导语:SB 315反黑客法案正在等待最终的签署批准或否决,然而为抗议该糟糕的法案,黑客组织威胁佐治亚州州长,并入侵了乔治亚州教堂、大学以及餐馆网站。
草拟之初就曾引起舆论哗然的SB 315反黑客法案,目前正放在佐治亚州州长Nathan Deal的办公桌上,等待最终的签署批准或否决。而就在这个时候,一群黑客组成了“SB315”组织攻击了佐治亚州政府网站,并威胁一旦该法案正式签署成为法律,他们将对佐治亚州政府进行攻击报复。
目前尚不清楚为什么该黑客组织会坚信通过一场攻击示威就能说服州长。让其相信通过这项黑客法案是一个可怕的想法。
据《奥古斯塔纪事报(Augusta Chronicle)》报道称,该黑客组织首先入侵了佐治亚州奥古斯塔市,并篡改了奥古斯塔Calvary Baptist教堂的网站。但奥古斯塔市否认已被黑客入侵。之后不久,该黑客组织又宣称针对佐治亚州南方大学和两家奥古斯塔餐馆(Blue Sky Kitchen 和Soy Noodle House)的网站进行了攻击。据悉,该黑客组织成员大多来自佐治亚州,其攻击目的就是为了抗议佐治亚州计划签署的SB 315法案,并试图引发人们关注该法案实施后可能造成的意外后果。
该黑客组织是否真的窃取了奥古斯塔市的信息?
黑客组织SB315在发给《奥古斯塔纪事报》的信息中声称,他们已经入侵了奥古斯塔市,并附上了一系列电子邮件和密码凭证列表。奥古斯塔市的IT副主任对黑客给出的密码凭证进行了验证,结果发现列表是假的。没有任何密码信息是有效的,此外,有一半的电子邮件地址属于不再该城市工作的人所有。
SB315黑客组织发言人“augustadave”(化名)声称,该组织也有从其他城市窃取到的信息,如果佐治亚州政府仍然决意要通过SB 315法案,他们将会针对更大、更突出的目标实施攻击,目前的所有攻击活动都只是预警。
Calvary Baptist教堂的牧师确认称其网站确实遭到了黑客入侵。相关人士认为,此次针对Calvary Baptist教堂网站的篡改活动可能与电子前沿基金会(EFF)之间存在联系,因为EFF曾多次公开表示,并发布长篇声明反对SB 315法案,认为该法案可能会被用于针对向私营公司提供企业系统漏洞的合法安全研究人员。
对于该黑客组织发送给《奥古斯塔纪事报》的一系列电子邮件地址和密码列表,佐治亚州南方大学声称“其账户没有受到损害”,而且“信息并非来自我们的网站”。
而对于该黑客组织入侵的另外两家餐馆(Blue Sky Kitchen 和Soy Noodle House),研究人员发现,它们恰好属于同一所有人,且使用的网站设计师与Calvary Baptist教堂网站为同一人,结果很明显,这两家餐馆的网站也遭到了黑客篡改。
据悉,该黑客组织在这两家餐馆的网站上留下了与Calvary Baptist教堂网站相同的信息:“SB 315法案的缺陷并没有得到充分的报道”,这一言论同样指向EFF之前曾发布的一篇反对SB 315法案的声明。
《奥古斯塔纪事报》报道称,该黑客组织还表示,
直至本周,佐治亚州已经把自己定位为网络安全研究的中心,正在与知名的大学部门共同发展未来的安全专家。此外,在奥古斯塔市还创立了Hull McKnight佐治亚州创新和培训网络中心,尽管其被错误地列为进行了3500万美元的投资,但实际上现在针对该项目的投资总额已经超过了1亿美元。
报道继续写道,
想要迁址到佐治亚州的网络安全公司以及其他科技公司,最好三思而后行!因为就网络安全研究而言,这是一个如此敌对而又目光短浅的地方。SB 315是一项非常危险的法案,其影响将远远超出立法机构所能想象的范围,其中包括限制研究人员发现关键系统中存在的漏洞,因为其将任何入侵网站或违反ISP条款和条件(T&C)的人统统定义为犯罪。政府决策者是时候停下来听一下正在保护我们数据安全的网络安全专家的意见了,而不是满足立法者盲目地追求政治业绩。
佐治亚州的SB 315法案究竟是如何产生的?
据悉,SB 315法案产生的背景是这样的:当时,佐治亚州安全研究人员警告肯尼索州立大学(KSU),由于未能妥善保护设备,其选举中心使用的服务器容易遭受数据泄露,并且数百万佐治亚州选民记录已经暴露在外。结果一年后,另一位安全研究人员发现,这些暴露在外的选民数据仍然可以公开下载,因为KSU仍未完全解决该问题。
出于本能的保护反应,KSU将这两名发现该学院漏洞的研究人员上报给了FBI。之后,佐治亚州的总检察长开始要求制定相关法律,将“擅自访问”计算机系统的行为定义为刑事犯罪,即便该访问行为是由白帽子进行的研究项目,既不是恶意也不是有害的,仍然要被定义为犯罪。
由于这项法案,旨在检测漏洞、保护系统安全的研究人员和白帽子统统被定义为刑事犯罪,并可能将面临一年监禁和5000美元的罚款。此外,该法案还允许遭到入侵的公司进行“回击”。Tripwire公司首席技术官David Meltzer在致州长的一封信中写道:
SB 315的模糊定义可能会引发供应商的触膝反应,误导其向旨在发现漏洞并保护系统安全的研究人员发起诉讼,以掩盖其安全缺陷。
总而言之,这是一项非常糟糕的法案,但是它已经起草完成并正在等待最后的表决。数百名研究人员和学者已经指出该法案存在缺陷,但佐治亚州政府的决策是否会倾听这些意见尚未可知。