Відео: 6 s g Ð'интаж Роман (Вересень 2024)
Один дослідник копається у Windows, виявляє недолік (і виправляє) та отримує 100 000 доларів від Microsoft. Інший, загрожує притягненням до кримінальної відповідальності за нібито хакерство, стає зневіреним і забирає власне життя. На конференції "Чорна шапочка 2014" всезірковий комітет обговорив важкі рішення, які мають прийняти дослідники, і про законні міни, які можуть спливати.
Марсія Хофманн, одноразовий старший адвокат Фонду «Електронний кордон», в даний час керує практикою бутік-закону з акцентом на комп'ютерну злочинність та безпеку та пов'язані з цим теми. Кевін Банкстон, також одноразовий провідний адвокат EFF, є директором з питань політики Інституту відкритих технологій Фонду "Нова Америка", групи, присвяченої "відкритим комунікаційним мережам, платформам та технологіям, з акцентом на питання Інтернет-спостереження та цензура ». Ведучою комісії був Трей Форд, стратег із глобальної безпеки компанії Rapid7 та колишній генеральний директор Black Hat.
Експертна група розпочалася з перегляду п’яти значних законних мін, які могли б висадити дослідників у купу проблем. Вони зізналися, що ця частина презентації може здатися трохи сухою, але закликала присутніх провести повну відкриту дискусію.
Закон про комп'ютерні шахрайства та зловживання
"CFAA - закон із середини вісімдесятих років, інший час", - сказав Гофман. "Найбільша його заборона здається простою. Це незаконний навмисний доступ до комп'ютера без дозволу або виходити за межі існуючого дозволу на отримання інформації. Але це не визначає авторизацію. Суди боролися з цим. Що робить доступ несанкціонованим? Чи потрібно порушувати бар'єр? "Використовувати технічні засоби для отримання доступу таким чином, який власник не очікував?"
Гофман пояснив, що перше порушення - це проступка, можливо заробіток до року у в'язниці. Однак низка обставин може посилити порушення до злочину, серед них наміри отримати прибуток, отриману інформацію на суму понад 5000 доларів та “сприяння черговому незаконному діянню”. Аарон Суорц розглядав кримінальну судимість, оскільки уряд заявив, що академічні статті, до яких він звертався, коштують понад 5000 доларів.
Це не зупиняється на цьому. "Ви можете подати позов до грошових збитків у цивільній справі", - зазначив Гофман. "Судді дивляться на цивільні справи по-різному, але ці справи можуть стати прецедентом кримінальної справи". Вона пояснила, що приватна партія може подати до суду, якщо вона покаже 5000 доларів збитків. "Компанія може подати в суд на вас за те, що ви їм сказали про вразливість", - продовжувала вона. "Вони могли б назвати витрати на санацію грошовою втратою".
Закон про авторські права в цифровому тисячолітті
"DMCA є двоюрідним братом CFAA", - сказав Банкстон. "Основна його заборона полягає в тому, щоб ніхто не обходив захист захищеного авторським правом твору. Це відрізняється від порушення авторських прав. Якщо ви обходите захист, навіть якщо нічого більше не робите, ви винні".
"DMCA страшно, із ще жорсткішими штрафами", - пояснив Гофман. "Потерпілі можуть подати позов до суду про заборонне звільнення (тобто ви повинні припинити те, що ви робите), за фактичну грошову шкоду або за встановлену законом шкоду. За кожне порушення ви заплатите від $ 200 до $ 2500 на розсуд судді. порушення або порушення фінансової вигоди, вас можуть оштрафувати до півмільйона і відбути п’ять років в'язниці, і вдвічі перевищити це за повторне порушення. Ви дійсно можете закинути книгу на вас ".
Закон про конфіденційність електронних комунікаторів
"ECPA датується 1986 роком, і це важливо", - сказав Банкстон. "ACLU використовує це для захисту приватності громадян. Але це досить широке і розпливчасте значення, щоб викликати неприємності для дослідників. Це три міни в одному". Він продовжив деталізацію прослуховування, зберігання комунікацій та компонентів "реєстрації ручок". Третій, "регістр пера", стосується збору номерів, які ви дзвоните, або номерів, які вам дзвонять. "У власному посібнику департаменту юстиції зазначається, що відстеження чийогось телефону може порушити цей закон", - сказав Банкстон, - тому їх політика полягає в тому, щоб отримати ордер ".
"Wiretap - це великий", - продовжив він. "Це може бути кримінальним злочином, але ви також можете пред'явити цивільний позов як за фактичні, так і за встановлені законом збитки. Ви можете оштрафувати 100 доларів на день на кожну постраждалу особу або 10 000 доларів на особу, залежно від того, що більше. Пам'ятайте про той час, коли Бетмен включив мікрофони на всіх мобільних телефонах у Готем-Сіті? Навіть Брюс Уейн, можливо, не зможе заплатити мільярди доларів штрафу ".
Ми повинні грати в гру?
Опрацювавши загальноприйняті сухі юридичні деталі, панель перейшла до формату ігрового шоу. Насправді ні! На екрані було запропоновано велику сітку з переліком кількох можливих компонентів події безпеки: актора, активності, цілі, мотиву та підказки. Ця остання категорія включала такі предмети, як "жертва не має грошових збитків" та "схожа на хакера!"
Використовуючи випадкові числа для вибору елементів із кожної категорії, вони створювали сценарії. Наприклад, "академічний дослідник з питань безпеки отримує доступ до електронного листа свого поточного роботодавця для дослідження безпеки, без грошових вигод". Це правомірне дослідження, чи це злочин? Учасники дискусії запропонували присутнім розглянути питання про те, яка статуя може бути порушена, і які можуть бути наслідки. Який чудовий спосіб втілити в життя ці статути! Аудиторія напевно була заручена.
Як ми можемо це виправити?
Здається, зрозуміло, що багато дій дослідників з питань безпеки можуть привести їх у біду. Як ми можемо виправити закони? "Компанії можуть зробити щось, щоб зменшити застуду", - сказав Гофман. "Майкрософт, Google та інші мають програми амністії. Вони хочуть знати про вразливості, тому вони працюють над тим, щоб зменшити занепокоєння щодо агресивного читання закону".
Вона вказала на "Закон Аарона" - запропоновану зміну до CFAA, яку вніс представник Каліфорнії Зої Лофгрен. "Закон Аарона поліпшить CFAA, чітко пояснивши, що означає несанкціонований доступ". "Закон Аарона дозволить уникнути подвійної та чотириразової зарядки, яка може статися за чинної CFAA", - зазначив Банкстон. "Але можна зробити і більше. Так само, як у нас є поліпшення кримінальної справи за недобросовісність, можливо, ми могли б додати" знецінення "для дослідників, які працюють сумлінно. Можливо, ми могли б зняти встановлені збитки зі столу".
Присутні залишили сесію набагато кращого уявлення про те, що наразі є незаконним та як закон повинен змінитись. І я задумався… скільки присутніх у Black Hat є технічно злочинцями, лише за дослідження, яке вони представляють?
