891222 劉大川
日前美國網路發生攻擊事件,全球網路安全意識再次提升,網路預警工具被重用,網路安全測試工具也受到重視,攻防尺度看法分歧。最近在美國有網路測試不違法判例,但國內也有人認為測試行為是騷擾、刺探,網路管理經常需要介入調解,縮短雙方認知差距。網路是新興領域,網路工具變化快速,網路應用不斷翻新,網路行為是否恰當,固然要參考既有法律,但也不能忽略網路習慣與共識。
網路安全爭議大多發生在公共場所認定上,有人認為只要以正常方式使用網路,能夠接觸到的資料均屬公開資訊,能夠接觸到的網路、網站均屬公共場所,資訊、網站、網路所有者若不認同,應該自行防護,讓一般使用者以普通工具無法接觸,或以適當方式明白宣示網路資訊、網站、網路非公共場所。但也有人持相反看法,資訊、網站、網路除非明白宣示應屬私密空間,即使不加防護,外人也不應擅自進入,連善意測試都有刺探隱私顧慮。
有人認為應該以網路測試是否造成實質損失判定合法性,同樣測試行為隨著頻率高低,可以從善意測試,變成惡意騷擾,變成刺探弱點,可以從毫無損失,變成致命攻擊。注重網路安全者,會在受到測試第一時間追蹤源頭,要求解釋原因,明確要求停止,視對方是否回應,決定風險高低,情況嚴重,會循網站管理體系逐級提出抗議。展示己方注重網站安全,警告對方不要輕舉妄動,知會對方網站管理體系,形成側面壓力,提高己方網站安全。
有人認為網路測試就像現實生活裡敲敲門而已,不造成損失,也沒有干擾,不必太嚴肅。但是急速敲門,敲個不停,敲大門不算,所有門窗一個不漏依序敲一遍,連不常出入的天窗、圍牆都照敲不誤,的確容易被誤認為在測試住戶反應,在找尋漏洞。現實生活中小偷會先行刺探,警察也會先行測試,民眾鮮少對警察、小偷產生誤判,其中分寸拿捏與關鍵值得推敲。網路免費測試工具很多,不少人拿來全面亂掃,頻率也不節制,其中更不乏利用測試工具找尋入侵對象當成攻擊跳板,尋找有漏洞網站拿來練習網路攻擊,因此網站被測試,不能僅以目前是否造成損失論斷,從刺探隱私角度看待似不為過。