Компьютерное преступление или законное исследование?

Один исследователь копается в Windows, обнаруживает недостаток (и исправление) и получает от Microsoft 100 000 долларов. Другой, которому грозит уголовное преследование за предполагаемый взлом, впадает в уныние и лишает себя жизни. На конференции Black Hat 2014 все звезды обсуждали трудные решения, которые должны принять исследователи, и юридические мины, которые могут появиться.

Марсия Хофманн, бывшая старшая юристка Electronic Frontier Foundation, в настоящее время руководит юридической практикой, специализирующейся на компьютерных преступлениях и безопасности и связанных с ними темах. Кевин Бэнкстон, также бывший адвокат старшего звена в EFF, является директором по политике Института открытых технологий Фонда Новой Америки, группы, занимающейся «открытыми коммуникационными сетями, платформами и технологиями, с акцентом на вопросы наблюдения в Интернете и цензура «. Руководителем группы был Трей Форд, стратег по глобальной безопасности в Rapid7 и бывший генеральный директор Black Hat.

Группа начала с рассмотрения пяти значительных законных наземных мин, которые могут доставить исследователей в кучу неприятностей. Они признали, что эта часть презентации может показаться немного сухой, но призвали участников придерживаться полного открытого обсуждения.

Закон о компьютерном мошенничестве и злоупотреблениях

«CFAA - это закон середины восьмидесятых, другое время», - сказал Хоффман. «Его самый большой запрет кажется простым. Это незаконно, чтобы преднамеренно получать доступ к компьютеру без авторизации или выходить за рамки существующей авторизации для получения информации. Но это не определяет авторизацию. Суды боролись с этим. Что делает доступ несанкционированным? Должны ли вы преодолеть барьер? «Используйте технические средства, чтобы получить доступ таким образом, который владелец не ожидал?»

Хоффман объяснил, что первым нарушением является проступок, возможно, зарабатывание до года в тюрьме. Тем не менее, ряд обстоятельств может усилить нарушение уголовного преступления, в том числе намерение получить прибыль, полученную информацию на сумму более 5000 долларов и «содействие другому незаконному деянию». Аарон Шварц смотрел на осуждение за тяжкое уголовное преступление, потому что правительство заявило, что академические статьи, к которым он обращался, стоят более 5000 долларов.

Это не останавливается там. «Вы можете быть привлечены к ответственности за материальный ущерб в гражданском деле», отметил Хоффман. «Судьи смотрят на гражданские дела по-другому, но эти дела могут стать прецедентом для уголовного дела». Она объяснила, что частная сторона может подать в суд, если она покажет убытки в размере 5000 долларов. «Компания может подать в суд на вас за сообщение об уязвимости», - продолжила она. «Они могли бы назвать стоимость исправления денежной потерей».

Закон о защите авторских прав в цифровую эпоху

«DMCA является двоюродным братом CFAA», - сказал Бэнкстон. «Его основной запрет заключается в том, что никто не может обойти защиту защищенного авторским правом произведения. Это отличается от нарушения авторского права. Если вы обойдете защиту, даже если вы больше ничего не делаете, вы виновны».

«DMCA страшен, с еще более жесткими штрафами», объяснил Хоффман. «Жертвы могут подать в суд на судебный запрет (то есть вы должны прекратить то, что вы делаете), за реальный денежный ущерб или за установленный законом ущерб. За каждое нарушение вы будете платить от 200 до 2500 долларов по усмотрению судьи. нарушение или нарушение в целях получения финансовой выгоды, вы можете быть оштрафованы на сумму до полумиллиона и отбыть пять лет тюремного заключения и удвоить это за повторное нарушение. Вы действительно можете получить брошенную книгу.

Закон о конфиденциальности электронных сообщений

«ECPA датируется 1986 годом, и это важно», - сказал Бэнкстон. «ACLU использует его для защиты неприкосновенности частной жизни граждан. Но он достаточно широкий и неопределенный, чтобы создавать проблемы для исследователей. Это три мины в одной». Затем он подробно рассказал о прослушивании телефонных разговоров, сохраненных сообщениях и компонентах «регистра пера». Третий, «регистр ручки», относится к сбору номеров, по которым вы звоните, или номеров, которые вам звонят. «В собственном руководстве Министерства юстиции отмечается, что отслеживание чьего-либо телефона может нарушить этот закон, - сказал Бэнкстон, - поэтому их политика заключается в получении ордера».

«Подслушивающее устройство является большим», продолжил он. «Это может быть тяжким уголовным преступлением, но вы также можете быть привлечены к гражданскому иску за фактический и установленный законом ущерб. Вы можете быть оштрафованы на 100 долларов в день на каждого пострадавшего или 10000 долларов на человека, в зависимости от того, что больше. Помните, когда Бэтмен включил микрофоны на всех мобильных телефонах в Готэм-сити? Даже Брюс Уэйн не сможет заплатить штрафы в миллиарды долларов ".

Должны ли мы играть в игру?

После проработки, по общему признанию, сухих юридических деталей, панель переключилась на формат игрового шоу. Нет, правда! На экране была спроектирована большая сетка, в которой перечислялись возможные компоненты события безопасности: актер, действие, цель, мотив и подстановочный знак. Эта последняя категория включала такие пункты, как «жертва не имеет денежного ущерба» и «выглядит как хакер!»

Используя случайные числа, чтобы выбрать элементы из каждой категории, они создали сценарии. Например, «академический исследователь безопасности получает доступ к электронной почте своего нынешнего работодателя для исследования безопасности без денежной выгоды». Это законное исследование или преступление? Участники дискуссии предложили аудитории подумать, какая статуя могла быть нарушена и каковы могут быть последствия. Какой отличный способ воплотить эти законы в жизнь! Аудитория была определенно помолвлена.

Как мы можем это исправить?

Кажется очевидным, что многие действия исследователей безопасности могут привести к неприятностям. Как мы можем исправить законы? «Компании могут сделать что-то, чтобы уменьшить холод», - сказал Хоффман. «У Microsoft, Google и других есть программы амнистии. Они хотят знать об уязвимостях, поэтому стараются развеять опасения по поводу агрессивного чтения закона».

Она указала на «Закон Аарона» - предлагаемое изменение в CFAA, представленное представителем Калифорнии Зоей Лофгрен. «Закон Аарона улучшил бы CFAA, четко указав, что означает несанкционированный доступ». «Закон Аарона позволил бы избежать двойной и четырехкратной зарядки, которая может произойти в соответствии с действующим CFAA», - отметил Бэнкстон. «Но многое можно сделать. Так же, как у нас есть улучшения в уголовном правонарушении для недобросовестности, возможно, мы могли бы добавить« де-улучшения »для исследователей, работающих добросовестно. Возможно, мы могли бы снять установленные законом убытки со стола».

Участники покинули сессию с гораздо лучшим представлением о том, что в настоящее время незаконно и как должен измениться закон. И мне было интересно… сколько из докладчиков в Black Hat технически преступники, только для исследования, которое они представляют?