Video: Kriminalitet - kapittel 5 (Oktober 2024)
En forsker graver seg inn i Windows, oppdager en feil (og en løsning) og mottar $ 100 000 dollar fra Microsoft. En annen, truet med påtale for påstått hacking, blir desperat og tar sitt eget liv. På Black Hat 2014-konferansen diskuterte et all-star-panel de tøffe beslutningene forskerne må ta, og de lovlige landminene som kan dukke opp.
Marcia Hofmann, engangsadvokat ved Electronic Frontier Foundation, administrerer for tiden en butikklovspraksis med fokus på datakriminalitet og sikkerhet og relaterte emner. Kevin Bankston, også en engangsadvokat ved EFF, er policydirektør for New America Foundation's Open Technology Institute, en gruppe som er viet til "åpne kommunikasjonsnettverk, plattformer og teknologier, med fokus på spørsmål om internettovervåking og sensur." Trey Ford, Global Security Strategist i Rapid7 og tidligere daglig leder for Black Hat, ledet panelet.
Panelet startet med å gjennomgå fem betydelige lovlige landminer som kan lande forskere i en haug med trøbbel. De innrømmet at denne delen av presentasjonen kan virke litt tørr, men oppfordret deltakerne til å holde på for en fullstendig, åpen diskusjon.
Lov om datasvindel og misbruk
"CFAA er en lov fra midten av åttitallet, en annen tid, " sa Hoffman. "Det største forbudet virker enkelt. Det er ulovlig å bevisst få tilgang til en datamaskin uten autorisasjon, eller gå utover eksisterende autorisasjon for å få informasjon. Men det definerer ikke autorisasjon. Domstoler har slitt med dette. Hva gjør tilgangen uautorisert? Må du bryte en barriere ? Bruk tekniske midler for å få tilgang på en måte som eieren ikke forutså?"
Hoffman forklarte at en første overtredelse er en forseelse, og muligens tjener opp til ett år i fengsel. Imidlertid kan en rekke omstendigheter forsterke overtredelsen til en forbrytelse, blant dem med hensikt å tjene penger, informasjon oppnådd verdt mer enn $ 5000, og "videreføring av en annen ulovlig handling." Aaron Swartz så på en forbrytelsesbevisning fordi myndighetene sa at de akademiske artiklene han fikk tilgang til var mer enn 5000 dollar verdt.
Det stopper ikke der. "Du kan bli saksøkt for økonomiske skader i en sivil sak, " bemerket Hoffman. "Dommere ser på sivile saker annerledes, men likevel kan disse sakene få presedens for en straffesak." Hun forklarte at en privat part kan saksøke hvis den viser 5000 dollar i tap. "Et selskap kan saksøke deg for å fortelle dem om sårbarhet, " fortsatte hun. "De kan kalle utbedringskostnadene for et økonomisk tap."
The Digital Millennium Copyright Act
"DMCA er en fetter av CFAA, " sa Bankston. "Det grunnleggende forbudet er at ingen personer skal omgå beskyttelsen av et opphavsrettsbeskyttet verk. Dette er forskjellig fra brudd på opphavsretten. Hvis du omgår beskyttelse, selv om du ikke gjør noe mer, er du skyldig."
"DMCA er skummel, med enda tøffere straffer, " forklarte Hoffman. "Ofrene kan saksøke for påbud om løslatelse (noe som betyr at du må stoppe det du gjør), for faktiske økonomiske skader eller for lovpålagte skader. For enhver overtredelse betaler du fra $ 200 til $ 2500, etter dommerens skjønn. For en forsettlig overtredelse, eller overtredelse for økonomisk gevinst, kan du bli bøtelagt med opp til en halv million og sonet fem års fengsel, og dobbelt så mye som ved en gjentatt overtredelse. Du kan virkelig få boken kastet på deg."
Den elektroniske kommunikasjonsloven
"ECPA er fra 1986, og det er viktig, " sa Bankston. "ACLU bruker det for å beskytte innbyggernes privatliv. Men det er bredt og vagt nok til å forårsake problemer for forskere. Det er tre landminer i ett." Han fortsatte med detaljer om wiretap, lagret kommunikasjon og "pennregister" -komponenter. Det tredje, "pennregister", refererer til å samle inn numrene du ringer eller numrene som ringer deg. "Justisdepartementets egen håndbok bemerker at sporing av noens telefon kan være i strid med denne vedtekten, " sa Bankston, "så deres policy er å få en garanti."
"Wiretap er den store, " fortsatte han. "Det kan være en forbrytelse, men du er også underlagt sivil sak for både faktiske og lovpålagte skader. Du kan bli bøtelagt $ 100 per dag per person som er berørt eller $ 10.000 per person, avhengig av hva som er større. Husk den gangen da Batman slo på mikrofoner på alle mobiltelefoner i Gotham City? Selv Bruce Wayne kan ikke være i stand til å betale milliarder av dollar i bøter."
Skal vi spille et spill?
Etter å ha jobbet gjennom de riktignok tørre juridiske detaljene, skiftet panelet til et spillshow-format. Nei, egentlig! Prosjektert på skjermen var et stort rutenett med en rekke mulige komponenter i en sikkerhetshendelse: skuespilleren, aktiviteten, målet, motivet og et jokertegn. Denne siste kategorien inkluderte elementer som "offeret har ingen økonomiske skader" og "ser ut som en hacker!"
Ved å bruke tilfeldige tall for å velge elementer fra hver kategori, skapte de scenarier. For eksempel "får en akademisk sikkerhetsforsker tilgang til sin nåværende arbeidsgivers e-post for sikkerhetsforskning, uten økonomisk gevinst." Er det legitim forskning, eller er det en forbrytelse? Paneldeltakerne inviterte publikum til å vurdere hvilken statue som kan ha blitt krenket, og hva som kan være konsekvensene. For en fantastisk måte å få statuttene til liv! Publikum var definitivt engasjert.
Hvordan kan vi fikse dette?
Det virker klart at mange handlinger fra sikkerhetsforskere kan få dem i trøbbel. Hvordan kan vi fikse lovene? "Bedrifter kan gjøre ting for å redusere chill, " sa Hoffman. "Microsoft, Google og andre har amnestiprogrammer. De vil vite om sårbarheter, så de jobber for å avvante bekymringer for aggressiv lesing av loven."
Hun påpekte "Arons lov", en foreslått endring av CFAA introdusert av California representant Zoe Lofgren. "Aaron lov ville forbedre CFAA ved å gjøre det eksplisitt akkurat hva som menes med uautorisert tilgang." "Arons lov ville unngå dobbelt og firedoblet lading som kan skje under den nåværende CFAA, " bemerket Bankston. "Men mer kan gjøres. På samme måte som vi har forbedret forbrytelser for dårlig tro, kan vi kanskje legge til 'avforbedringer' for forskere som arbeider i god tro. Kanskje vi kan ta lovpålagte skader av bordet."
Deltakere forlot sesjonen med en mye bedre ide om hva som for øyeblikket er ulovlig og hvordan loven skal endres. Og jeg lurte på… hvor mange av presentatørene på Black Hat er teknisk kriminelle, bare for forskningen de presenterer?
