今夏最熱門的話題非『Ciscogate』莫屬,一個前ISS研究人員Mike Lynn與Cisco公司間藕斷絲連的故事,他在研究中發現網路設備IOS作業系統的漏洞,並且在BlackHat研討會中公佈如何研究IOS的技巧,引發一連串洩漏系統漏洞責任與法律問題的激情討論。Jennifer Granick是Lynn的代表律師,她負責接下Lynn的案件以及後續可能衍生的其他訴訟案,該案針對洩漏研究內容的法律問題,目前已經進入民事訴訟程序。
這個案件透露什麼訊息呢?
當時網路上引發熱烈討論,大多數資安討論區中的意見,都認為Mike公開這些資訊,是有擔當的。當然,也有部分人認為,他並無釋出攻擊程式碼,因此算不上是洩漏。我認為這是個見人見智的問題,這些資訊對於真正有心人士而言,價值可不斐。
Cisco公司認為Lynn所公佈的資訊已經碰觸到營業秘密。究竟法律上對於這件事情的看法如何?
他們認為,Mike並未取得原始碼,他拿到的是已經編譯過的套件,而且也在關鍵時刻懸崖勒馬未洩漏關於營業秘密的資訊。營業秘密保護法是在於防止對於企業有經濟價值的機密資訊被員工洩漏,而Cisco則認為針對內部員工所取得的資訊,都必須視為機密,這就有點擴張解釋營業秘密的味道。
身為這個案件的辯護律師,你認為這件事是洩漏機密的說法合適嗎?
這個問題目前尚未明朗,端看外界如何去解讀。以下有幾點必須考慮:針對這個漏洞,目前是否已經有更新程式?多久之內會被釋出?再看看他公開的是哪些資訊?僅是驗證漏洞概念的程式碼(POC)?他是用什麼語言來表達的?重點是,對電腦而言,這些漏洞的安全資訊根本也算不上秘密,如果有人可以找到這個問題,勢必其他人也有相同的機會發現這個漏洞。
『Ciscogate』這個事件未來可能會有哪些發展?
在使用者同意聲明(EULA)中,未來是否會禁止用戶針對更新檔進行逆向工程檢驗的權利?這個問題的關鍵在於法律上對於營業秘密的解釋,公開多少資訊才必須要負責?實際上,聽眾從中又可以了解到多少呢,不論它是對於好人或心懷不軌者,以及現在沸沸揚揚的資訊安全討論區能夠提供多少訊息。這不過是冰山一角罷了!
關於Jennifer Granick更詳細的看法可參考www.searchsecurity.com/ismag