Video: This Is Why New Year's SUCKS! (September 2024)
En forskare gräver i Windows, upptäcker en brist (och en fix) och får 100 000 $ från Microsoft. En annan, som hotas med åtal för påstådd hackning, blir förtvivlad och tar sitt eget liv. På Black Hat 2014-konferensen diskuterade en all-star-panel de tuffa beslut som forskarna måste fatta och de lagliga landminor som kan dyka upp.
Marcia Hofmann, engångsadvokat vid Electronic Frontier Foundation, hanterar för närvarande en butikslagstiftning med fokus på datorbrott och säkerhet och relaterade ämnen. Kevin Bankston, också en engångsadvokat vid EFF, är policydirektör för New America Foundation's Open Technology Institute, en grupp som ägnas åt "öppna kommunikationsnätverk, plattformar och teknik, med fokus på frågor om internetövervakning och censur." Trey Ford, Global Security Strategist på Rapid7 och tidigare chef för Black Hat, ledde panelen.
Panelen började med att granska fem betydande lagliga landminor som kan landa forskare i en hög problem. De medgav att denna del av presentationen kan verka lite torr, men uppmuntrade deltagarna att hålla på för en fullständig, öppen diskussion.
Lagen om datorbedrägeri och missbruk
"CFAA är en lag från mitten av åttiotalet, en annan tid, " sade Hoffman. "Det största förbudet verkar enkelt. Det är olagligt att avsiktligt komma åt en dator utan tillstånd eller gå utöver befintligt tillstånd för att få information. Men det definierar inte auktorisation. Domstolar har kämpat med detta. Vad gör åtkomst obehörig? Måste du bryta mot en barriär ? Använd tekniska medel för att få tillgång på ett sätt som ägaren inte förutsåg?"
Hoffman förklarade att en första överträdelse är en förseelse, möjligen att tjäna upp till ett år i fängelse. Emellertid kan ett antal omständigheter förbättra överträdelsen till en brott, bland dem avsikt att tjäna vinst, information som erhållits till ett värde av mer än 5 000 dollar och "främjande av en annan olaglig handling." Aaron Swartz tittade på en brottmålsöverträdelse eftersom regeringen sa att de akademiska artiklarna han besökte var värda mer än 5 000 dollar.
Det stannar inte där. "Du kan stämmas för ekonomiska skador i ett civilmål", konstaterade Hoffman. "Domare tittar på civila ärenden annorlunda, men ändå kan dessa fall föregå för ett brottmål." Hon förklarade att en privat part kan stämma om den visar 5 000 $ i förluster. "Ett företag kan stämma dig för att berätta för dem om sårbarhet, " fortsatte hon. "De kan kalla kostnaderna för sanering en monetär förlust."
Digital Millennium Copyright Act
"DMCA är en kusin till CFAA, " sade Bankston. "Det grundläggande förbudet är att ingen person ska kringgå skyddet för ett upphovsrättsskyddat verk. Detta skiljer sig från intrång i upphovsrätten. Om du kringgår skyddet, även om du inte gör något mer, är du skyldig."
"DMCA är skrämmande, med ännu tuffare påföljder, " förklarade Hoffman. "Offren kan stämma för föreläggande frisläppande (vilket innebär att du måste stoppa vad du gör), för faktiska ekonomiska skador eller för lagstadgade skador. För varje överträdelse betalar du mellan $ 200 och $ 2500, enligt domarens bedömning. överträdelse eller överträdelse för ekonomisk vinst, kan du bli böter upp till en halv miljon och avtjänar fem års fängelse, och dubbelt så mycket vid en upprepad överträdelse. Du kan verkligen få boken kastad på dig.
Elektronisk kommunikatörs sekretesslag
"ECPA är från 1986 och det är viktigt", sade Bankston. "ACLU använder den för att skydda medborgarnas integritet. Men den är bred och vag nog för att orsaka problem för forskare. Det är tre landminor i en." Han fortsatte med att detaljera information om wiretap, lagrad kommunikation och "penna register" -komponenter. Det tredje, "pennregister", avser att samla in de nummer du ringer eller numren som ringer dig. "Justitieministeriets egen handbok noterar att spårning av någons telefon kan bryta mot denna stadga, " sade Bankston, "så deras policy är att få en order."
"Wiretap är den stora, " fortsatte han. "Det kan vara ett brott, men du är också utsatt för civil rätt för både faktiska och lagstadgade skador. Du kan bli böter $ 100 per dag per person som drabbats eller $ 10.000 per person, beroende på vad som är större. Kom ihåg den tiden när Batman slog på mikrofoner på alla mobiltelefoner i Gotham City? Till och med Bruce Wayne kanske inte kan betala miljarder dollar i böter."
Ska vi spela ett spel?
Efter att ha arbetat igenom de visserligen torra juridiska detaljerna skiftade panelen till ett spelvisningsformat. Nej verkligen! Projektet på skärmen var ett stort rutnät med en lista över ett antal möjliga komponenter i en säkerhetshändelse: skådespelaren, aktiviteten, målet, motivet och ett jokertecken. Denna sista kategori inkluderade sådana artiklar som "offer har inga ekonomiska skador" och "ser ut som en hacker!"
Med hjälp av slumpmässiga nummer för att välja objekt från varje kategori skapade de scenarier. Till exempel "en akademisk säkerhetsforskare får åtkomst till sin nuvarande arbetsgivares e-post för säkerhetsforskning, utan ekonomisk vinst." Är det legitim forskning, eller är det ett brott? Paneldeltagarna uppmanade publiken att överväga vilken staty som kan ha kränkts och vilka konsekvenser det kan ha. Vilket utmärkt sätt att leva upp dessa stadgar! Publiken var definitivt engagerad.
Hur kan vi fixa detta?
Det verkar tydligt att många åtgärder av säkerhetsforskare kan få dem i problem. Hur kan vi fixa lagarna? "Företag kan göra saker för att minska kyla, " sade Hoffman. "Microsoft, Google och andra har amnestiprogram. De vill veta om sårbarheter, så de arbetar för att fördriva oro över aggressiva läsningar av lagen."
Hon påpekade "Arons lag", en föreslagen ändring av CFAA som infördes av Kaliforniens representant Zoe Lofgren. "Arons lag skulle förbättra CFAA genom att uttrycka det precis vad som menas med obehörig åtkomst." "Arons lag skulle undvika den dubbla och fyrdubbla laddningen som kan hända under den nuvarande CFAA, " konstaterade Bankston. "Men mer kan göras. Precis som vi har förbättringar av felony för dålig tro, kan vi kanske lägga till" förbättringar "för forskare som arbetar i god tro. Kanske kan vi ta lagstadgade skadestånd från bordet."
Deltagare lämnade sessionen med en mycket bättre uppfattning om vad som för närvarande är olagligt och hur lagen bör ändras. Och jag undrade… hur många av presentatörerna på Black Hat är tekniskt kriminella, bara för den forskning de presenterar?
