惡意公布、售賣計算機(jī)安全漏洞行為入罪化的思考

關(guān)鍵詞: 計算機(jī)安全漏洞；黑客犯罪；幫助行為；網(wǎng)絡(luò)犯罪；立法完善

內(nèi)容提要: 惡意公布、售賣計算機(jī)安全漏洞，幾乎是所有網(wǎng)絡(luò)犯罪的源發(fā)行為。在網(wǎng)絡(luò)犯罪已經(jīng)逐漸開始形成“產(chǎn)業(yè)鏈”的今天，從源頭上打擊具有巨大社會危害性的惡意公布、售賣計算機(jī)安全漏洞行為，可以起到釜底抽薪的作用。在傳統(tǒng)刑法視野中，惡意公布、售賣計算機(jī)安全漏洞往往會被評價為其他網(wǎng)絡(luò)犯罪的幫助行為，因而造成了此類行為在定罪量刑上的天然依附性，造成了司法實踐中難以定罪和量刑過低的司法困境。考察幫助行為在立法上進(jìn)行實行犯化的具體模式，將惡意公布、售賣計算機(jī)安全漏洞行為加以獨立入罪化是當(dāng)務(wù)之急。
 
 
    在互聯(lián)網(wǎng)成為人們生活必備要素的新時代，互聯(lián)網(wǎng)為我們的生活帶來了前所未有的便利與進(jìn)步，但是，由于互聯(lián)網(wǎng)自身成為越來越重要的利益載體，因而不斷地遭受著黑客們的攻擊與破壞。近年來，計算機(jī)病毒類型呈現(xiàn)出激增狀態(tài)，瑞星公司《2008年度中國大陸地區(qū)電腦病毒疫情＆互聯(lián)網(wǎng)安全報告》指出，2008年的病毒數(shù)量比2007年增長12倍以上。僅在2008年1月至10月，瑞星公司就截獲新病毒樣本930余萬個，而2007年截獲的新病毒樣本有91萬余個，2006年為53萬余個，2005年為16萬余個，2004年為6萬余個{1}。計算機(jī)病毒類型的爆發(fā)式增長，嚴(yán)重沖擊著網(wǎng)絡(luò)安全。病毒的激增很大程度上依賴于病毒制造的產(chǎn)業(yè)化，而惡意公布甚至有償出售計算機(jī)信息系統(tǒng)中的安全漏洞，則是病毒“產(chǎn)業(yè)鏈”中最關(guān)鍵的一環(huán)。瑞星公司《2008年度中國大陸地區(qū)電腦病毒疫情＆互聯(lián)網(wǎng)安全報告》指出：“從技術(shù)上講，目前的病毒產(chǎn)業(yè)鏈條由四個部分組成：挖掘安全漏洞、制造網(wǎng)頁木馬、制造盜號木馬、制造木馬下載器（病毒下載者）。這些環(huán)節(jié)形成了分工明確、效率快捷的工業(yè)化‘生產(chǎn)線’。”由此可見，挖掘安全漏洞并加以惡意公布和售賣，已經(jīng)成為病毒“產(chǎn)業(yè)鏈”中重要的一環(huán)。

　 一、安全漏洞及其可能引發(fā)的危害

　 計算機(jī)病毒之所以能夠進(jìn)入計算機(jī)信息系統(tǒng)，其根本原因就在于：計算機(jī)自身存在著一定的安全漏洞，這給了計算機(jī)病毒以可乘之機(jī)。

　 （一）安全漏洞的概念核心論文發(fā)表網(wǎng)

　 顧名思義，安全漏洞，是指計算機(jī)信息系統(tǒng)在使用過程中存在的安全隱患。這些漏洞因何而生，需要進(jìn)行專業(yè)上的探究。從專業(yè)角度講，“漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)”{2}。由此可以看出，漏洞在本質(zhì)上是一種缺陷。簡單地進(jìn)行類型劃分，此種缺陷又可以細(xì)化為3個方面，即硬件缺陷、軟件缺陷與協(xié)議缺陷。具體來說，硬件缺陷如在Intel penti-um芯片中存在的邏輯錯誤；軟件缺陷如在Sendmail早期版本中的編程錯誤；協(xié)議缺陷如在NFS協(xié)議中認(rèn)證方式上的弱點，在Unix系統(tǒng)管理員設(shè)置匿名Ftp服務(wù)時配置不當(dāng)?shù)膯栴}。這些缺陷都可能被攻擊者使用，威脅到系統(tǒng)安全，因而都可以認(rèn)為是系統(tǒng)中存在的安全漏洞{2}。

　 （二）安全漏洞的性質(zhì)

　 “安全漏洞”這一術(shù)語，單從表面上看，具有的一定的專業(yè)性，不易于理解。那么，應(yīng)該如何理解安全漏洞的性質(zhì)呢？微軟中文網(wǎng)站有一段對安全漏洞進(jìn)行定義的文字，它可以幫助理解安全漏洞的性質(zhì)：“即使使用者在合理配置了產(chǎn)品的條件下，由于產(chǎn)品自身存在的缺陷，產(chǎn)品的運(yùn)行可能被改變以產(chǎn)生非設(shè)計者預(yù)期的后果，并可最終導(dǎo)致安全性被破壞的問題，包括使用者系統(tǒng)被非法侵占、數(shù)據(jù)被非法訪問并泄露，或系統(tǒng)拒絕服務(wù)等。我們將這些缺陷稱為安全漏洞。”{3}這一定義將微軟設(shè)計的軟件稱之為產(chǎn)品，而將微軟設(shè)計的軟件自身所具有的缺陷稱之為安全漏洞。由此可見，存在于計算機(jī)中的安全漏洞，其本質(zhì)即為產(chǎn)品缺陷。這種缺陷并非計算機(jī)軟、硬件的制作者由于疏忽大意遺留下來的缺陷，而更多地屬于一種在計算機(jī)軟、硬件的設(shè)計過程中所不可避免的缺陷。核心論文發(fā)表網(wǎng)

　 應(yīng)當(dāng)說，安全漏洞是計算機(jī)軟、硬件產(chǎn)品所固有的缺陷。安全漏洞的固有性表現(xiàn)為，計算機(jī)軟、硬件雖然經(jīng)過研發(fā)人員的層層檢測，但是，仍然避免不了存在安全漏洞。隨著計算機(jī)用戶的不斷深入使用，軟、硬件的漏洞會不斷地被發(fā)現(xiàn)，這些漏洞雖然可以用供應(yīng)商的軟件補(bǔ)丁進(jìn)行修補(bǔ)，但是，修補(bǔ)之后的系統(tǒng)又會引發(fā)新的漏洞。實際上，“安全漏洞的出現(xiàn)，是因為人們在對安全機(jī)制理論的具體實踐中發(fā)生了錯誤，是意外出現(xiàn)的非正常情況。而在一切由人類實現(xiàn)的系統(tǒng)中都會不同程度的存在實現(xiàn)和設(shè)置上的各種潛在錯誤。因而在所有系統(tǒng)中必定存在某些安全漏洞。”{2}由此可見，安全漏洞的本質(zhì)是產(chǎn)品缺陷，這種缺陷又具有固有性、隱蔽性、不可避免性。

　 （三）安全漏洞可能引發(fā)的危害核心論文發(fā)表網(wǎng)

　 安全漏洞雖然是計算機(jī)軟、硬件所固有的屬性，但是，由于它具有隱蔽性，通常情況下不易被發(fā)現(xiàn)與利用。然而，安全漏洞一旦被別有用心的黑客們發(fā)現(xiàn)，黑客們就會利用這些安全漏洞，編寫有針對性的攻擊程序，非法進(jìn)入用戶的個人電腦進(jìn)行攻擊。具體而言，這些黑客的攻擊可以分為兩種類型，即破壞性攻擊和竊密型攻擊。破壞性攻擊是指入侵者利用計算機(jī)軟、硬件的安全漏洞，對目標(biāo)計算機(jī)的運(yùn)行程序進(jìn)行破壞性攻擊。這種攻擊又可以細(xì)分為兩類：一類為直接對計算機(jī)系統(tǒng)自身的破壞；一類為對網(wǎng)絡(luò)服務(wù)的破壞。對計算機(jī)系統(tǒng)的破壞，例如，2000年前后出現(xiàn)的只能感染W(wǎng)indows 95/98操作系統(tǒng)的CIH病毒。[1]這種病毒即是一種利用系統(tǒng)的安全漏洞對計算機(jī)系統(tǒng)硬件進(jìn)行破壞的惡性病毒。對網(wǎng)絡(luò)服務(wù)的破壞，例如，最近幾年頻發(fā)的拒絕服務(wù)攻擊（Dos）與分布式拒絕服務(wù)攻擊(DDoS) {4}，這種攻擊的破壞性在于，利用網(wǎng)絡(luò)協(xié)議(TCP協(xié)議）自身存在的缺陷，發(fā)送大量偽造的TCP連接請求，使被攻擊方的資源耗盡，CPU滿負(fù)荷或者內(nèi)存不足，從而使被攻擊的主機(jī)或網(wǎng)絡(luò)無法及時接收并處理外界請求，或無法及時回應(yīng)外界請求，造成網(wǎng)絡(luò)癱瘓。[2]竊密型攻擊是指入侵者利用計算機(jī)配置的軟件漏洞，向用戶的計算機(jī)植入木馬程序，以此盜取用戶的私密信息，例如，網(wǎng)銀帳號和密碼、網(wǎng)游帳號和密碼、秘密信息資料等。可以說，安全漏洞是黑客發(fā)動攻擊所必須依賴的路徑，安全漏洞一旦被黑客挖掘并惡意利用，將會對計算機(jī)用戶產(chǎn)生不同程度的危害。

　 二、安全漏洞的挖掘及其后續(xù)處置行為的模式核心論文發(fā)表網(wǎng)

　 安全漏洞是計算機(jī)軟、硬件（產(chǎn)品）固有的、不可避免的缺陷，此種（產(chǎn)品）缺陷一旦被發(fā)現(xiàn)（挖掘），將成為黑客們進(jìn)行攻擊的導(dǎo)火索，引發(fā)不同程度的使網(wǎng)絡(luò)受到威脅甚至是破壞的安全事件。

　 （一）關(guān)注和挖掘安全漏洞行為的主體核心論文發(fā)表網(wǎng)

　 計算機(jī)軟、硬件作為一種應(yīng)用產(chǎn)品被研制開發(fā)出來之時，安全漏洞必然同時伴生。安全漏洞一旦被惡意利用，就能夠給計算機(jī)用戶的系統(tǒng)安全帶來直接的威脅甚至是破壞，因此安全漏洞成為黑客與維護(hù)網(wǎng)絡(luò)安全的專家們共同關(guān)注的問題。由此，挖掘安全漏洞的行為也因行為主體與行為動機(jī)的不同而具有了不一樣的性質(zhì)與地位。

　 關(guān)注安全漏洞的主體可以分為兩大陣營：一方面為黑客；另一方面為維護(hù)網(wǎng)絡(luò)安全的專家。黑客們關(guān)注和挖掘安全漏洞，是為了利用安全漏洞實施攻擊；而維護(hù)網(wǎng)絡(luò)安全的專家們關(guān)注和挖掘安全漏洞，是為了在黑客發(fā)現(xiàn)安全漏洞之前修復(fù)漏洞，使計算機(jī)軟、硬件能夠在安全的環(huán)境下使用，避免發(fā)生網(wǎng)絡(luò)安全事件。另外，一些普通的計算機(jī)用戶，在使用計