Компютърна престъпност или законни изследвания?

Един изследовател се рови в Windows, открива недостатък (и поправка) и получава 100 000 долара от Microsoft. Друг, заплашен от наказателно преследване за предполагаемо хакване, става унижен и отнема живота си. По време на конференцията Black Hat 2014, цяла звезда обсъди трудните решения, които изследователите трябва да вземат, и законните мини, които могат да изскочат.

Марсия Хофман, еднократен старши адвокат във Фондацията за електронни граници, понастоящем управлява бутикова правна практика с акцент върху компютърната престъпност и сигурността и свързаните с нея теми. Кевин Банкстън, също еднократен старши адвокат в EFF, е политически директор на Института за отворени технологии на Фондация „Нова Америка“, група, посветена на „отворени комуникационни мрежи, платформи и технологии, с акцент върху въпросите на интернет наблюдението и цензура. " Водещ на панела беше Трей Форд, стратег по глобална сигурност в Rapid7 и бивш генерален мениджър на Black Hat.

Панелът започна с преглед на пет значителни легални мини, които биха могли да приземят изследователите в куп проблеми. Те признаха, че тази част от презентацията може да изглежда малко суха, но окуражиха присъстващите да продължат за пълна, открита дискусия.

Законът за компютърните измами и злоупотреби

"CFAA е закон от средата на осемдесетте години, различно време", каза Хофман. "Най-голямата му забрана изглежда проста. Незаконно е да се осъществява умишлено достъп до компютър без разрешение или да надхвърля съществуващото разрешение за получаване на информация. Но това не определя разрешение. Съдилищата са се борили с това. Какво прави достъпът неразрешен? Трябва ли да нарушите бариерата ? Използвайте технологични средства, за да получите достъп по начин, който собственикът не е предвидил?"

Хофман обясни, че първо нарушение е нарушение, вероятно печелене до година в затвора. Редица обстоятелства обаче могат да засилят нарушението до престъпление, сред тях намерение за печалба, получена информация на стойност над 5000 долара и "подпомагане на друго незаконно действие." Аарон Суорц гледаше на ужасяваща присъда, защото правителството заяви, че академичните статии, до които е имал достъп, струват повече от 5000 долара.

Това не спира дотук. "Можете да бъдете съдени за парични щети по гражданско дело", отбелязва Хофман. "Съдиите разглеждат гражданските дела по различен начин, но тези дела могат да станат прецедент за наказателно дело." Тя обясни, че частно парти може да заведе дело, ако покаже загуби от 5000 долара. „Компания може да ви съди, че им казвате за уязвимост“, продължи тя. "Те биха могли да нарекат цената на възстановяването парична загуба."

Законът за авторското право на цифровото хилядолетие

"DMCA е братовчед на CFAA", каза Bankston. "Основната му забрана е никой да не заобикаля защитата на защитено с авторски права произведение. Това е различно от нарушаването на авторските права. Ако заобикаляте защитата, дори и да не правите нищо повече, вие сте виновни."

"DMCA е страшно, с още по-строги наказания", обясни Хофман. "Жертвите могат да заведат иск за освобождаване от забрана (което означава, че трябва да спрете това, което правите), за действителни парични щети или за законни щети. За всяко нарушение ще платите от 200 до 2500 долара по преценка на съдията. За умишлено нарушение или нарушение за финансова печалба, можете да бъдете глобени до половин милион и да изтърпите пет години затвор и да удвоите това при повторно нарушение. Наистина можете да накарате книгата да ви хвърли."

Законът за поверителност на електронните комуникатори

"ECPA датира от 1986 г. и е важно", каза Bankston. "ACLU го използва, за да защити личния живот на гражданите. Но той е достатъчно широк и неясен, за да създаде проблеми на изследователите. Това е три противопехотни мини в едно." Той продължи подробно с подслушването, съхранените комуникации и компонентите за „писане на писалки“. Третият, "регистър на писалката", се отнася до събирането на номерата, които ви се обаждат или номерата, които ви се обаждат. "В ръководството на министерството на правосъдието се отбелязва, че проследяването на нечий телефон може да наруши този закон", каза Банкстън, "така че тяхната политика е да получат заповед".

- Wiretap е голямото - продължи той. „Това може да бъде престъпление, но вие също подлежите на граждански иск както за действителни, така и за законови щети. Можете да бъдете глобявани по 100 долара на ден на засегнато лице или 10 000 долара на човек, което от двете е по-голямо. Помнете онова време, когато Батман включи микрофони на всички мобилни телефони в Готъм Сити? Дори Брус Уейн може да не е в състояние да плати милиарди долари глоби."

Да играем ли игра?

След като преработи общоприетите правни подробности, панелът се премести във формат за шоу игри. Не наистина! Предвижданото на екрана представляваше голяма решетка, в която бяха изброени редица възможни компоненти на събитие в областта на сигурността: актьорът, дейността, целта, мотивът и подсказка. Тази последна категория включваше елементи като „жертвата няма парични щети“ и „изглежда като хакер!“

Използвайки произволни числа, за да изберете елементи от всяка категория, те създадоха сценарии. Например „академичен изследовател по сигурността осъществява достъп до имейла на настоящия си работодател за изследвания в областта на сигурността, без парична печалба“. Дали е законно изследване или е престъпление? Участниците в групата поканиха публиката да разгледа каква статуя може да е нарушена и какви могат да бъдат последствията. Какъв чудесен начин да оживим тези устав! Публиката определено беше ангажирана.

Как можем да поправим това?

Изглежда ясно, че много действия на изследователи по сигурността биха могли да ги вкарат в беда. Как можем да поправим законите? "Компаниите могат да направят неща, за да намалят студа", каза Хофман. „Microsoft, Google и други имат програми за амнистия. Те искат да знаят за уязвимостите, така че работят за премахване на притесненията относно агресивното четене на закона.“

Тя посочи „Законът на Аарон“, предложена промяна в CFAA, въведена от представителката на Калифорния Зоуи Лофгрен. "Законът на Аарон би подобрил CFAA, като изрично посочва какво се разбира под неразрешен достъп." "Законът на Аарон ще избегне двойното и четворното таксуване, което може да се случи при сегашната CFAA", отбеляза Bankston. „Но може да се направи повече. Точно както имаме подобрени престъпления за недобросъвестност, може би бихме могли да добавим„ де-подобрения “за изследователи, работещи добросъвестно. Може би бихме могли да отстраним законовите щети от масата.“

Участниците напуснаха сесията с много по-добра представа за това какво в момента е незаконно и как законът трябва да се промени. И се зачудих… колко от водещите в Black Hat са технически престъпници, само за изследванията, които представят?