Domov Securitywatch Počítačová kriminalita alebo legitímny výskum?

Počítačová kriminalita alebo legitímny výskum?

Anonim

Jeden vedecký pracovník sa presúva do systému Windows, zistí chybu (a opravu) a od spoločnosti Microsoft dostane 100 000 dolárov. Ďalší, ktorému hrozí trestné stíhanie za údajné hackovanie, sa stáva skľučujúcim a berie si vlastný život. Na konferencii Black Hat 2014 panel všetkých hviezd diskutoval o ťažkých rozhodnutiach, ktoré musia vedci urobiť, ao zákonných nášľapných mínach, ktoré sa môžu objaviť.

Marcia Hofmann, jednorázová právnička v Electronic Frontier Foundation, v súčasnosti riadi prax v oblasti butiku so zameraním na počítačovú kriminalitu a bezpečnosť a súvisiace témy. Kevin Bankston, jednorázový právnik EFF, je riaditeľom politiky Open Technology Institute New America Foundation, skupiny venovanej „otvoreným komunikačným sieťam, platformám a technológiám“ so zameraním na otázky internetového dohľadu a cenzúra. " Vedúcim panelu bol Trey Ford, globálny bezpečnostný stratég v Rapid7 a bývalý generálny riaditeľ pre Black Hat.

Panel začal preskúmaním piatich významných zákonných nášľapných mín, ktoré by mohli vedcov vysadiť v hromade problémov. Pripustili, že táto časť prezentácie sa môže zdať trochu suchá, ale vyzvali účastníkov, aby vydržali pri otvorenej diskusii.

Zákon o počítačových podvodoch a zneužívaní

„CFAA je zákon z polovice osemdesiatych rokov, inokedy, “ povedal Hoffman. „Jeho najväčší zákaz sa zdá byť jednoduchý. Je nezákonné mať úmyselný prístup k počítaču bez oprávnenia alebo ísť nad rámec existujúceho oprávnenia na získanie informácií. Ale nedefinuje autorizáciu. Súdy s tým zápasili. Čo robí prístup neoprávneným? Musíte porušiť prekážku. „Používajte technické prostriedky na získanie prístupu spôsobom, ktorý vlastník neočakával?“

Hoffman vysvetlil, že prvé porušenie je priestupok, ktorý možno zarába až rok vo väzení. Niekoľko okolností však môže toto porušenie zvýšiť na zločin, medzi ktoré patrí aj úmysel profitovať, informácie získané v hodnote vyššej ako 5 000 dolárov a „podpora iného nezákonného konania“. Aaron Swartz hľadal odsúdenie za zločin, pretože vláda uviedla, že akademické články, ktoré navštívil, mali hodnotu viac ako 5 000 dolárov.

Tam to nekončí. „V občianskoprávnom prípade môžete byť žalovaní za peňažné škody, “ poznamenal Hoffman. „Sudcovia posudzujú občianske veci odlišne, tieto prípady sa však môžu stať precedensom pre trestné konanie.“ Vysvetlila, že súkromná strana môže žalovať, ak vykazuje straty 5 000 dolárov. „Spoločnosť ťa môže žalovať, aby si im povedal o zraniteľnosti, “ pokračovala. "Mohli by nazvať náklady na nápravu peňažnou stratou."

Zákon o autorských právach súvisiacich s informačnými technológiami (Digital Millennium Copyright Act)

„DMCA je bratranec CFAA, “ povedal Bankston. „Jej základným zákazom je, aby nikto neobišiel ochranu diela chráneného autorskými právami. To sa líši od porušenia autorských práv. Ak sa obchádzate ochrany, aj keď nič neurobíte, ste vinní.“

„DMCA je desivá, s ešte tvrdšími sankciami, “ vysvetlil Hoffman. „Obete sa môžu domáhať súdneho príkazu na prepustenie (čo znamená, že musíte prestať robiť to, čo robíte), za skutočné peňažné škody alebo za zákonné škody. Za každé porušenie zaplatíte podľa uváženia sudcu 200 až 2 500 dolárov. za porušenie alebo za finančný zisk, môže vám byť uložená pokuta až do pol milióna a päť rokov vo väzení, a to dvojnásobne pri opakovanom porušení. Kniha sa vám skutočne môže hodiť. ““

Zákon o ochrane osobných údajov v elektronických komunikáciách

„ECPA sa datuje od roku 1986 a je to dôležité, “ uviedla Bankston. „ACLU ho používa na ochranu súkromia občanov. Je však dostatočne široký a vágny, aby vedcom spôsobil problémy. Je to tri miny v jednom.“ Ďalej podrobne popisoval odposluch, uložené komunikácie a zložky „register pera“. Tretí „register pera“ sa týka zhromažďovania volaných čísel alebo čísiel, ktoré vám volajú. „Vo vlastnej príručke ministerstva spravodlivosti sa uvádza, že sledovanie niekoho telefónu by mohlo porušiť tento štatút, “ uviedla Bankston, „takže ich politikou je získať príkaz.“

„Wiretap je ten veľký, “ pokračoval. „Môže to byť zločin, ale tiež ste predmetom občianskoprávneho konania za skutočné aj zákonné škody. Môže vám byť uložená pokuta 100 dolárov za deň za postihnutú osobu alebo 10 000 dolárov za osobu, podľa toho, čo je väčšie. Pamätajte na ten čas, keď Batman zapol mikrofóny na všetkých mobilných telefónoch v Gotham City? Dokonca ani Bruce Wayne nemusí byť schopný zaplatiť pokuty miliardy dolárov. ““

Hráme hru?

Po spracovaní priznaných suchých právnych detailov sa panel presunul do formátu hernej show. Skutočne nie! Na obrazovke sa premietala veľká mriežka so zoznamom možných komponentov bezpečnostnej udalosti: herec, aktivita, cieľ, motív a divoká karta. Táto posledná kategória zahŕňala také položky, ako „obeť nemá peňažné škody“ a „vyzerá ako hacker!“.

Pomocou náhodných čísel vybrali položky z každej kategórie a vytvorili scenáre. Napríklad „akademický výskumný pracovník v oblasti bezpečnosti má prístup k e-mailu svojho súčasného zamestnávateľa na účely bezpečnostného prieskumu bez peňažného zisku.“ Je to legitímny výskum alebo je to trestný čin? Panelisti vyzvali publikum, aby zvážilo, aká socha mohla byť porušená a aké by mohli byť dôsledky. Aký skvelý spôsob, ako oživiť tieto stanovy! Publikum bolo určite zapojené.

Ako to môžeme vyriešiť?

Zdá sa zrejmé, že mnoho opatrení výskumných pracovníkov v oblasti bezpečnosti by ich mohlo dostať do problémov. Ako môžeme opraviť zákony? „Spoločnosti môžu robiť veci na zníženie chladu, “ povedal Hoffman. „Microsoft, Google a ďalšie majú amnestické programy. Chcú vedieť o zraniteľnostiach, takže sa snažia zmierňovať obavy z agresívneho čítania zákona.“

Poukázala na „Aaronov zákon“, navrhovanú zmenu CAFA, ktorú predstavil predstaviteľ Kalifornie Zoe Lofgren. „Aaronov zákon by CFAA zlepšil tým, že by výslovne uviedol, čo sa myslí neoprávneným prístupom.“ „Aaronov zákon by zamedzil dvojnásobnému a štvornásobnému spoplatneniu, ktoré sa môže vyskytnúť v rámci súčasnej dohody CFAA, “ poznamenal Bankston. „Ale je možné urobiť viac. Rovnako ako máme vylepšenia zločinov pre zlú vieru, možno by sme mohli pridať„ vylepšenia “pre vedcov pracujúcich v dobrej viere. Možno by sme mohli zo zákona odobrať zákonné škody.“

Účastníci stretnutia opustili s oveľa lepšou predstavou o tom, čo je v súčasnosti nezákonné a ako by sa mal zákon zmeniť. A pýtal som sa… koľko prednášajúcich v Black Hat je technicky zločincov, len pre výskum, ktorý prezentujú?

Počítačová kriminalita alebo legitímny výskum?