Domov Varnostna ura Računalniški kriminal ali zakonita raziskava?

Računalniški kriminal ali zakonita raziskava?

Video: НОВЫЙ ОСТРОСЮЖЕТНЫЙ КРИМИНАЛЬНЫЙ БОЕВИК про 90-е! "БАНДЫ" Боевики, фильмы hd, кино (November 2024)

Video: НОВЫЙ ОСТРОСЮЖЕТНЫЙ КРИМИНАЛЬНЫЙ БОЕВИК про 90-е! "БАНДЫ" Боевики, фильмы hd, кино (November 2024)
Anonim

En raziskovalec se vkoplje v Windows, odkrije napako (in popravek) in od Microsofta prejme 100.000 dolarjev. Drugi, ki mu grozi kazenski pregon zaradi domnevnega krampanja, postane obupan in si vzame življenje. Na konferenci Black Hat 2014 je skupina z zvezdami razpravljala o težkih odločitvah, ki jih morajo sprejeti raziskovalci, in pravnih min, ki se lahko pojavijo.

Marcia Hofmann, enkratna višja odvetnica pri Electronic Frontier Foundation, trenutno vodi prakso butika, s poudarkom na računalniškem kriminalu in varnosti ter z njimi povezanih temah. Kevin Bankston, tudi enkrat višji odvetnik na EFF, je vodja politike Instituta za odprto tehnologijo Fundacije New America, skupine, namenjene "odprtemu komunikacijskim omrežjem, platformam in tehnologijam, s poudarkom na vprašanjih internetnega nadzora in cenzura. " Vodil je svet Trey Ford, globalni varnostni strateg pri Rapid7 in nekdanji generalni direktor za Black Hat.

Strokovni svet je začel s pregledom petih pomembnih pravnih min, ki bi raziskovalce lahko izsušile v velikem številu težav. Priznali so, da se bo ta del predstavitve morda zdel nekoliko suh, vendar so udeležence spodbudili k popolni, odprti razpravi.

Zakon o računalniških goljufijah in zlorabah

"CFAA je zakon iz sredine osemdesetih, drugačen čas, " je dejal Hoffman. "Njegova največja prepoved se zdi preprosta. Nezakonito je namerno dostopati do računalnika brez avtorizacije ali preseči obstoječe dovoljenje za pridobivanje informacij. Toda pooblastilo ne določa. Sodišča so se borila s tem. Kaj omogoča dostop nepooblaščen? Ali morate prekršiti oviro ? Uporabite tehnično sredstvo za dostop na način, ki ga lastnik ni predvideval?"

Hoffman je pojasnil, da je prva kršitev prekršek, po možnosti zaslužek do leta dni v zaporu. Vendar pa lahko številne okoliščine kršitev povečajo za kaznivo dejanje, med njimi namera za dobiček, pridobljene informacije v vrednosti več kot 5000 dolarjev in "pospeševanje drugega nezakonitega dejanja." Aaron Swartz je gledal na obsodbo, ker je vlada dejala, da so akademski članki, do katerih je dostopen, vredni več kot 5000 dolarjev.

Tu se ne ustavi. "V civilni zadevi vas lahko tožijo za denarno škodo, " je opozoril Hoffman. "Sodniki na civilne zadeve gledajo drugače, vendar lahko ti primeri postanejo precedens za kazenski postopek." Pojasnila je, da lahko zasebna stranka toži, če pokaže 5000 dolarjev izgube. "Podjetje bi vas lahko tožilo, če bi jim povedali o ranljivosti, " je nadaljevala. "Stroške sanacije bi lahko poimenovali denarna izguba."

Zakon o avtorskih pravicah digitalnega tisočletja

"DMCA je bratranec CFAA, " je dejal Bankston. "Njegova osnovna prepoved je, da nihče ne sme zaobiti zaščite avtorskega dela. To se razlikuje od kršitve avtorskih pravic. Če se izognete zaščiti, tudi če ne storite ničesar več, ste krivi."

"DMCA je strašljiva, s še strožjimi kaznimi, " je pojasnil Hoffman. "Žrtve lahko tožijo za odškodninsko tožbo (kar pomeni, da morate prenehati s tem, kar delate), za dejansko denarno škodo ali za zakonsko odškodnino. Za vsako kršitev boste po presoji sodnika plačali od 200 do 2500 dolarjev. Za naklepno kršitev ali kršitev zaradi finančne koristi, lahko vas kaznujejo do pol milijona in prestanete pet let zapora ter to podvojite ob ponovni kršitvi. Knjigo lahko resnično vržete vase."

Zakon o zasebnosti elektronskih komunikacij

"ECPA izvira iz leta 1986 in je pomembno, " je dejal Bankston. "ACLU ga uporablja za varovanje zasebnosti državljanov. Je pa dovolj širok in nejasen, da povzroča težave raziskovalcem. Gre za tri mine v enem." Nadaljeval je s podrobnostmi o prisluškovanju, shranjenih komunikacijah in komponentah "registrov peresa". Tretji, "register peresa", se nanaša na zbiranje številk, ki jih kličete, ali številk, ki vas kličejo. "Priročnik ministrstva za pravosodje ugotavlja, da bi sledenje nečemu telefonu lahko kršilo ta statut, " je dejal Bankston, "zato je njihova politika pridobitev naloga."

"Wiretap je velik, " je nadaljeval. "To je lahko kaznivo dejanje, vendar ste prav tako predmet civilne tožbe zaradi dejanske in zakonske odškodnine. Lahko vas kaznujejo v višini 100 dolarjev na dan na prizadeto osebo ali 10.000 dolarjev na osebo, kar je večje. Spomnite se tistega časa, ko je Batman vklopil mikrofoni na vseh mobitelih v Gotham Cityju? Tudi Bruce Wayne morda ne bi mogel plačati milijard dolarjev kazni."

Se igramo igro?

Po obdelavi pravzaprav suhih pravnih podrobnosti se je plošča preusmerila v obliko prikazovanja iger. Ne, res! Na zaslonu je bilo predvideno veliko omrežje, v katerem so bili navedeni številni sestavni deli varnostnega dogodka: akter, dejavnost, cilj, motiv in nadomestna karta. Ta zadnja kategorija je vključevala izdelke, kot sta "žrtev nima denarne škode" in "izgleda kot heker!"

S pomočjo naključnih številk za izbiro predmetov iz vsake kategorije so ustvarili scenarije. Na primer, "akademski raziskovalec varnosti dostopa do e-poštnega naslova trenutnega delodajalca za varnostne raziskave, brez denarnih koristi." Ali gre za legitimno raziskovanje ali gre za zločin? Strokovnjaki so občinstvo povabili, naj razmisli, kateri kip je bil morda kršen in kakšne so lahko posledice. Kakšen odličen način za oživitev teh statutov! Občinstvo je bilo vsekakor angažirano.

Kako lahko to popravimo?

Zdi se jasno, da bi jih lahko številni ukrepi raziskovalcev na področju varnosti spravili v težave. Kako lahko določimo zakone? "Podjetja lahko storijo, da zmanjšajo hlad, " je dejal Hoffman. "Microsoft, Google in drugi imajo programe za amnestijo. Želijo vedeti o ranljivostih, zato si prizadevajo za odpravljanje skrbi zaradi agresivnega branja zakona."

Izpostavila je "Aaronov zakon", predlagano spremembo CFAA, ki jo je uvedla kalifornijska predstavnica Zoe Lofgren. "Aaronov zakon bi izboljšal CFAA, tako da bi jasno povedal, kaj pomeni nepooblaščen dostop." "Aaronov zakon bi se izognil dvojnemu in štirikratnemu polnjenju, ki se lahko zgodi v okviru sedanje CFAA, " je opozoril Bankston. "Toda še več je mogoče storiti. Tako kot imamo zlorabe zaradi slabe vere, bi morda lahko dodali" odprave izboljšav "za raziskovalce, ki delujejo v dobri veri. Morda bi lahko odvzeli zakonsko odškodnino s stola."

Udeleženci so zasedanje zapustili z veliko boljšo predstavo o tem, kaj je trenutno nezakonito in kako naj se zakon spremeni. In spraševal sem se… koliko udeležencev v Black Hat je tehnično kriminalcev, samo zaradi raziskav, ki jih predstavljajo?

Računalniški kriminal ali zakonita raziskava?