本周(080804至080810)信息安全威胁为低。
媒体方面,本周值得关注的新闻集中在网络犯罪方面。
网络犯罪:美国参议院批准网络犯罪法案;美国逮捕11名TJX案件疑犯;关注指数:高
新闻1:8月4日,美国参议院当天通过了一项网络犯罪法案,这项名为身份识别信息窃贼强制和赔偿法案,主要明确了身份信息失窃案件受害者的权利,受害者可以向当地的法院求助,从而获得与恢复个人信息所花费的时间和金钱相符的经济赔偿。此外,该项法案还明确规定了使用键盘记录工具或间谍软件攻击十台以上的计算机属于违法行为,而不再按照之前的惯例根据攻击所造成的损失进行判断;有组织的身份识别攻击行为也可以通过联邦法律进行起诉,而目前美国现行法律只有对发起身份识别攻击的个人进行起诉的规定。该法案已经提交到众议院进行审批。
分析:身份识别攻击,指的是黑客出于经济或其他目的,使用间谍软件或其他恶意软件发起攻击,并从企业的数据库和个人计算机上盗窃用户的账户信息、交易记录和隐私信息等。从2006年开始,身份识别攻击就成为网络犯罪和有组织犯罪最为常用的攻击方式,并直接引发一系列影响重大的身份识别攻击案件,英国政府丢失2500万公民的个人信息,以及TJX丢失4500多万顾客的私人及交易信息就是近两年影响最为巨大的两个身份识别攻击案件。
进入2008年以来,北美和欧洲地区再次发生了多起身份识别攻击案件,受到攻击的对象已经从零售业扩展到教育、交通等多个行业。美国众议院在4日通过这份网络犯罪法案,就是美国政府为打击愈演愈烈的身份识别攻击和有组织犯罪而实施的众多举措之一。作为世界首个专门针对身份识别攻击问题的网络犯罪法律,这份尚未实施的美国法案有几个值得注意的地方:对身份识别攻击犯罪的认定、司法部门的起诉范围和受害者权利。
犯罪认定一直是司法部门处理网络相关犯罪时最为棘手的问题,尤其是按照所有权原则进行犯罪认定时更是如此,该法案里面采取了选择新的认定方法,即使用间谍软件或其他恶意软件攻击十台及以上系统即为犯罪,这对较难评估损失的身份识别攻击可以说是一种较为方便的犯罪认定方法;针对目前网络犯罪有组织化的趋势,该法案也修改了目前美国现行法律中只处罚个人犯罪的规定;该法案还强化了对身份识别攻击受害者的保护和补偿措施,新增了受害人可以通过法律手段,索回因为恢复自己信用度而浪费的时间和经济上的损失的条款,这对身份识别攻击案件的受害者来说尤为重要。
笔者观点:这部新法案如果不出意外的话,将会很快就在美国实施,但实施的效果如何,以及新条款是否适应当前的环境,都只能在实践中得出结果。不过可以预见的是,在美国实施这样一部严格的法律之后,网络犯罪组织并不会停止在美国的活动,而是会采取更为隐蔽更为先进的技术手段,以躲避司法部门的打击,网络犯罪组织也会大规模的攻击美国之外的用户,因此,针对身份识别的跨国犯罪案件的发生将有可能进一步上升。另一方面,这部新法案的诸如犯罪认定、司法执行和受害者权利等新特点,在身份识别攻击逐渐开始在国内扩散的趋势下,也相当值得国内的法律相关部门参考。
新闻2:8月5号,美国司法部门在当天宣布,已经逮捕11名与TJX公司攻击案件有关的嫌疑人,包括三名美国人、三名乌克兰人、两名中国人、一名爱沙尼亚人和一名白俄罗斯人。这些嫌疑人涉嫌在2006至2007年间入侵美国零售商TJX公司的内部网络和数据库,并盗取4500多万的顾客信用卡号和个人信息。目前美国司法部门已经对嫌疑人提出起诉,如果该案件首犯Albert Gonzalez承认所有针对他的指控的话,将面临终身监禁的惩罚。
笔者观点:TJX案件目前还在调查和司法程序的过程中,从目前媒体所公开的消息来看,TJX案件不单是损失最大、影响范围最广的,而且也将会是调查持续时间最长、对犯罪嫌疑人判罚最为严重的身份识别攻击案件。美国司法部门同时公开的TJX案件调查中还揭露了身份识别攻击的流程:黑客入侵TJX的内部网络和数据库,下载顾客的信用卡号和个人信息,然后转手倒卖给美国国内和欧洲的洗钱集团,而洗钱集团则通过当地的ATM自动柜员机取出现金。身份识别攻击的跨国性和有组织性也在TJX案件中有所表现,身份识别犯罪的这些特点,都需要金融和司法机构加强关注。另外,TJX案件的发生、调查和起诉都是在美国制定身份识别攻击法案之前,美国相关机构对TJX案件各个环节中的处理措施,也值得其他尚未有相关法律的国家借鉴。