恶意公布、售卖计算机安全漏洞行为入罪化的思考
关键词: 计算机安全漏洞;黑客犯罪;帮助行为;网络犯罪;立法完善
内容提要: 恶意公布、售卖计算机安全漏洞,几乎是所有网络犯罪的源发行为。在网络犯罪已经逐渐开始形成“产业链”的今天,从源头上打击具有巨大社会危害性的恶意公布、售卖计算机安全漏洞行为,可以起到釜底抽薪的作用。在传统刑法视野中,恶意公布、售卖计算机安全漏洞往往会被评价为其他网络犯罪的帮助行为,因而造成了此类行为在定罪量刑上的天然依附性,造成了司法实践中难以定罪和量刑过低的司法困境。考察帮助行为在立法上进行实行犯化的具体模式,将恶意公布、售卖计算机安全漏洞行为加以独立入罪化是当务之急。
在互联网成为人们生活必备要素的新时代,互联网为我们的生活带来了前所未有的便利与进步,但是,由于互联网自身成为越来越重要的利益载体,因而不断地遭受着黑客们的攻击与破坏。近年来,计算机病毒类型呈现出激增状态,瑞星公司《2008年度中国大陆地区电脑病毒疫情&互联网安全报告》指出,2008年的病毒数量比2007年增长12倍以上。仅在2008年1月至10月,瑞星公司就截获新病毒样本930余万个,而2007年截获的新病毒样本有91万余个,2006年为53万余个,2005年为16万余个,2004年为6万余个{1}。计算机病毒类型的爆发式增长,严重冲击着网络安全。病毒的激增很大程度上依赖于病毒制造的产业化,而恶意公布甚至有偿出售计算机信息系统中的安全漏洞,则是病毒“产业链”中最关键的一环。瑞星公司《2008年度中国大陆地区电脑病毒疫情&互联网安全报告》指出:“从技术上讲,目前的病毒产业链条由四个部分组成:挖掘安全漏洞、制造网页木马、制造盗号木马、制造木马下载器(病毒下载者)。这些环节形成了分工明确、效率快捷的工业化‘生产线’。”由此可见,挖掘安全漏洞并加以恶意公布和售卖,已经成为病毒“产业链”中重要的一环。
一、安全漏洞及其可能引发的危害
计算机病毒之所以能够进入计算机信息系统,其根本原因就在于:计算机自身存在着一定的安全漏洞,这给了计算机病毒以可乘之机。
(一)安全漏洞的概念
顾名思义,安全漏洞,是指计算机信息系统在使用过程中存在的安全隐患。这些漏洞因何而生,需要进行专业上的探究。从专业角度讲,“漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统”{2}。由此可以看出,漏洞在本质上是一种缺陷。简单地进行类型划分,此种缺陷又可以细化为3个方面,即硬件缺陷、软件缺陷与协议缺陷。具体来说,硬件缺陷如在Intel penti-um芯片中存在的逻辑错误;软件缺陷如在Sendmail早期版本中的编程错误;协议缺陷如在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题。这些缺陷都可能被攻击者使用,威胁到系统安全,因而都可以认为是系统中存在的安全漏洞{2}。
(二)安全漏洞的性质
“安全漏洞”这一术语,单从表面上看,具有的一定的专业性,不易于理解。那么,应该如何理解安全漏洞的性质呢?微软中文网站有一段对安全漏洞进行定义的文字,它可以帮助理解安全漏洞的性质:“即使使用者在合理配置了产品的条件下,由于产品自身存在的缺陷,产品的运行可能被改变以产生非设计者预期的后果,并可最终导致安全性被破坏的问题,包括使用者系统被非法侵占、数据被非法访问并泄露,或系统拒绝服务等。我们将这些缺陷称为安全漏洞。”{3}这一定义将微软设计的软件称之为产品,而将微软设计的软件自身所具有的缺陷称之为安全漏洞。由此可见,存在于计算机中的安全漏洞,其本质即为产品缺陷。这种缺陷并非计算机软、硬件的制作者由于疏忽大意遗留下来的缺陷,而更多地属于一种在计算机软、硬件的设计过程中所不可避免的缺陷。
应当说,安全漏洞是计算机软、硬件产品所固有的缺陷。安全漏洞的固有性表现为,计算机软、硬件虽然经过研发人员的层层检测,但是,仍然避免不了存在安全漏洞。随着计算机用户的不断深入使用,软、硬件的漏洞会不断地被发现,这些漏洞虽然可以用供应商的软件补丁进行修补,但是,修补之后的系统又会引发新的漏洞。实际上,“安全漏洞的出现,是因为人们在对安全机制理论的具体实践中发生了错误,是意外出现的非正常情况。而在一切由人类实现的系统中都会不同程度的存在实现和设置上的各种潜在错误。因而在所有系统中必定存在某些安全漏洞。”{2}由此可见,安全漏洞的本质是产品缺陷,这种缺陷又具有固有性、隐蔽性、不可避免性。
(三)安全漏洞可能引发的危害
安全漏洞虽然是计算机软、硬件所固有的属性,但是,由于它具有隐蔽性,通常情况下不易被发现与利用。然而,安全漏洞一旦被别有用心的黑客们发现,黑客们就会利用这些安全漏洞,编写有针对性的攻击程序,非法进入用户的个人电脑进行攻击。具体而言,这些黑客的攻击可以分为两种类型,即破坏性攻击和窃密型攻击。破坏性攻击是指入侵者利用计算机软、硬件的安全漏洞,对目标计算机的运行程序进行破坏性攻击。这种攻击又可以细分为两类:一类为直接对计算机系统自身的破坏;一类为对网络服务的破坏。对计算机系统的破坏,例如,2000年前后出现的只能感染Windows 95/98操作系统的CIH病毒。[1]这种病毒即是一种利用系统的安全漏洞对计算机系统硬件进行破坏的恶性病毒。对网络服务的破坏,例如,最近几年频发的拒绝服务攻击(Dos)与分布式拒绝服务攻击(DDoS) {4},这种攻击的破坏性在于,利用网络协议(TCP协议)自身存在的缺陷,发送大量伪造的TCP连接请求,使被攻击方的资源耗尽,CPU满负荷或者内存不足,从而使被攻击的主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求,造成网络瘫痪。[2]窃密型攻击是指入侵者利用计算机配置的软件漏洞,向用户的计算机植入木马程序,以此盗取用户的私密信息,例如,网银帐号和密码、网游帐号和密码、秘密信息资料等。可以说,安全漏洞是黑客发动攻击所必须依赖的路径,安全漏洞一旦被黑客挖掘并恶意利用,将会对计算机用户产生不同程度的危害。
二、安全漏洞的挖掘及其后续处置行为的模式
安全漏洞是计算机软、硬件(产品)固有的、不可避免的缺陷,此种(产品)缺陷一旦被发现(挖掘),将成为黑客们进行攻击的导火索,引发不同程度的使网络受到威胁甚至是破坏的安全事件。
(一)关注和挖掘安全漏洞行为的主体
计算机软、硬件作为一种应用产品被研制开发出来之时,安全漏洞必然同时伴生。安全漏洞一旦被恶意利用,就能够给计算机用户的系统安全带来直接的威胁甚至是破坏,因此安全漏洞成为黑客与维护网络安全的专家们共同关注的问题。由此,挖掘安全漏洞的行为也因行为主体与行为动机的不同而具有了不一样的性质与地位。
关注安全漏洞的主体可以分为两大阵营:一方面为黑客;另一方面为维护网络安全的专家。黑客们关注和挖掘安全漏洞,是为了利用安全漏洞实施攻击;而维护网络安全的专家们关注和挖掘安全漏洞,是为了在黑客发现安全漏洞之前修复漏洞,使计算机软、硬件能够在安全的环境下使用,避免发生网络安全事件。另外,一些普通的计算机用户,在使用计算机的过程中,也可以在无意中发现安全漏洞。这一部分主体既可能成为黑客阵营的帮凶,也可能成为维护网络安全专家的同盟,其主体地位具有一定的特殊性。值得注意的是,实践中已经出现软、硬件厂商的研发人员出于各种目的而私下恶意公布、售卖安全漏洞的行为。
(二)安全漏洞在黑客“产业链”中的作用和地位
挖掘安全漏洞、恶意无偿公布和售卖安全漏洞已经成为黑客产业链中重要的一环。挖掘、发现安全漏洞是病毒制作、传播的重要前提,可以说,没有安全漏洞,就没有病毒传播的空间。挖掘安全漏洞在黑客“产业链”中具有至关重要的地位。在黑客行为的最初发展阶段,攻击过程一般都是由黑客个人完成的,即黑客个人自行发现计算机系统的安全漏洞,并针对此项安全漏洞编写病毒程序实施黑客攻击;但是,随着互联网的快速发展,黑客行为已经发展为一条庞大的具有明确分工的“产业链”。在这一条黑客“产业链”中,挖掘、发现安全漏洞已经成为独立的一环。一部分黑客专门负责寻找、挖掘、发现安全漏洞,再将发现的安全漏洞提供、售卖给负责编写病毒程序的黑客,甚至是恶意地将安全漏洞公布在互联网上,而“黑客组织购买了漏洞信息后,利用这些信息编写强大的新病毒”{1},最终实现黑客攻击。从理论上讲,计算机软、硬件的漏洞均可以被黑客挖掘利用,但是,目前被黑客利用最多的则是软件漏洞。计算机软件漏洞已经成为黑客们制造、传播病毒和实施黑客攻击的一个重要前提,“通过用户电脑系统中安装的软件存在的漏洞,病毒可以快速的在用户不知情的情况下进入互联网用户电脑”{1}。由此可见,挖掘、发现安全漏洞在黑客产业链中具有举足轻重的地位。如果没有对安全漏洞进行挖掘与发现,黑客们就无法制作可以侵入计算机系统的病毒程序,但是,如果没有对安全漏洞进行公布或者售卖,黑客“产业链”就难以扩大,其社会危害性也就无法加以无限度地扩张。
(三)安全漏洞被挖掘后的去向分析
安全漏洞被挖掘之后,它的去向可以分为3个部分:一部分为直接提供、售卖给黑客或黑客组织;另一部分为在网上公开披露;一部分为向软、硬件厂商报告。
就安全漏洞被直接提供给黑客或者黑客组织这一去向来说,这一部分挖掘安全漏洞的行为人按其对安全漏洞的处理方式可以划分为以下两种类型:第一种是挖掘、发现安全漏洞的黑客直接归属于某一黑客集团,仅为某一固定组织挖掘安全漏洞。这些挖掘安全漏洞的黑客作为黑客集团完成某项黑客攻击行为的参与者,专门为这一黑客集团挖掘安全漏洞,与黑客集团具有隶属协作关系;第二种是挖掘、发现安全漏洞的人员不归属于任何一个黑客集团,而专门以公开售卖安全漏洞为生。“有些黑客专门从系统上寻找漏洞,找到之后就可以到地下交易网站进行出售,最便宜的漏洞也可以卖到数百欧元,高的甚至可达五六千欧元。”{1}(如图1)在此种地下交易中,由于黑客组织先于软件厂商发现并利用了安全漏洞,致使新病毒在软件厂商提供有效的修复补丁之前,便能够在互联网上大量传播,造成危害严重的ODay[3]攻击。[4]另外,应当注意的是,这些售卖安全漏洞的人员,既可以是黑客,也可以是软、硬件厂商的研发人员。图1:安全漏洞名称和售卖价格表[5]
┌───────────────────┬───────────┬───────────────────┐
│Title │System │Bidderer(s) │
├───────────────────┼───────────┼───────────────────┤
│PostgreSQL │PostrgreSQL │Gaskets 600* │
│ │ │Mumps 700 *Gaskets 800* │
├───────────────────┼───────────┼───────────────────┤
│Safesri │Mac0SX │Saunders 300* │
├───────────────────┼───────────┼───────────────────┤
│C A Personal Firewall │Windows XP │Whitehome 300* │
├───────────────────┼───────────┼───────────────────┤
│php Shop #1 │Web application │Betchless 500* │
├───────────────────┼───────────┼───────────────────┤
│VideloLAN VLC │Windows XP │Froissart 700* │
├───────────────────┼───────────┼───────────────────┤
│Symantec Back up Exec │Wndows XP │Bandland 500* │
├───────────────────┼───────────┼───────────────────┤
│SAP MaxDB │I i.mc │nev sky 3000* │
├───────────────────┼───────────┼───────────────────┤
│Free Radius │Linz │folurvita 500* │
├───────────────────┼───────────┼───────────────────┤
│Reo Networks Helix Server │Linux │Whitehome 1000* │
├───────────────────┼───────────┼───────────────────┤
│Php Shop │Web application │Galap 200* │
├───────────────────┼───────────┼───────────────────┤
│Samba │FreeBSD │Groissart 500* │
├───────────────────┼───────────┼───────────────────┤
│Qaiktime │Windows XP │Froissart 500* │
├───────────────────┼───────────┼───────────────────┤
│Cl-AV │Linux │Valeorum 600* │
├───────────────────┼───────────┼───────────────────┤
│IBM DB2#2 │Windows 2000 │Valeorum 1050* │
├───────────────────┼───────────┼───────────────────┤
│IBM DB2 #1 │Windows 2000 │Valeomm 1050* │
├───────────────────┼───────────┼───────────────────┤
│SAP client wlner ability #2 │Windows XP │Valeomm 5100* │
└───────────────────┴───────────┴───────────────────┘
2.将安全漏洞报告直接在网络空间中加以公布
这种安全漏洞被公开披露的方式所产生的影响也有两方面:一方面,由于网络信息传播高速快捷,安全漏洞一旦被公开披露,黑客组织可以在最短时间内对安全漏洞加以利用,编写病毒程序,引发网络安全事件;另一方面,安全漏洞的公开披露,也加速了软件厂商研发安全漏洞补丁的进程,可以减少黑客攻击行为的威胁与危害。网络资源的共享性与即时性,使得安全漏洞在互联网中的公开披露具有相当大的影响力。一旦安全漏洞被公开披露,就只能寄希望于软件厂商的研发人员能够在黑客进行黑客攻击之前,编写出修复补丁,以避免爆发大规模的网络安全事件。
3.将安全漏洞报告给软件、硬件的生产厂商
就安全漏洞报告给软、硬件厂商这一去向来说,这一部分挖掘安全漏洞的行为人可以被分为两种类型:一是软、硬件厂商内部的研究工作人员。这部分研究人员专门负责检测和挖掘软、硬件厂商开发的软、硬件产品中的安全漏洞,研究人员发现漏洞后,再将此漏洞信息秘密报告给软、硬件厂商,厂商再针对漏洞信息,提供修复程序,通过自动更新或者发布公告的形式让用户安装最新版本,消除安全威胁{1};二是使用计算机的普通用户。这些普通用户没有为软、硬件厂商提供安全漏洞信息的职责,但是,他们却自愿地为软、硬件厂商提供他们发现的安全漏洞信息。以微软公司为例,该公司每年都要处理成千上万份安全漏洞报告{3}。在这些报告中,经过微软公司研发人员的仔细甄别,确实发现了存在于微软产品中的安全漏洞,使得微软公司可以在第一时间发布修复相关漏洞的更新信息,消除网络安全威胁。
三、恶意公布、售卖计算机安全漏洞行为的社会危害性
将安全漏洞报告给软件、硬件的生产厂商,是一种值得鼓励的合法行为,属于一种“善意”报告行为,此种行为不是刑法评价的对象。但应当思考的是,无论是黑客还是普通用户,也不论是软件、硬件的设计人员还是其他人员,如果在发现安全漏洞之后,将安全漏洞直接提供、售卖给黑客或者黑客组织,或者将安全漏洞报告直接在网络空间中加以恶意公布的,应当如何评价?
(一)利用安全漏洞的网络黑客行为的社会危害性
众所周知,计算机和网络已经深入我们生活的每个角落:每天数以亿计的计算机用户都在利用计算机存储、处理重要资料;几乎所有的公司企业都在使用计算机和网络处理每天的业务信息甚至商[3]May泛指所有在官方发布该作品之前或者当天。它主要涵盖了影视、软件、游戏、音乐、资料等方面,由一些特别小组以一定的格式打包发布的数码内容。网络安全意思上的May就是指一些没有公布补丁的漏洞,或者是还没有被设计发现的漏洞进行攻击的工具。由于这种利用漏洞进行攻击的程序对网络安全具有巨大威胁,因此ODay也成为黑客的最爱。业机密,而全球各大银行的金融结算和汇兑业务如果离开计算机和网络将会顿时瘫痪掉;几乎所有的政府部门都在不同程度地利用着计算机和网络,甚至利用其存储和处理重要的公民信息或者国家机密……可以说,计算机和网络已经承载了人类社会巨大的利益,这也注定了黑客对计算机和网络的攻击行为具有巨大的社会危害性。例如,“ 1995 -1996年,一个来自阿根廷的黑客利用国际网络进入美国一所大学的计算机系统,并由此进入美国海军研究实验室和其它国防设施、国家宇航局及洛斯阿拉莫斯国家实验室的计算机网络。这些系统中保存有飞机设计、雷达技术、卫星工程等敏感研究信息。而美海军无法确认究竟哪些信息被偷窃或泄漏出去,更无法估计损失究竟有多大。”{5}
现实中,黑客的网络攻击行为有很多种方式,例如,通过电子邮件进行攻击、利用网络系统漏洞进行攻击、进行解密攻击、利用后门软件进行攻击等,其中,利用计算机安全漏洞是重要的黑客攻击手段之一{6}。而利用安全漏洞实施的网络黑客行为又可以具体表现为两种形式:(1)直接对计算机系统和正常的网络连接造成损害,使计算机数据丢失、损坏等,或者使网络服务器瘫痪,网络连接中断;(2)通过黑客的攻击行为,非法获取或者篡改重要信息,或者非法控制计算机信息系统。
目前,大量存在着利用安全漏洞直接攻击、控制或者损害计算机系统和网络的黑客攻击。客观地讲,“电脑病毒中最疯狂的是什么呢?答案当属木马病毒。黑客们疯狂地利用漏洞向网民发起挂马攻击。”“近日,瑞星公司发布《2009年上半年中国大陆地区互联网安全报告》,上半年瑞星‘云安全’系统拦截到的挂马网页数累计达2.9亿个(第一季度为1.9亿,第二季度为1亿),共有11.2亿人次网民遭木马攻击,平均每天有622万余人次网民被挂马网站攻击。”{7}利用安全漏洞进行的攻击是极为普遍的,瑞星公司曾于2009年7月23日“向网民发出警告:Adobe公司的流行软件Flash爆出严重漏洞,该漏洞影响所有版本的Flash、PDF程序。据介绍,用户打开含有该漏洞的PDF文件以及Flash文件后,电脑会自动下载大量盗号木马。该漏洞是针对Flash以及含有Flash的PDF文档进行攻击,它不仅限于Windows系统、IE浏览器,而且linuxFirefox等操作系统及浏览器也可能遭到侵害。由于Flash技术在大量网页和文档中被应用,此漏洞危害极大”{7}。
相对来说,利用安全漏洞实施的非法获取、篡改数据的行为具有更大的社会危害性。黑客获得或者篡改的各种信息可能涉及个人的电子货币账户、银行账户、企业竞争资料、商业秘密甚至国防机密等,一旦非法使用或者篡改此类信息,将会对社会造成重大的损失。“目前,黑客已经变得越来越贪婪。病毒编写者不再单纯炫耀技术,获取经济利益几乎成为他们编写病毒的惟一目的,‘偷’、‘抢’、‘骗’已经成为目前计算机病毒的主要特征。”{8}例如,网购已经成为“假日新经济”的主要力量,而黑客们往往会在假期开始大面积作恶,用户一旦点击登录到含有恶意代码的网页时就会感染病毒,病毒通常会下载多个木乌程序,其中大部分是盗号木马,盗窃目标基本包括当前主流的网络游戏、网银账号密码等,从而给用户造成严重的经济损失{9}。2004年4月21日,台北市警方侦破首宗网络银行欺诈盗领案,案中的两名犯罪嫌疑人无意间发现玉山银行的支付系统eCoin (玉山银行合法发行的“网络新台币”,)“便利付”的漏洞,于是,通过购买大量信用卡资料,由网络转账从中盗领,初步估计银行损失数百万元{10}。2007年7月,一位名叫王立科的网络黑客偶尔发现“剑侠情缘网络版2”的系统存在漏洞,便在几个月内与人合谋成功盗取大量虚拟货币,然后低价盗卖,致使北京金山数字娱乐科技有限公司损失近700万元{11}。
一般来讲,利用计算机安全漏洞实施的单次黑客攻击行为就可能造成非常大的损害。而网络具有无限的延伸性,一个黑客可以面对数以亿计的计算机,因而一台计算机也往往要承受成千上万个黑客的威胁,因此出现的客观结果就是网络攻击行为横行。据统计,早在1995年,美国国防部系统的网络计算机在一年之内就遭受到25万次不同身份入侵者的袭击{5}。这一数据充分说明了利用安全漏洞实施黑客攻击行为的巨大社会危害性。而实际上,这种网络攻击行为泛滥的背后往往会存在着另外一种令人关注的行为,即恶意公布、售卖安全漏洞行为。
(二)恶意公布、售卖安全漏洞使黑客行为的危害性被无限放大
利用安全漏洞实施的黑客攻击行为具有极为巨大的社会危害性,但是,此种攻击行为得以实施的前提是已经挖掘、发现了相应的计算机和网络安全漏洞。如果由黑客亲自挖掘安全漏洞,然后再利用此类漏洞实施攻击,那么此种黑客攻击行为不仅周期长,而且攻击者也是很有限的,因为发现安全漏洞本身就具有一定的难度。而安全漏洞的恶意公布、售卖行为,尤其是恶意公布行为则使得黑客攻击的危害性无限放大。在传统的产业结构中,分工的细化和信息的共享必定产生数倍、数十倍的制造能力。同理,如果在网络上公开发布安全漏洞,则会因为网络的无限延伸性和黑客分工的日益细化,而使得针对于该漏洞的计算机病毒的制造和传播能力成千上万倍地剧增。
现实中,恶意售卖安全漏洞的行为时有发生,并日益显示出非常大的危害性。据世界著名的反病毒机构卡巴斯基实验室提供的消息,一名发现Windows Meta File(WMF,视窗中介文件格式)安全漏洞的俄罗斯黑客于2005年12月初在网上叫卖该安全漏洞后,在一周内就发现了上千条针对该漏洞的恶意代码,而安全机构直到12月27日才发现该漏洞{12}。相比之下,免费恶意公布安全漏洞行为的社会危害性会更大,因为没有交易行为的阻却,安全漏洞在网络上的传播会更加迅速、更加广泛,甚至导致数以万计的黑客利用公布的漏洞实施有针对性的网络攻击行为。据瑞星公司统计,“从2004年4月14日LSASS ( Local Security Authority Subsys-tem Service)溢出漏洞(MSO4-011)被公布到5月1日利用此漏洞进行破坏的震荡波病毒(Worm Sas-ser)出现仅仅用了短短17天”{13}。随着网络和计算机技术的发展,黑客攻击和恶意公布、售卖安全漏洞之间的联系越来越紧密,“ 2009年4月30日,国内安全研究者公布暴风影音ActiveX远程溢出漏洞。5月1日,网络上即出现了针对该漏洞的大量可疑恶意脚本。” “2009年2月,Adobe两款产品相继爆出零日漏洞(ODay),Adobe Acrobat和AdobeReader存在PDF零日漏洞。利用该漏洞的恶意代码和详细的技术分析,已经在互联网上被公开,并被广泛转载。通过被公开的技术资料,黑客能够轻易利用该漏洞传播各类恶意软件。”{14}
可见,此种恶意公布、售卖安全漏洞的行为使得黑客的攻击行为不仅在数量上无限地增多,而且在攻击的时间上也大幅度地提前,从而使黑客行为的社会危害性被无限地放大。而此种被无限放大后的社会危害性不仅凸显了恶意公布、售卖安全漏洞作为黑客攻击帮助行为的社会危害性,也使其具有了超过单次黑客行为的巨大社会危害性。此外,恶意公布、售卖安全漏洞行为的巨大社会危害性,还可以从另外一个侧面清晰地显现出来:研究人员公布的攻击代码或者安全漏洞正将更多的系统、数据库和人员置于“险地”。有的计算机安全专家表示,从被公布到被攻击之间的时间正在缩短,如果漏洞公布缺乏统一和规范的流程,研究行业很可能起到助长网络犯罪的作用{15}。也就是说,同时提出补救措施的善意公布安全漏洞的行为也会客观上促进网络犯罪的蔓延,就更不用说恶意公布、售卖安全漏洞对网络世界的巨大冲击了。
(三)恶意公布、售卖安全漏洞行为入罪化的必要性
恶意公布、售卖安全漏洞行为因为无限放大了黑客攻击行为而使其本身具有巨大的社会危害性,此种危害性必将随着计算机和网络在社会各个方面使用的更加普遍化和深入化而得到凸显,在这种形势下,应当将此类行为加以入罪化处置。
不可否认,恶意公布、售卖安全漏洞的行为客观上给相关硬件、软件的生产商指出了产品的缺陷,也因此会在客观上促进计算机和网络技术的发展,但是,此种轻微的积极作用与其巨大的社会危害性相比是微不足道的;况且还有善意公布安全漏洞的行为存在可以改进软、硬件的不足。甚至极端地说,假设只有一个或者若干个恶意行为人挖掘到相关安全漏洞,如果不向社会公众公布或者售卖,那么该漏洞就不成其为漏洞,就没有必要制定相关的安全补丁了。
综上所述,恶意公布、售卖安全漏洞行为的巨大社会危害性,往往比单次黑客攻击行为的要高无数倍,或者说单次黑客行为的社会危害性仅仅是其危害性的一部分,对于此种具有极大社会危害性的网络行为,民事手段甚至行政手段总是显得那么无能为力:(1)不仅民事赔偿没有惩罚的功效,而且当事人也面临着巨大的举证困难,因为要让当事人证明恶意公布、售卖安全漏洞行为与损害结果的因果关系是非常困难的;(2)恶意公布、售卖安全漏洞的行为人,要么是为了炫耀自己的技术能力,要么是为了获得巨大经济利益,而网络行为的隐蔽性使得行为人在面临这种难以被发觉而且相对较轻的行政处罚时没有丝毫怯意。因此,即使考虑到刑法的谦抑性,也必须动用刑罚的手段才能有效遏制此种具有巨大社会危害性的安全漏洞恶意公布、售卖行为。
四、恶意公布、售卖计算机安全漏洞行为的司法困境及其原因
根据现行的刑事立法,恶意公布、售卖安全漏洞行为并不构成单独的犯罪,追究其刑事责任的惟一可行途径,是将其作为后续网络犯罪行为的帮助行为加以处置。换句话,就是将其作为他人利用安全漏洞所实施网络犯罪的帮助犯进行定罪处罚,这就是现行刑事法律提供的人罪化途径。然而,即使这一处置模式,运用起来也是障碍重重。
(一)恶意公布、售卖安全漏洞行为的司法困境:不处理或者量刑过低
现实生活中,利用安全漏洞实施的网络黑客攻击行为十分常见,有些案件会因为其具有极大的社会危害性而引起人们的广泛关注。随着司法观念的发展,司法实践中已经有多起作为犯罪处理的案件。例如,2004年12月,祁建编制了一套截取“传奇”网络游戏用户虚拟设备的cmcc木马程序,并将该cmcc木马程序发送给被告人陈珲等人。陈珲为了窃取“传奇”网络游戏用户的虚拟装备进而牟取非法利益,雇佣曾涛非法入侵金华市公安局网吧管理系统的网站,将cmcc木马程序加入其中,致使大量在各网吧内上网的“传奇”网络游戏用户账号、密码被截取。陈珲利用截取的账号、密码大量盗取“传奇”网络游戏用户虚拟装备,并通过交易网站牟利。该案所盗取的网络游戏账号至少有十几万个,涉案金额近百万元,浙江省金华市婺城区人民法院认定各位被告人构成破坏计算机信息系统罪,系共同犯罪,其中判处的最长刑期为1年零6个月{16}。又如,2006年张乾、刘林和戴觐播3名“黑客”在异地利用系统漏洞,突破防火墙,在近2个月内先后侵入成都两家网络公司网站大肆盗取各类游戏点卡并低价卖出,获利达1.68万元。2007年,四川省成都市中级人民法院终审以盗窃罪判处张乾有期徒刑3年零6个月,刘林、戴觐播2人因有从轻情节则被分别判处有期徒刑3年、缓刑5年和有期徒刑2年零6个月,缓刑4年,并各处罚金2000元{17}。再如,“2008年初开始,张某与同伙利用‘黑客’手段,获取了重庆市两家科技公司的账号和密码,盗得久游币、联众币和魔兽点卡价值14万余元,并在淘宝网上低价出售,截至案发,共获利8911.2元,2009年重庆市九龙坡区人民法院一审判处‘黑客’张某有期徒刑10年零6个月,并处罚金5万元。”{18}
在上述3个案例中,司法机关都对相关的黑客行为进行了刑法评价,对涉案黑客判处了相应的刑罚,这是值得肯定的;但是,遗憾的是,都没有进一步去关注另外一个问题,即黑客实施网络攻击时利用的安全漏洞是从何而来的呢?这些安全漏洞不排除被恶意公布、售卖的可能性,那么对这种恶意公布、售卖安全漏洞的行为为什么不进行追根问底式的追查并且定罪处罚呢?可以说,在包括这3起案件在内的几乎所有计算机犯罪和网络犯罪案件中,对恶意公布、售卖安全漏洞的行为都没有作为犯罪处理,司法机关也是从来不对其予以关注和过问的。
但是,即使司法机关本着负责的态度通过各种努力或者完全是巧合般地找到了恶意公布、售卖安全漏洞的行为人,并且追究其刑事责任,那么也只能导致一种结果:把恶意公布、售卖安全漏洞的行为作为黑客攻击行为的帮助行为,对行为人按照黑客犯罪的从犯定罪量刑,进而从轻、减轻甚至免除处罚。本着朴素的正义观,我们会发现此种模式会导致明显的不公平:前面已经提到,恶意公布、售卖安全漏洞的行为与单次的黑客攻击行为相比具有超出无数倍的巨大社会危害性。单单通过某次黑客攻击行为对其进行“帮犯”型的刑法评价,是远远不够的。这不仅违背了罪刑相适应的刑法基本原则,而且对于打击恶意公布、售卖安全漏洞的恶性行为也是力不从心的。
(二)恶意公布、售卖安全漏洞行为司法困境的原因反思
既然现行刑事法律提供了对此类行为加以刑法评价的途径,为什么在司法实践中对于恶意公布、售卖安全漏洞这一具有巨大社会危害性的行为不进行处理,或者即使处理也量刑过低呢?笔者认为主要有以下原因:
1.不进行处理的原因之一:将其作为帮助行为有时无法被认定为共犯
