恶意公布、售卖计算机安全漏洞行为入罪化的思考
关键词: 计算机安全漏洞;黑客犯罪;帮助行为;网络犯罪;立法完善
内容提要: 恶意公布、售卖计算机安全漏洞,几乎是所有网络犯罪的源发行为。在网络犯罪已经逐渐开始形成“产业链”的今天,从源头上打击具有巨大社会危害性的恶意公布、售卖计算机安全漏洞行为,可以起到釜底抽薪的作用。在传统刑法视野中,恶意公布、售卖计算机安全漏洞往往会被评价为其他网络犯罪的帮助行为,因而造成了此类行为在定罪量刑上的天然依附性,造成了司法实践中难以定罪和量刑过低的司法困境。考察帮助行为在立法上进行实行犯化的具体模式,将恶意公布、售卖计算机安全漏洞行为加以独立入罪化是当务之急。
在互联网成为人们生活必备要素的新时代,互联网为我们的生活带来了前所未有的便利与进步,但是,由于互联网自身成为越来越重要的利益载体,因而不断地遭受着黑客们的攻击与破坏。近年来,计算机病毒类型呈现出激增状态,瑞星公司《2008年度中国大陆地区电脑病毒疫情&互联网安全报告》指出,2008年的病毒数量比2007年增长12倍以上。仅在2008年1月至10月,瑞星公司就截获新病毒样本930余万个,而2007年截获的新病毒样本有91万余个,2006年为53万余个,2005年为16万余个,2004年为6万余个{1}。计算机病毒类型的爆发式增长,严重冲击着网络安全。病毒的激增很大程度上依赖于病毒制造的产业化,而恶意公布甚至有偿出售计算机信息系统中的安全漏洞,则是病毒“产业链”中最关键的一环。瑞星公司《2008年度中国大陆地区电脑病毒疫情&互联网安全报告》指出:“从技术上讲,目前的病毒产业链条由四个部分组成:挖掘安全漏洞、制造网页木马、制造盗号木马、制造木马下载器(病毒下载者)。这些环节形成了分工明确、效率快捷的工业化‘生产线’。”由此可见,挖掘安全漏洞并加以恶意公布和售卖,已经成为病毒“产业链”中重要的一环。
一、安全漏洞及其可能引发的危害
计算机病毒之所以能够进入计算机信息系统,其根本原因就在于:计算机自身存在着一定的安全漏洞,这给了计算机病毒以可乘之机。
(一)安全漏洞的概念核心论文发表网
顾名思义,安全漏洞,是指计算机信息系统在使用过程中存在的安全隐患。这些漏洞因何而生,需要进行专业上的探究。从专业角度讲,“漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统”{2}。由此可以看出,漏洞在本质上是一种缺陷。简单地进行类型划分,此种缺陷又可以细化为3个方面,即硬件缺陷、软件缺陷与协议缺陷。具体来说,硬件缺陷如在Intel penti-um芯片中存在的逻辑错误;软件缺陷如在Sendmail早期版本中的编程错误;协议缺陷如在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题。这些缺陷都可能被攻击者使用,威胁到系统安全,因而都可以认为是系统中存在的安全漏洞{2}。
(二)安全漏洞的性质
“安全漏洞”这一术语,单从表面上看,具有的一定的专业性,不易于理解。那么,应该如何理解安全漏洞的性质呢?微软中文网站有一段对安全漏洞进行定义的文字,它可以帮助理解安全漏洞的性质:“即使使用者在合理配置了产品的条件下,由于产品自身存在的缺陷,产品的运行可能被改变以产生非设计者预期的后果,并可最终导致安全性被破坏的问题,包括使用者系统被非法侵占、数据被非法访问并泄露,或系统拒绝服务等。我们将这些缺陷称为安全漏洞。”{3}这一定义将微软设计的软件称之为产品,而将微软设计的软件自身所具有的缺陷称之为安全漏洞。由此可见,存在于计算机中的安全漏洞,其本质即为产品缺陷。这种缺陷并非计算机软、硬件的制作者由于疏忽大意遗留下来的缺陷,而更多地属于一种在计算机软、硬件的设计过程中所不可避免的缺陷。核心论文发表网
应当说,安全漏洞是计算机软、硬件产品所固有的缺陷。安全漏洞的固有性表现为,计算机软、硬件虽然经过研发人员的层层检测,但是,仍然避免不了存在安全漏洞。随着计算机用户的不断深入使用,软、硬件的漏洞会不断地被发现,这些漏洞虽然可以用供应商的软件补丁进行修补,但是,修补之后的系统又会引发新的漏洞。实际上,“安全漏洞的出现,是因为人们在对安全机制理论的具体实践中发生了错误,是意外出现的非正常情况。而在一切由人类实现的系统中都会不同程度的存在实现和设置上的各种潜在错误。因而在所有系统中必定存在某些安全漏洞。”{2}由此可见,安全漏洞的本质是产品缺陷,这种缺陷又具有固有性、隐蔽性、不可避免性。
(三)安全漏洞可能引发的危害核心论文发表网
安全漏洞虽然是计算机软、硬件所固有的属性,但是,由于它具有隐蔽性,通常情况下不易被发现与利用。然而,安全漏洞一旦被别有用心的黑客们发现,黑客们就会利用这些安全漏洞,编写有针对性的攻击程序,非法进入用户的个人电脑进行攻击。具体而言,这些黑客的攻击可以分为两种类型,即破坏性攻击和窃密型攻击。破坏性攻击是指入侵者利用计算机软、硬件的安全漏洞,对目标计算机的运行程序进行破坏性攻击。这种攻击又可以细分为两类:一类为直接对计算机系统自身的破坏;一类为对网络服务的破坏。对计算机系统的破坏,例如,2000年前后出现的只能感染Windows 95/98操作系统的CIH病毒。[1]这种病毒即是一种利用系统的安全漏洞对计算机系统硬件进行破坏的恶性病毒。对网络服务的破坏,例如,最近几年频发的拒绝服务攻击(Dos)与分布式拒绝服务攻击(DDoS) {4},这种攻击的破坏性在于,利用网络协议(TCP协议)自身存在的缺陷,发送大量伪造的TCP连接请求,使被攻击方的资源耗尽,CPU满负荷或者内存不足,从而使被攻击的主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求,造成网络瘫痪。[2]窃密型攻击是指入侵者利用计算机配置的软件漏洞,向用户的计算机植入木马程序,以此盗取用户的私密信息,例如,网银帐号和密码、网游帐号和密码、秘密信息资料等。可以说,安全漏洞是黑客发动攻击所必须依赖的路径,安全漏洞一旦被黑客挖掘并恶意利用,将会对计算机用户产生不同程度的危害。
二、安全漏洞的挖掘及其后续处置行为的模式核心论文发表网
安全漏洞是计算机软、硬件(产品)固有的、不可避免的缺陷,此种(产品)缺陷一旦被发现(挖掘),将成为黑客们进行攻击的导火索,引发不同程度的使网络受到威胁甚至是破坏的安全事件。
(一)关注和挖掘安全漏洞行为的主体核心论文发表网
计算机软、硬件作为一种应用产品被研制开发出来之时,安全漏洞必然同时伴生。安全漏洞一旦被恶意利用,就能够给计算机用户的系统安全带来直接的威胁甚至是破坏,因此安全漏洞成为黑客与维护网络安全的专家们共同关注的问题。由此,挖掘安全漏洞的行为也因行为主体与行为动机的不同而具有了不一样的性质与地位。
关注安全漏洞的主体可以分为两大阵营:一方面为黑客;另一方面为维护网络安全的专家。黑客们关注和挖掘安全漏洞,是为了利用安全漏洞实施攻击;而维护网络安全的专家们关注和挖掘安全漏洞,是为了在黑客发现安全漏洞之前修复漏洞,使计算机软、硬件能够在安全的环境下使用,避免发生网络安全事件。另外,一些普通的计算机用户,在使用计
本站论文资源均为来自网络转载,免费提供给广大作者参考,不进行任何赢利,如有版权问题,请联系管理员删除! 快速论文发表网(www.ksfbw.com)本中心和国内数百家期刊杂志社有良好的合作关系,可以帮客户代发论文投稿.
投稿邮箱:ksfbw@126.com
客服Q Q:
82702382
联系电话:15295038833
本站论文资源均为来自网络转载,免费提供给广大作者参考,不进行任何赢利,如有版权问题,请联系管理员删除!
文章评论
共有 0 位网友发表了评论