企业被黑客攻击，“怼回去”合法吗？

“我的电脑被黑了，进行反击合法吗？”这个问题现在成为了主动防御概念中的焦点问题。

美国现有《计算机欺诈与滥用法》（CFAA，从1986年实施的CFAA禁止个人使用如防病毒软件等预防措施之外的防御行动）规定个人只能以防病毒软件进行被动防御。但美国议员Tom Graves前几个月提出了《主动网络防御明确法案(Active Cyber Defense Certainty Act，ACDC)》，该法案将允许网络攻击受害者在受到攻击时能够反击。法案中提到，企业若要保证合法，在反击前要通知FBI国家网络调查联合任务部队以下信息：

被攻击的细节

企业会如何保护入侵的证据

企业打算如何避免攻击到未参与黑客行动的第三方系统

最近国外媒体SecurityAffairs对此发表评论文章，文章作者认为该修正案过于模糊，如果施行，则可能给法庭审判造成困扰。除此之外，作者还提出了以下对该法案的质疑，比如说攻击溯源本来就不容易，攻防双方资源规模并不对等。这些或许是值得立法者深思的。

问题1：网络攻击的归属问题

早期DoS防范时，大家普遍使用的方法是丢弃所有来自发动攻击的网络流量。但是黑客可以轻易把攻击伪装成某个无关的第三方，这样的话第三方就受到影响了。比如，A公司和B公司经常有生意往来。突然间某个黑客向B公司发送了大量流量，流量看起来像是来自A公司。B公司的防火墙因此屏蔽了所有来自A公司的流量。但是这样的话两个公司的正常流量也中断了。因此这样的防御方式实际上起到了更糟糕的结果，甚至比被DoS还糟糕，因此我们必须采用其他的方法。

假设这不是单纯的DoS流量，而是表面上A公司黑了B公司，B公司转而报复，黑了A公司呢？修正案中没有提到让受害者提供对于攻击归属的证明或者证据。我们知道要对攻击进行溯源是很困难的。2014年索尼公司被黑，大家都认为是朝鲜干的，现在过去好几年了，多国政府都努力查明，但是攻击的确切来源依然不明确。

 “原本我们可以根据武器来判断敌人。你看到一辆坦克，就知道一定是军队的，因为只有军队买得起。网络世界里就不一样了。网络空间里技术的传播很广，人们可能拥有同样的武器：黑客、政治黑客、国家间谍、军队甚至是网络恐怖分子。”Bruce Schneier在2015年说过。

试想索尼时间中这么多公司组织都无法查明攻击来源，一家公司怎么可能查出真正的幕后黑手？

问题2：资源的规模

企业拥有的资源其实并不多。企业的安全建设受限于道德、预算、开发的优先级等，但犯罪分子没有限制，并且即便他们本身的水平不够，也可以找一些黑客服务来进行攻击，企业是没有办法抗衡的。我们看看僵尸网络的规模就知道，在网络世界中，坏人的资源更多，互联网是不对称的。

问题3：如何避免伤及无辜

ACDC法案保证企业“能够防御欺诈或者其他的活动”，但却没有提到社会责任。想像一下黑客黑了某个共享的服务器进行攻击，受到攻击的组织进行反击，势必就会影响到使用共享服务器的其他公司。

问题4：法案的意义

如果进行反击，企业希望达成的结果是什么？如果企业感染了勒索病毒，丢失了资料，即便攻击了“敌人”，这些数据也不会回来，并且我们假设企业能够识别出攻击的真实来源。从投资者的角度来看，你的数据还是丢了，而且还付出了额外的时间和金钱成本。如果是一些数据被窃取，通过黑客手段进行反击，即便删除了攻击者的数据也不能保证他们没有其他备份。

我们目前是靠政府执法部门追查网络攻击事件的，但很难达成满意的效果。但是连大公司都无法追查的网络攻击怎么能指望这些小公司会成功？反击能够让谁获益？这些问题令人摸不着头脑，更何况反击还可能会波及与攻击事件无关的人。

乔治亚理工学院信息安全和隐私协会分析师Yacin Nadji认为：

“更好的办法是提高执法部门官员的能力，包括研究自动化溯源攻击、估算经济损失、加快没收涉案计算机的速度。而允许‘用黑客手段反击’的法案从长远来看只会增加麻烦。”