德国法律定义黑客工具 引来安全专家不满

近日德国修改了有关网络犯罪的法案，将使用“黑客工具”列入了违法范围。这一规定立刻招致了全球安全领域的专家学者的一致批判，被认为是对网络安全的“无知和妨碍”。

制定这个法案的初衷是为了给那些侦听无线网络以及发动拒绝服务攻击的黑客更加明确的定罪。而之前只有针对政府机构和企业组织的攻击才会被认为违法。新的法案同时还认为任何“未经验证的用户绕过电脑的安全防护措施访问保密数据”的行为都是违法的。

为何安全领域的专家都感到不满呢？虽然这个法案可以更好地将那些黑客绳之以法，让网络上的黑客更少，但问题在于，根据这个规定，任何开发，安装以及散布“黑客工具”的行为都是被禁止的。

根据arstechnica.com的解释：“制作，开发，安装，或者散发以安全检测为主的软件都是被禁止的。”很明显，这是针对那些开发，发布和使用木马，恶意软件，蠕虫等程序的黑客的。但是这种解释的范围太大了，任何系统管理员的软件工具箱中与安全有关的软件都会涉及其中。Chaos Computer Club的发言人Andy Müller-Maguhn对于新的法规非常不满，他对arstechnica.com表示“这个法令就好像是因为锤子会伤人所以要禁止商店销售锤子一样。安全方面的研究现在已经成为了一个法律不可接受的领域了。”

如果法律禁止开发，散布和使用合法的安全工具，那么系统管理员和安全分析人员就无法利用工具评估系统的安全和追踪系统漏洞了。我们可以想像一下大部分可以用于合法的评估工作的安全工具都具有潜在的被违法利用的情况，这种软件的数量根本数不清。小到简单的端口检测工具，大到Nessus这样强大的检测工具都无法判断是合法还是非法。如果管理员连这样的工具都无法使用，那么系统和网络的安全将根本无法保证，黑客将最终胜利。而且这种新的立法根本无法阻止犯罪分子继续开发和使用恶意软件，并用此攻击系统。而守法的系统管理员将变得毫无还手之力。

当然，我相信这个问题最后会被澄清的，但是这也引发了一些有趣的疑问。比如有没有哪个系统管理员可以不凭借任何软件对系统进行攻击测试就可以确定系统的安全性？而法案的制定者能不能在法案制定前确实了解一下现实情况？