Video: «Krigen» mot barnevernet: legitim kritikk, hatefulle ytringer? (Oktober 2024)
En forsker graver sig ind i Windows, opdager en fejl (og en rettelse) og modtager $ 100.000 fra Microsoft. En anden, truet med retsforfølgning for påstået hacking, bliver desperat og tager sit eget liv. På Black Hat 2014-konferencen diskuterede et starstjernepanel de hårde beslutninger, som forskere skal tage, og de lovlige landminer, der kan dukke op.
Marcia Hofmann, engangsadvokat ved Electronic Frontier Foundation, administrerer i øjeblikket en butikspraksis med fokus på computerkriminalitet og sikkerhed og relaterede emner. Kevin Bankston, også en engangs senior advokat ved EFF, er politikdirektør for New America Foundation's Open Technology Institute, en gruppe, der er afsat til "åbne kommunikationsnetværk, platforme og teknologier med fokus på spørgsmål om internetovervågning og censur." Trey Ford, Global Security Strategist hos Rapid7 og tidligere General Manager for Black Hat, ledede panelet.
Panelet startede med at gennemgå fem betydelige lovlige landminer, der kunne lande forskere i en masse problemer. De indrømmede, at denne del af præsentationen kan virke en smule tør, men opfordrede deltagerne til at holde på med en fuld, åben diskussion.
Lov om computerbedrageri og misbrug
"CFAA er en lov fra midten af firserne, en anden tid, " sagde Hoffman. "Dets største forbud virker simpelt. Det er ulovligt at bevidst få adgang til en computer uden tilladelse eller gå ud over eksisterende tilladelse til at få information. Men det definerer ikke tilladelse. Domstole har kæmpet med dette. Hvad gør adgangen uautoriseret? Skal du bryde en barriere ? Brug tekniske midler til at få adgang på en måde, som ejeren ikke forudså?"
Hoffman forklarede, at en første overtrædelse er en forseelse, der muligvis tjener op til et år i fængsel. Imidlertid kan en række omstændigheder øge overtrædelsen af en forbrydelse, blandt dem med henblik på at tjene til profit, information indhentet til en værdi af mere end $ 5.000 og "fremme af en anden ulovlig handling." Aaron Swartz kiggede på en overtrædelse af forbrydelser, fordi regeringen sagde, at de akademiske artikler, han havde adgang til, var mere end $ 5.000 værd.
Det stopper ikke der. "Du kan sagsøges for monetære skader i en civil sag, " bemærkede Hoffman. "Dommerne ser på civile sager forskelligt, men alligevel kan disse sager få præcedens for en straffesag." Hun forklarede, at en privat part kan sagsøge, hvis den viser $ 5.000 i tab. ”Et firma kan sagsøge dig for at fortælle dem om sårbarhed, ” fortsatte hun. "De kunne kalde omkostningerne til afhjælpning et monetært tab."
Digital Millennium Copyright Act
"DMCA er et fætter til CFAA, " sagde Bankston. "Dets grundlæggende forbud er, at ingen personer skal omgå beskyttelsen af et ophavsretligt beskyttet værk. Dette adskiller sig fra krænkelse af ophavsret. Hvis du omgår beskyttelse, selvom du ikke gør noget mere, er du skyldig."
"DMCA er skræmmende med endnu hårdere sanktioner, " forklarede Hoffman. "Ofre kan sagsøge for påbudsmæssig frigivelse (hvilket betyder, at du skal stoppe, hvad du laver), for faktiske økonomiske skader eller for lovbestemte skader. For hver overtrædelse betaler du fra $ 200 til $ 2.500, efter dommerens skøn. For en forsætlig overtrædelse eller overtrædelse for økonomisk gevinst, kan du blive bøde med op til en halv million og sene fem års fængsel og dobbelt så meget som ved en gentagen overtrædelse. Du kan virkelig få bogen kastet på dig."
The Electronic Communicatons Privacy Act
"ECPA stammer fra 1986, og det er vigtigt, " sagde Bankston. "ACLU bruger det til at beskytte borgernes privatliv. Men det er bredt og vagt nok til at forårsage problemer for forskere. Det er tre landminer i en." Han fortsatte med at detaljere wiretap, gemt kommunikation og "penregister" komponenter. Det tredje, "penregister", refererer til at samle de numre, du ringer til, eller de numre, der ringer til dig. "Justitsministeriets egen manual bemærker, at sporing af nogens telefon muligvis er i strid med denne statut, " sagde Bankston, "så deres politik er at få en kendelse."
”Wiretap er den store, ” fortsatte han. "Det kan være en forbrydelse, men du er også underlagt civil retssag for både faktiske og lovbestemte skader. Du kan blive idømt bøder på $ 100 pr. Dag pr. Person, der er berørt, eller $ 10.000 pr. Person, alt efter hvad der er større. Husk den gang, da Batman tændte for mikrofoner på alle mobiltelefoner i Gotham City? Selv Bruce Wayne er muligvis ikke i stand til at betale milliarder af dollars i bøder."
Skal vi spille et spil?
Efter at have arbejdet igennem de givetvis tørre juridiske detaljer, skiftede panelet til et spil-show-format. Nej virkelig! Projekteret på skærmen var et stort gitter med en række mulige komponenter i en sikkerhedsbegivenhed: skuespilleren, aktiviteten, målet, motivet og et jokertegn. Denne sidste kategori omfattede emner som "offeret har ingen økonomiske skader" og "ligner en hacker!"
Ved hjælp af tilfældige tal til at vælge emner fra hver kategori oprettede de scenarier. For eksempel "får en akademisk sikkerhedsforsker adgang til sin nuværende arbejdsgivers e-mail til sikkerhedsundersøgelser uden økonomisk gevinst." Er det legitim forskning, eller er det en forbrydelse? Paneldeltagere inviterede publikum til at overveje, hvilken statue der muligvis er blevet krænket, og hvad der kan være konsekvenserne. Hvilken fantastisk måde at bringe disse vedtægter til live! Publikum var bestemt engageret.
Hvordan kan vi løse dette?
Det ser ud til, at mange handlinger fra sikkerhedsforskere kan få dem i problemer. Hvordan kan vi rette lovene? "Virksomheder kan gøre ting for at mindske chill, " sagde Hoffman. "Microsoft, Google og andre har amnestiprogrammer. De vil vide om sårbarheder, så de arbejder for at afbøde bekymringerne for aggressiv læsning af loven."
Hun påpegede "Aarons lov", en foreslået ændring af CFAA, der blev indført af Californiens repræsentant Zoe Lofgren. "Aarons lov ville forbedre CFAA ved at gøre det eksplicit, hvad der menes med uautoriseret adgang." "Aarons lov ville undgå dobbelt og firdobbelt opladning, der kan ske under den nuværende CFAA, " bemærkede Bankston. "Men mere kan gøres. Ligesom vi har forbedret forbrydelser for dårlig tro, kan vi måske tilføje 'forbedringer' til forskere, der arbejder i god tro. Måske kan vi tage lovbestemte skader fra bordet."
Deltagere forlod sessionen med en meget bedre idé om, hvad der i øjeblikket er ulovligt, og hvordan loven skal ændres. Og jeg spekulerede på, hvor mange af de præsentanter på Black Hat er teknisk forbrydere, bare for den forskning, de præsenterer?
