病毒勒索中的新法律问题
2017-06-07
5月13日,勒索病毒“WannaCry”大规模入侵全球电脑网络,包括中国、美国在内的多个国家相继“中招”。国内不少高校、加油站、火车站、自助终端、医院、政府办事终端都被此病毒感染。
病毒勒索来了,有哪些法律问题需要了解?
从中国法律视角看勒索病毒事件
赵成(刑法专长律师)
电脑勒索病毒爆发后,根据比特币交易平台公开的数据,截至5月15日上午,全球已有136个受害者分别缴纳了价值300美元的比特币赎金,幕后黑客组织共计收到近4万美元黑产。
就算以网络病毒的面目出现,敲诈勒索的本质并没有改变。根据中国刑法规定,敲诈勒索罪是指行为人以非法占有为目的,对受害人及其近亲属的人身、财产、名誉相威胁,致使受害人产生恐惧心理而处分财产或财产性权益的行为。
根据刑法第二百七十四条规定:敲诈勒索公私财物,数额较大或者多次敲诈勒索的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;数额巨大或者有其他严重情节的,处三年以上十年以下有期徒刑,并处罚金;数额特别巨大或者有其他特别严重情节的,处十年以上有期徒刑,并处罚金。
5月15日,美国白宫公开称,此次病毒勒索全球共有150个国家的30万台电脑受到感染,但联邦电脑系统没有受到影响。目前向该勒索软件支付的赎金不到7万美元(约合人民币49万元)。仅根据已获敲诈金额(不计未遂金额)核算,如在中国法律的框架下敲诈49万元人民币,或将获刑10年。以上刑期仅是根据敲诈勒索罪的勒索金额计算,除了勒索,本次黑客案例还牵涉危害公共安全等罪名。
刑法第115條规定,“以危险方法危害公共安全,尚未造成严重后果的,处三年以上十年以下有期徒刑;犯本罪致人重伤、死亡或者使公私财产遭受重大损失的,处十年以上有期徒刑、无期徒刑或者死刑”。
黑客全球勒索的行为,从涉案金额、范围、影响等各角度而言,都属可从重处理的范畴。
勒索病毒是黑客的“商业模式”
郑文(IT安全技术负责人)
勒索病毒本质不仅仅是一种网络病毒,而是一种“商业模式”,只要网络环境中有财产可被获取,就会出现无尽的“变种”。也就是说,黑客找到任何一种攻击方式,都可以拿来作为勒索工具,不一定是符合技术意义的病毒。
许多人认为勒索病毒是某种新生事物,实际上它却由来已久,最早可追溯至2013年,当时蠕虫病毒通过邮件、挂木马传播,2015年曾经出现蠕虫病毒爆发期。2016年3月,勒索病毒Locky愈演愈烈,中国国内相继有多家大中型企业、政府单位内部员工或高层领导的电脑、手机感染了该病毒,导致重要文件被加密,需要缴纳赎金才能恢复正常。
截至目前,全球已经有超过100个勒索病毒“家族”存在。有数据显示,仅其中一个勒索病毒CryptoWall家族的一个变种就曾经收到全球范围内23亿美元的赎金。
这次勒索病毒的爆发,黑客指定支付货币为比特币。针对没有比特币的被勒索者,他们附上了15种语言的“购买指引”,甚至还针对被感染者搞了“幸运抽奖”活动:针对半年没付款的被勒索者,被抽中就可以免费给你解除文档加密。这些貌似“盗亦有道”的行为让许多受害者感到啼笑皆非。
在传统黑客世界中,某些心怀不轨而技术高超的人物,通过畅游于网络和系统的漏洞、暗门之间,法律的边界在他们的世界里早已模糊。
但是,黑客的世界里也分“白帽”与“黑帽”。“白帽”黑客发现漏洞并不是为自己牟利,而是会公示提醒系统升级。他们采取的方法为模拟攻击尝试发现漏洞,这种模拟攻击大多发生在企业不知情的情况下。
360公司董事长周鸿祎此前认为:尽管“白帽”发现漏洞的初心是好的,但方法却是灰色的,很多企业接受不了。如此来看,即便是“好”黑客的行为也游走在法律灰色地带,何况于那些本就以牟利为目的的“坏”黑客呢。
可以说,本次勒索病毒给全世界提了个醒,网络安全与黑客之间的争斗未来可能更为激烈。
黑客的“罪与罚”
潘叶虞(IT技术总监)
美国的《计算机诈骗和滥用法案》(CFAA),明确规定严禁“未经授权的访问”以及“超越权限的访问”。而以上行为对于黑客却是呼吸一般的“必需”和“日常”。
美国联邦政府首次使用反黑客攻击法令是在1989年,即该法案颁布的3年后。被告是时任NSA美国国家计算机安全中心首席科学家的儿子,当时就读康奈尔大学的研究生Morris。后者被控创造并释放了后来臭名昭著的Morris蠕虫。Morris最终被判3年缓刑和400个小时的社区服务。如今,他已成为麻省理工的终身教授。
中国某知名黑客曾对“黑客是一种职业吗”一问如是回答:“黑客相当于习武之人。强盗、飞贼、保镖、捕快,这才是习武之人的各种职业。”
所以,世界究竟应该怎样对待黑客,尤其是那些所谓天才黑客?一起引发争议的判决曾使这样一位天才“陨落”:著名电脑黑客Aaron Swartz因向麻省理工校园的所有游客提供JSTOR(一个在线学术期刊系统)免费学术论文下载而遭到起诉。尽管JSTOR管理方无意发起起诉,但联邦检察官坚持诉诸法律。2013年1月,患抑郁症的Swartz于纽约自杀身亡,年仅26岁。他的死亡对于崇尚信息自由开放的互联网社区是一个重大损失。他的家人此后发表声明称:美国“罪恶的司法体系充斥着恐吓行为和无法无天的公诉人”。
谷歌新公司员工准则中有一条写道:应该做正确的事,遵守法律、行为端正并相互尊重。水能载舟亦能覆舟,黑客行为和法律之间,以法为先;如何判定黑客的罪名并进行量刑,也需要更为详细、完善的法律。
目前中国对黑客定罪量刑依据刑法第二百八十六条规定:对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或拘役;后果特别严重的,处五年以上有期徒刑。
勒索比特币,所以查不到黑客?
曾火(比特币从业者)
中国成为了此次病毒勒索的主要攻击地之一。5月15日,部分国内比特币交易平台发出提示:在监管整改下,当前比特币不支持提现,因此建议“受害者”不要在交易平台购买比特币支付赎金。
国内大型比特币交易平台OKCoin有关负责人此前声明:目前国内比特币交易平台不能提取比特币,若网友想购买比特币去支付赎金解封电脑,需要选择能够提币的交易所,不然会遭受二次损失。
黑客为什么选择比特币作为支付工具?这是由于比特币目前仍缺乏全球统一的有效监管,让黑客感觉使用比特币有“免受审查”的便利。
“匿名性”的确是比特币的特征之一,但比特币发掘和交易人的信息也并非不可查悉:首先,只要变现比特币便有迹可循,很多交易平台采用实名认证,一旦注册就会留下身份痕迹;其次,尽管比特币支付时不会传递身份信息,但支付时的IP地址是可查的。根据FBI已经处理的案例,除非使用者擅长防追踪技术,否则多数还是可以查到身份。对于调查机构来说,理论上只要黑客使用勒索到的比特币或者变现就能找到他们。
亚洲区域的比特币研究员Kolidat日前宣布,针对此次病毒勒索,调查机构目前已掌握了非常多数量的勒索地址,并且在持续追踪相关比特币的走向。
虽然调查机构有一定的信心,但我们还需要了解另一个事实,那就是2013年勒索病毒诞生以来,几乎从没有抓住过相关黑客。
对于网络时代的新型犯罪,尤其类似此次使用比特币为支付手段的犯罪,监管比特币市场仍是重中之重。2017年1月始,中国政府就对比特币市场开展了一系列调查、整顿专项活动。我认为,全球虚拟货币和虚拟财产的管理都应该进行这样的整顿,在技术上避免给黑客留下可乘之机。