查看原文
其他

泰和泰研析丨互联网威胁情报平台自动溯源功能误判引发的法律问题研究

兰珊 泰和泰北京办公室 2022-06-28



第六个“全民国家安全教育日”和红蓝对抗行动刚结束,信息(网络)安全圈内发生的一件趣事,引起了我的注意。到底是什么事件,我们先来看看此次事件的过程。




第一部分 事件回顾


2021/04/13

A公司云沙箱上线了测试自动化溯源模块。


2021/04/13


A公司云沙箱收到一例用户提交的样本文件,其检测结果显示为“疑似XX攻击队ZPY的木马HTTP通信“。

2021/04/14

上午11:27时


A公司云沙箱下线该自动化溯源功能模块。


2021/04/20


B公司的微信公众号上发布了一篇推文《关于“疑似XX攻击队ZPY的木马HTTP”钓鱼邮件事件的澄清函》,其大致内容为:B公司安全应急响应中心接到大量客户反馈,声称收到包含恶意程序的钓鱼邮件,该钓鱼邮件附件的压缩包内含”五一假日通知.exe、list 1.jpg、list 2.jpg、list 3.jpg”等文件。通过某步云沙箱查询,结果提示为“疑似XX攻击队ZPY的木马HTTP”。(由于业界通常习惯将B公司简称为XX,两者容易被视为同一主体。)并郑重声明:1、此次钓鱼邮件事件与B公司无关,并非其员工所为;2、通过分析比对,该钓鱼邮件所携带的恶意样本制作、使用及传播行为与其均没有任何关系,某步云沙箱判断机制存在重大问题。

2021/04/21


A公司在其微信公众号上发布的《关于A公司云沙箱一起溯源误判事件的声明》。其大致内容为,A公司云沙箱4月13日上线的测试自动化溯源模块,由于自动溯源功能的部分检测逻辑存在瑕疵,错误归因出现了误判,才将一例用户提交的样本文件判定为“疑似XX攻击队ZPY的木马HTTP通信”。A公司云沙箱在4月14日就发现了该瑕疵下线了该功能,经分析师和产品团队修复后于4月19日重新上线该功能。并声称增加了正确的攻击者归因并取得Red Team兄弟的确认,将对该样本文件的自动溯源判定结果修改为“疑似重保木马http通信“。



二部事件分析点评


根据A公司和B公司的澄清、声明可知,此次事件主要是由A公司4月13日上线的自动化溯源模块所引发。A公司在其声明中虽然承认是“其部分检测逻辑存在瑕疵”,但并未明确解释其瑕疵是什么。笔者不禁想,是什么样的瑕疵能让一个算法得出“疑似XX攻击队”的结果呢?这到底是算法得出的结果,还是人为的结果?A公司的声明中还提到他们“得到了Red Team的兄弟确认”,难道是有Red Team的兄弟针对A公司的算法做了针对性设计?又或者是有Red Team的兄弟直接篡改了A公司的自动分析结果?笔者作为一个前圈内的非技术大牛人士,没有溯源的技术能力,仅能靠着自己有限的技术知识进行大胆猜测,所有观点仅供学术讨论,若有不妥,请各位指正。


此外,笔者作为一名专注于“科技+法律+安全+金融”的律师,除了对本次事件的具体过程感兴趣外,对其中所涉及到的法律问题亦感到兴奋。随着近年来云计算、大数据、AI等技术的飞速发展,由于法律的滞后性,对于许多新技术引发的问题都还未有明确规定,这也引发了法律界人士的对该类问题的研究热。笔者作为前圈内人士,当然难以免俗,一看到A公司和B公司的澄清和声明,不免进行一番粗浅的分析。从整体上来看,笔者认为,此次事件主要涉及的法律问题有以下几个:


1. A公司云沙箱的法律性质

安全圈的从业人员都知道云沙箱又称恶意软件分析平台,是一款帮助安全运营人员分析可疑文件的工具。一是因为云沙箱的别称为“平台“,二是圈内人士对A公司的了解亦为一个互联网威胁情报“平台”,所以许多人认为它的法律性质就是近年来频繁出现在各大新闻中的“互联网平台”,也是属于网络服务提供者,可以适用“避风港原则”。就连笔者发现此次事件后,与圈内人士进行沟通,圈内人士表示A公司很可能会以“避风港原则”来进行抗辩。

但这个“平台“就是法律意义上的“平台”吗?笔者认为,并不能因为一个公司叫“平台”就真的是法律意义上的“平台”,需要具体案件具体分析

“避风港原则”源于1998年美国《新千年数字版权法》(DMCA),又称为“通知-删除”原则。根据DMCA第512条给网络服务提供者(ISP)的定义为:网络服务提供者使用信息定位功能,包括目录、索引、超文本链接、在先网络存储,如其链接、存储的内容涉嫌侵权,在可以证明其无恶意其及时予以删除侵权链接及内容的情况下,网络服务提供者不用承担责任。我国于2006年在《信息网络传播权保护条例》中引入了该原则,之后出台的《民法典》、《电子商务法》、《消费者权益保护法》亦有相关规定。

从“避风港原则”的前世今生来看,它主要适用于仅提供信息定位功能的网络服务提供者。笔者在浏览了A公司的网站后,就其网站提供的服务来看,不同的服务内容具有不同的法律性质。其首页的情报信息与普通的贴吧、社区类网站类似,属于内容分享服务可适用于“避风港原则”;但此次事件中涉及到的“自动化溯源功能模块”其不仅仅是数据的传输、分发,其本质是对数据进行深加工、关联分析,与版权法“避风港原则”适用范围的信息定位功能相差甚远。因此,笔者认为,此次事件中的涉事云沙箱,尤其是其“自动溯源功能模块”不属于法律意义上的“互联网平台”,不能适用“避风港原则”。


2. A公司的行为是否违反《反不正当竞争法》

根据A公司的声明,其自称“得到了Red Team的兄弟确认”,但并未给出任何相关的证据。笔者认为,根据《反不正当竞争法》的相关规定,若此次事件不是Red Team的兄弟行为所致,那么A公司的行为涉嫌不正当竞争。

具体的不正当竞争行为,从B公司的澄清函来看,B公司认为A公司云沙箱的结果是希望将B公司与另一家C公司的企业进行混淆。但笔者不这么认为,理由如下:


01

“C公司”作为一家专注于汽车行业IT解决方案的公司并没有“攻击队”这样的组织,而在信息(网络)安全这个特定的领域中,行业内人士都知道“B公司”有攻防技术研究实验室这样组织。

02

信息(网络)安全这个特定的领域内,“XX”作为B公司集团内所有公司的简称,享有相当的知名度,具有识别性。

那么,“XX”+“攻击队”的组合显然已经明确指向了“B公司”这家在网络安全领域中具有相当知名度的集团公司。因此,笔者认为,此次事件中A公司的行为所涉嫌的恶意竞争行为应是商业诋毁

《反不正当竞争法》第11条规定“经营者不得编造、传播虚假信息或者误导性信息,损害竞争对手的商业信誉、商品声誉。”具体而言,传统的司法实践中,商业诋毁的构成要件为:


一是当事人之间存在竞争关系。

此处的竞争关系在传统学界有狭义和广义之争,狭义的竞争关系认为需要提供的商品或服务具有同质性或相互替代性的经营者之间同业竞争关系;广义的竞争关系则认为非同业经营者的经营行为之间存在损害与被损害的关系即可。但笔者认为,根据《反不正当竞争法》第2条的规定“本法所称的不正当竞争,是指经营者违反本法的规定,损害其他经营者合法权益,扰乱社会经济秩序的行为”,立法主要规制的是不正当竞争行为,并没有将竞争关系,尤其是同业竞争关系的存在作为构成不正当竞争行为的前提。尤其是在互联网的环境下,行业边界更趋模糊,将竞争关系作为不正当竞争行为的构成要件不利于保护正常的市场竞争秩序。而具体到此次事件中,即使采用传统的观点,A公司作为威胁情报社区平台所提供的自动溯源功能模块与B公司公司的威胁情报中心安全服务中的溯源服务显然属于具有相互替代性,二者之间具有竞争关系。

二是行为人具有编造、传播虚假信息或误导性信息的行为。

根据A公司云沙箱的自动化溯源模块判定的结果及其自己发布的声明可知,A公司4月13日对于此事件中的攻击样本的分析判定是错误的,该攻击样本与“XX攻击队”即B公司无任何关系,显然属于编造、传播了虚假信息。

三是行为人的行为已经或者可能造成相对人商业商誉或商品声誉的损害。

根据B公司的澄清函来看,由于A公司云沙的自动溯源功能分析结果,B公司已经接到了客户的大量反馈,若B公司能提供出相关的证据来证实该情况的真实发生,那么可以认定其商业信誉已经受到了明显的损害。

四是行为人具有主观故意。

在传统的司法实践中,一般要求行为人是恶意的,且需要受害者承担举证责任。笔者认为,在互联网环境下,在涉及算法的案件中,采用传统的举证责任制度不利于受害者的维权。在现行的法律法规制度下,算法还未纳入其规制范围,尚未有哪家公司公开自己的算法,那么作为受害者要进行取证的难度是难上加难。因此,笔者认为,在互联网环境下,由于受害者所处的弱势地位,法律对于涉及算法的案件,其举证责任应该进行倒置,由使用算法的主体来证明其没有恶意。具体到本次事件中,A公司是否具有恶意,需要根据进一步的证明来进行分析。

综上,笔者认为,在此次的事件中,A公司云沙箱的行为是否构成商业诋毁,还需要进一步的证据来进行分析。


3. 关于算法规制

随着人工智能技术发展,算法越来越多的进入了人们的日常生活,被用于决策或者辅助决策,同时也带来了诸多挑战,此次事件即是一个典型的案例。纵观全球,尚未有哪个国家对算法的规制有非常明确的规定,这也吸引了越来越多的学者开始对算法的规制进行研究。


就算法的规制方式上来看,学者们主要提出了算法公开、个人数据赋权、反算法歧视、建立专家审查制度等几种方式。但从此次事件来看,云沙箱作为安全运营的辅助工具,显然不适合适用这4种规制方式。理由如下:


01

安全工作的核心就是“一攻一防”,若将算法公开,对于攻击者来讲还有什么难度呢?就算有难度,难度也大大降低。

02

攻击样本文件根据其特征来看显然不属于个人数据,不可以进行赋权。

03

云沙箱的自动溯源功能的目标是要找到恶意文件的来源,并不关心歧视与否,若存在结果错误即该产品存在问题。

04

对于安全类产品,尤其是自动溯源类产品,若采用专家审查制度,多久审查一次合适?所为“道高一尺,魔高一丈”,安全的攻防技术是日新月异的,若不频繁审查,该制度的作用如何发挥?

笔者认为,除了法律学者认为的算法界定、算法可规制性的证明、算法规制的方法等问题外,我们还有许多可以努力的方向。例如,不同的领域适用不同的规制方法,对于某些适合算法公开的领域就算法公开,对于某些适合建立专家审查制度的就适用专家审查制度,无需非要等到研究出普适性的方法才进行规制



结 语


虽然自2016年《网络安全法》出台以来,安全行业算是从幕后走向了台前,慢慢为公众、资本所知,也引起了法律界人士对相关问题的研究热。但无论是普通公民,还是法律界人士,对安全的了解多聚焦于个人信息保护、数据安全。这除了与普通人的安全意识和技术知识水平相关,也与安全行业与普通人生活有较大距离相关。例如,本次事件中提到的钓鱼邮件,作为普通人收到钓鱼邮件,可能第一反应想到的是诈骗,怎么也不可能想到在安全行业里还有一个红蓝对抗行动。


“只有相对安全,没有绝对的安全”。在我国建设网络强国的大背景下,如何做好网络安全工作是每一个安全从业人士的任务,也是我们每一个公民的任务。首先,安全界的人士应持之以恒的突破技术,努力使我国的网络安全技术在国际上保持领先;其次,法律界人士应加强对相关法律问题的研究,早日提出合理的法律规制方案,使的新技术、算法领域不再是法外之地;最后,作为一个普通公民,也应加强安全知识学习,提升安全意识




相关术语介绍


红蓝对抗:根据《网络安全法》其第三十四条第(四)款的规定,关键信息基础设施的运营者应制定网络安全事件应急预案,并定期进行演练。自2016年起,相关部门每年均会开展网络安全攻防演习。参与演习的单位分为红队和蓝队两方,两队一攻一守。


钓鱼邮件:指利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。[1]

[1]参见百度百科,链接地址:https://baike.baidu.com/item/钓鱼邮件


沙箱:Sandboxie(又叫沙箱、沙盘)即是一个虚拟系统程序,允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。在网络安全中,沙箱指在隔离环境中,用以测试不受信任的文件或应用程序等行为的工具。[2]

[2]参见百度百科,链接地址:https://baike.baidu.com/item/沙箱/393318


云沙箱:又称恶意软件分析平台,是一款帮助安全运营人员分析可疑文件的工具。


网络攻击溯源技术:通过利用各种手段主动地追击网络攻击发起者、定位攻击源。




相关作者简介



往期文章推荐




泰和泰研析 | 碳边境税山雨欲来
泰和泰研析 | “佳士得NFT作品4.5亿元成交”的法律问题思考
泰和泰研析丨江湖虽路远,君子应有缘  ——评电视剧《康熙微服私访记》著作权侵权纠纷系列案
泰和泰研析丨民法重述——占有制度的起源及发展
……


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存