当企业或个人受到黑客攻击时，是否应被允许自行追踪、反击呢?美国立法的一项草案便引起了巨大的争议，它允许网络攻击的受害者追踪并反击嫌疑黑客。其反对者认为：“这将带来更大的网络灾难风险。”

　　该法案就是《主动网络防御明确法》(简称ACDC)，允许被攻击的人或组织进入嫌疑黑客经常攻击的系统来追踪黑客，尽管这些组织通常还没发现自己的计算机系统已经被攻击。

　　其实，美国已有一项法律禁止这种“黑客反击”的行为，只有FBI这样的政府机构才有权力以这种方式追捕嫌疑黑客。

　　然而，该法案最近在美国国会上仍被提出。其支持者表示，现今大量的网络攻击已让联邦调查局和其他政府机构疲于招架。其中，亚特兰大和巴尔的摩等市发生的“网络勒索”让当地的计算机系统处于瘫痪，万豪集团等大型公司的海量数据被窃取。他们认为，“放权给企业和个人，让他们自行追踪黑客会减轻政府的压力。”

　　尽管美国政府已经表示，他们正在采取更加积极的手段来制止网络威胁，但是ACDC法案的发起者认为，企业和其他私人组织要保护自己还需要更自由的空间。他们还称，一些企业已经开始数字自卫，而法案的出台将消除这种行为的法律灰色地带。

　　为此，该法案将对美国现存的《计算机欺诈与滥用法》法案进行修改，允许公司和个人监测黑客的系统并中断其操作。

　　为更具严谨性，该法案提出只有“合格的防御者”才能使用“黑客反击”这一新权力，他们在扮演攻击者的身份时具有“高可信度”。在进行反击之前，他们必须告知联邦调查局并获取指示，要尽全力避免破坏第三方系统以及引起更大的敌意。

　　反对者则认为，虽然听起来很有道理，但是ACDC法案存在严重的缺陷。

　　第一，在久经沙场的攻击者面前，很多公司的技术都“嫩了点”。法案没有明确规定公司或个人具体具备何种资质才算“合格的防御者”，这种模糊性使得所有的企业都可以进行反击。

　　美国国防部前网络官员、现就职于网络安全公司Nisos的肖恩·威普纳表示，反击黑客最好还是交给政府来做。他说：“几乎没有人具备所需的经验和专业技能，并在法律允许的边缘进行反击。”

　　第二，很难确定黑客到底是谁。黑客都是混淆视听的高手，他们经常会使用虚假的IP地址和其他人开发的入侵工具等手段来伪装自己。此外，反击黑客时，看似是黑客的计算机有可能也是被攻击过的，这有可能导致反击目标错放到无辜的系统。

　　第三，如果发生意外，法案无法真正保护自卫的组织。反击黑客很容易伤及无辜，即使是经验丰富的黑客，有时写出的代码也会产生意料之外的后果。

　　宾夕法尼亚州立大学的教授安妮·图米·麦肯纳指出，即使ACDC法案最后被通过，如果企业损害了国内其他企业的计算机或数据，它们仍将面临联邦和州立两级政府的高昂的民事诉讼。而且，如果它们破坏了国外的系统，还有可能受到国内外反黑客法的指控。她表示：“该项法案为企业反击黑客打开了一扇门，但并没有给它们真正的保护。”

　　此外，该法案或将不可避免地引发破坏性的报复活动。法案提到，防御者应尽量避免敌对升级，但黑客不会轻易接受自己的系统受到攻击，他们已经在受害者的数字防御系统里发现了漏洞，如果受到挑衅，他们很可能会找出更多的漏洞。

　　美国“火眼”(FireEye)网络安全公司的桑德拉·乔伊斯担心，如果ACDC法案立法成功，可能会开创先例进而使一些国家制定比美国更宽松的黑客反击政策。乔伊斯警告说：“这将带来更大的网络灾难风险。”(田小雨 )

　　《中国科学报》 (2019-07-25 第7版 信息技术)