Video: Накануне медицинской реформы в Украине или о чем молчит МОЗ (Noiembrie 2024)
Un cercetător sapă în Windows, descoperă un defect (și o soluție) și primește 100.000 USD de la Microsoft. Un altul, amenințat cu urmărirea penală pentru presupusa hacking, devine deznădejde și își ia propria viață. În cadrul conferinței de Black Hat 2014, un grup de toate stelele a discutat despre deciziile dure pe care trebuie să le ia cercetătorii și despre minele legale care pot apărea.
Marcia Hofmann, avocată de altădată la Electronic Frontier Foundation, gestionează în prezent o practică de avocatură de tip boutique, cu accent pe criminalitatea computerizată și securitatea și subiectele conexe. Kevin Bankston, de asemenea, un avocat principal la FEP, este directorul politic al Institutului Tehnologic Deschis al Fundației New America, un grup dedicat „rețelelor de comunicații deschise, platformelor și tehnologiilor, cu accent pe probleme de supraveghere a Internetului și cenzură." Conducătorul grupului a fost Trey Ford, strateg de securitate globală la Rapid7 și fost director general pentru Black Hat.
Grupul a început prin examinarea a cinci mine legale semnificative care ar putea debarca cercetătorii într-o grămadă de probleme. Aceștia au recunoscut că această porțiune a prezentării poate părea un pic uscată, dar au încurajat participanții să țină pentru discuții deschise și complete.
Legea privind fraudele și abuzurile informatice
"CFAA este o lege de la mijlocul anilor optzeci, o perioadă diferită", a spus Hoffman. "Cea mai mare interdicție a sa pare simplă. Este ilegal să accesezi intenționat un computer fără autorizație sau să depășești autorizația existentă pentru a obține informații. Dar aceasta nu definește autorizarea. Instanțele s-au luptat cu asta. Ce face accesul neautorizat? Trebuie să încălci o barieră? „Utilizați mijloace tehnice pentru a avea acces într-un mod pe care proprietarul nu l-a anticipat?"
Hoffman a explicat că o primă încălcare este o infracțiune, câștigând până la un an de închisoare. Cu toate acestea, o serie de circumstanțe pot spori încălcarea unei infracțiuni, printre care intenția de a profita, informațiile obținute în valoare de peste 5.000 de dolari și „continuarea unui alt act ilegal”. Aaron Swartz privea o condamnare penală pentru că guvernul a spus că articolele academice la care a accesat valorau peste 5.000 de dolari.
Nu se oprește aici. „Poți fi trimis în judecată pentru daune bănești într-o cauză civilă”, a remarcat Hoffman. "Judecătorii analizează cazurile civile în mod diferit, dar aceste cazuri pot deveni precedente pentru un dosar penal." Ea a explicat că o parte privată poate acționa în judecată dacă are pierderi de 5.000 de dolari. "O companie te-ar putea da în judecată pentru că le - ai spus despre vulnerabilitate", a continuat ea. „Ei ar putea numi costul remedierii o pierdere monetară”.
Legea privind dreptul de autor al mileniului digital
"DMCA este un văr al CFAA", a spus Bankston. "Interdicția sa de bază este ca nicio persoană să nu eludeze protecția unei opere protejate de drepturi de autor. Aceasta este diferită de încălcarea dreptului de autor. Dacă evitați protecția, chiar dacă nu faceți nimic mai mult, sunteți vinovat."
„DMCA este înfricoșător, cu pedepse și mai dure”, a explicat Hoffman. "Victimele pot acționa în judecată pentru eliberare judecătorească (ceea ce înseamnă că trebuie să opriți ceea ce faceți), pentru daune bănești efective sau pentru daune statutare. Pentru fiecare încălcare, veți plăti de la 200 la 2.500 dolari, la discreția judecătorului. Pentru un doritor încălcarea sau încălcarea pentru câștig financiar, puteți fi amendați până la o jumătate de milion și puteți executa cinci ani de închisoare și o dublați decât în cazul unei încălcări repetate. Puteți cu adevărat să vă aruncați cartea."
Legea privind confidențialitatea comunicărilor electronice
"ECPA datează din 1986 și este important", a spus Bankston. "ACLU îl folosește pentru a proteja confidențialitatea cetățenilor. Dar este suficient de larg și vag pentru a provoca probleme cercetătorilor. Sunt trei mine de teren într-unul singur." El a continuat să detalieze tipul de fir, comunicațiile stocate și componentele „registru de pixuri”. Al treilea, „registru de pixuri”, se referă la colectarea numerelor pe care le apelați sau la numerele care vă apelează. "Manualul departamentului de justiție notează că urmărirea telefonului cuiva ar putea încălca acest statut", a spus Bankston, "deci politica lor este de a obține un mandat".
"Wiretap este cea mai mare", a continuat el. "Poate fi o infracțiune, dar, de asemenea, sunteți supus unei acțiuni civile atât pentru daune efective, cât și legale. Puteți fi amendați 100 de dolari pe zi de persoană afectată sau 10.000 de dolari de persoană, oricare dintre acestea este mai mare. Nu uitați că atunci când Batman a pornit microfoane de pe toate telefoanele mobile din Gotham City? Este posibil ca Bruce Wayne să nu poată plăti miliarde de dolari în amenzi."
Să jucăm un joc?
După ce a lucrat prin detaliile legale admise, panoul a trecut la un format de prezentare a jocului. Nu chiar! Proiectat pe ecran a fost o grilă mare care enumera o serie de componente posibile ale unui eveniment de securitate: actorul, activitatea, ținta, motivul și un wild card. Această ultimă categorie a inclus elemente precum „victima nu are daune monetare” și „arată ca un hacker!”.
Folosind numere aleatorii pentru a selecta elemente din fiecare categorie, au creat scenarii. De exemplu, "un cercetător de securitate academică accesează e-mail-ul angajatorului său actual pentru cercetarea în domeniul securității, fără un câștig monetar." Este o cercetare legitimă sau este o crimă? Panelistii au invitat publicul să ia în considerare ce statuie ar fi putut fi încălcată și care ar putea fi consecințele. Ce modalitate grozavă de a aduce aceste statuturi la viață! Publicul era cu siguranță logodit.
Cum putem rezolva asta?
Pare clar că multe acțiuni ale cercetătorilor de securitate le-ar putea pune în dificultate. Cum putem repara legile? "Companiile pot face lucruri pentru a diminua frisonul", a spus Hoffman. "Microsoft, Google și alții au programe de amnistie. Vor să știe despre vulnerabilități, așa că lucrează pentru a elimina grijile legate de citirile agresive ale legii."
Ea a subliniat „Legea lui Aaron”, o modificare propusă la CFAA introdusă de reprezentantul Californiei, Zoe Lofgren. „Legea lui Aaron ar îmbunătăți CFAA, făcând-o explicită exact ceea ce înseamnă un acces neautorizat." „Legea lui Aaron ar evita încărcarea dublă și cvadruplă care se poate întâmpla în cadrul actualei CFAA”, a remarcat Bankston. "Dar se pot face mai multe. Așa cum avem îmbunătățiri pentru infracțiuni de rea-credință, poate am putea adăuga„ îmbunătățiri "pentru cercetătorii care lucrează cu bună credință. Poate că am putea lua daune legale de pe masă."
Participanții au părăsit sesiunea cu o idee mult mai bună despre ce este în prezent ilegal și despre modul în care legea ar trebui să se schimbe. Și m-am întrebat… câți dintre prezentatorii de la Black Hat sunt criminali din punct de vedere tehnic, doar pentru cercetările pe care le prezintă?