惠普公司已违反千禧数字版权保护法和电脑犯罪为由,起诉一个公开缺陷的研究者小组—他们公布了惠普Tru64 Unix操作系统缺陷的利用方法。后来在公众抗议声中,惠普撤消了诉讼。
