1.基本案情

2018年9月18日,Paras Jha、DaltonNorman与Josiah White三位黑客被判处五年缓刑,62周半的社区服务和没收127000美金犯罪财产。这三位找出了物联网中的漏洞,开发了著名的“botnet”僵尸病毒Mirai,成功控制了难以计数的摄像头等物联网设备,并用来对计算机系统发动攻击,导致访问流量飙升,乃至网络瘫痪。此类网络攻击导致著名的美国东部断网事件,一天之内引起三次大规模断网,击垮了推特、Netflix、Paypal等多家大流量公司,造成数十亿美金损失。同时,他们对外出租这项技术替自己的客户发动非法攻击,从中盈利。为了防止被抓,Paras Jha将Mirai的源代码在网络上公开,许多黑客纷纷利用这份源代码及其变体攻击全球的计算机系统,造成的影响和隐患至今难以根除。

2017年12月,FBI公开了三人的案卷,警方称三人对自己的犯罪事实供认不讳,悔罪表现良好,节省了大量司法资源,因此公诉方同意与三人进行控辩交易(Plea Bargain)。在此后的一年中,三人与FBI网络安全工作组合作,防御病毒攻击,寻找利用Mirai变体病毒攻击计算机的黑客,成了FBI团队的技术编外人员。FBI也承认,从三位黑客身上学到了很多知识,而他们获取轻量刑罚的条件之一就是继续为FBI效力。

2.简析

从法律上来说,对三名黑客的量刑是控辩交易的结果,三人触犯的法律是美国《计算机欺诈和滥用法》(Computer Fraud&Abuse Act),18 U.S.C. 1030 (a)(5)(A)款,明知地传输进程、信息、代码、或命令,有意对受到保护的计算机造成非法伤害(knowingly causes the transmission of a program, information, code, or command, and as a result of such conduct, intentionally causes damage without authorization, to a protected computer)。这项罪名的刑罚上限是10年监禁,25万美金罚款及两倍违法所得或造成的损失。因为三人有悔罪行为且对警方提供了大量帮助,在认罪的前提下,检方建议法庭依照美国量刑标准减少刑罚。因本案没有正式提起诉讼,法律程序全程由法官主导,没有陪审团参与、开庭以及证据开示,法官最终给出的刑罚想必是听取律师、公诉方、被告多方诉求之后得出的合理判罚。

如果此案发生在中国,三人实施了《刑法》第285条第一款、第三款禁止的“前期的(通过工具)入侵高校网络和信息系统”行为,和主要的“提供专门用于侵入、非法控制计算机信息系统的程序、工具”行为。由于该工具同时具有用于侵入和干扰的功能,故不排除适用刑法第286条第一款,即对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行。一旦认定违反刑法第286条第一款,后果特别严重的,刑罚就是五年以上有期徒刑。即使有悔罪和认罪的减刑,也不一定能够减到不用坐牢的缓刑。

值得一提的是,根据《网络安全法》,网络运营者具有对网络部署安全保护的义务,假使认定黑客的攻击断网与缺乏安全保护措施和管理有关,则网络运营者可能承担网络安全法乃至刑法第286条之一中“违反信息网络安全管理义务”的法律责任。

声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。