德國新法案讓安全專家深陷迷霧

German Security Professionals in the Mist
http://www.beskerming.com/commentary/2007/08/12/249/German_Security_Professionals_in_the_Mist

12 Aug. 2007

德國資訊安全專家抱持希望，在提議被改成 UK Computer Misuse Act（英國電腦濫用法案）後，Police and Justice Act（警察與司法法案）能夠暫緩修正。這是因為一個事實，如果某些條款被制定頒佈，（http://p10.hostingprod.com/@spyblog.org.uk/blog/2006/10/police_and_justice_bill_dual_u.html）它將有效地讓整個英國的資訊安全產業變成罪犯。

這個希望相當重要，因為在今年初，德國政府引入相似的語言風格到電腦犯罪法的 Section 202c StGB，光是持有（創造、取得、或提供存取 [如下載]、販賣、出產、散佈或其它方式使他人能夠允許存取）那些工具，如 John, Kismet, KisMAC, Nessus, nmap 以及利用 Google 使其更有效力（http://www.google.com/search?q=1337+Hacking），都將成為罪犯。儘管盡力看透這層「關於改變是否會被納入被提議法案」的迷霧，今日它還是成為進展中的立法。

該法案之下的懲罰包括 12 個月以上的牢獄之災、罰款、還可能與恐怖主義相關活動產生潛在關連（至少按照該法 202a 與 202b 款）。

儘管某些觀察者害怕在不久的將來會出現（資安版的）「水晶之夜（Kristallnacht，指 1938 年德國猶太教堂被摧毀，猶太人被關進集中營的那一晚，因滿地碎玻璃而有此謔稱）」，而且將有濫用法律的可能（例如美國的 DMCA），對於德國資訊安全工作與研究的整體影響，再也沒有比這個更大。

這不表示改變尚未發生。已經有為數不少與安全相關的產品與團體，不是關閉商店，就是遷居到自在方便的國家，例如荷蘭。

KisMAC（http://www.kismac.de/），一種 OS X 無線網路發掘工具，已經終止開發，並將重新在荷蘭出沒。這是第一種以公開方式突然終止生產的工具。

Phenoelit（http://www.phenoelit.de/202/202.html）也關閉德國站，雖然有可能在其他地點找到（http://www.phenoelit-us.org/）它們的線上內容。

那些懂德文的人，可以看看來自於 CCC（http://www.ccc.de/）的回應，它們目前正在柏林附近舉辦 Chaos Communications Camp 2007（http://events.ccc.de/camp/2007/Intro/，想想看 DefCon，不過是在有帳篷的野地中）。CCC 已經決定，一但德國政府採取這種措施，就表示將不在有更多安全問題面對電腦使用者（譯註：就是放給它爛的意思）。

Stefan Esser，著名的 PHP Security 行動主義者，已撤回（http://blog.php-security.org/archives/91-MOPB-Exploits-taken-down.html）所有原本附屬在 Month of PHP Bugs（http://www.php-security.org/）計畫上的 exploit code。一如 Stefan 所指出：

"該法案並不影響我們要報告與通知安全弱點與如何利用它們的言論自由。
我們只是不被允許創造／散佈／使用可能會被用來當作「hacking tools」的軟體。"

猶如許多其他的立法機構，企圖要來處理現實或感知的、基於電腦活動的問題，這個法案無法對
現實負責。其他人已指出，只有那些從事非法活動的人，才是使用「hacking tools」（譯註：想想看，水果刀在犯案之後才會成為「兇器」）。合法的安全產業是用（這些工具）來進行「診斷」與其他有益效用。看起來這項法案有讓合法研究變得更加困難的非預期後果，只會威嚇合法研究者，並且讓攻擊者更投機取巧。

嚴重犯罪將會繼續發生，伴隨著他們的惡意活動，或許還會更加放肆 -- 在知識中獲得安全，德國政府只是讓它們有點更難被發現。

※ 相關報導：

＊ FBI 遠端安裝間諜軟體辦案？
＊ 「流氓」DNS 的數量持續攀升
＊ 『隱私國際』公佈 2007 年報告