Video: Waarheid en democratie tussen historisch onderzoek en oorlogsherinnering (November 2024)
Eén onderzoeker graaft in Windows, ontdekt een fout (en een oplossing) en ontvangt $ 100.000 van Microsoft. Een ander, bedreigd met vervolging wegens vermeende hacking, wordt moedeloos en neemt zijn eigen leven. Op de Black Hat 2014-conferentie besprak een all-star panel de moeilijke beslissingen die onderzoekers moeten nemen en de legale landmijnen die kunnen opduiken.
Marcia Hofmann, eenmalig senior advocaat bij de Electronic Frontier Foundation, beheert momenteel een boetiekpraktijk met een focus op computercriminaliteit en -beveiliging en aanverwante onderwerpen. Kevin Bankston, ook eenmalig senior advocaat bij het EVF, is de beleidsdirecteur van het Open Technology Institute van de New America Foundation, een groep gewijd aan 'open communicatienetwerken, platforms en technologieën, met een focus op kwesties van internetbewaking en censuur." Leider van het panel was Trey Ford, Global Security Strategist bij Rapid7 en voormalig General Manager voor Black Hat.
Het panel begon met het beoordelen van vijf belangrijke legale landmijnen die onderzoekers in een hoop problemen konden brengen. Ze gaven toe dat dit gedeelte van de presentatie misschien een beetje droog leek, maar moedigden de aanwezigen aan om een volledige, open discussie te houden.
De wet computerfraude en misbruik
"De CFAA is een wet uit het midden van de jaren tachtig, een andere tijd, " zei Hoffman. "Het grootste verbod lijkt eenvoudig. Het is illegaal om opzettelijk toegang te krijgen tot een computer zonder autorisatie, of verder te gaan dan bestaande autorisatie om informatie te verkrijgen. Maar het definieert geen autorisatie. Rechters hebben hier moeite mee. Wat maakt toegang ongeautoriseerd? Moet je een barrière doorbreken?" ? Gebruik technische middelen om toegang te krijgen op een manier die de eigenaar niet had voorzien?"
Hoffman legde uit dat een eerste overtreding een misdrijf is en mogelijk tot een jaar gevangenisstraf verdient. Een aantal omstandigheden kan de overtreding van een misdrijf echter vergroten, waaronder winstoogmerk, informatie die meer dan $ 5.000 waard is en 'bevordering van een andere illegale handeling'. Aaron Swartz keek naar een misdrijfveroordeling omdat de regering zei dat de academische artikelen die hij gebruikte meer dan $ 5.000 waard waren.
Daar stopt het niet. "U kunt worden aangeklaagd voor geldelijke schade in een civiele zaak, " merkte Hoffman op. "Rechters kijken anders naar civiele zaken, maar die zaken kunnen precedent worden voor een strafzaak." Ze legde uit dat een private partij kan aanklagen als er $ 5.000 verlies is. "Een bedrijf kan je aanklagen omdat je hen over kwetsbaarheid vertelt , " ging ze verder. "Ze zouden de saneringskosten een monetair verlies kunnen noemen."
De Digital Millennium Copyright Act
"De DMCA is een neef van de CFAA, " zei Bankston. "Het basisverbod is dat niemand de bescherming van een auteursrechtelijk beschermd werk zal omzeilen. Dit verschilt van inbreuk op het auteursrecht. Als u de bescherming omzeilt, zelfs als u niets meer doet, bent u schuldig."
"De DMCA is eng, met nog zwaardere straffen", legt Hoffman uit. "Slachtoffers kunnen een gerechtelijke vordering instellen (wat betekent dat u moet stoppen met wat u doet), voor werkelijke geldelijke schadevergoeding of voor wettelijke schadevergoeding. Voor elke overtreding betaalt u van $ 200 tot $ 2.500, naar keuze van de rechter. Voor een opzettelijke wil overtreding, of overtreding voor financieel gewin, je kunt een boete krijgen van maximaal een half miljoen en vijf jaar gevangenisstraf krijgen, en dat verdubbelen bij een herhaalde overtreding. Je kunt het boek echt naar je toe gooien."
De Electronic Communicatons Privacy Act
"De ECPA dateert uit 1986 en dat is belangrijk", aldus Bankston. "De ACLU gebruikt het om de privacy van burgers te beschermen. Maar het is breed en vaag genoeg om problemen te veroorzaken voor onderzoekers. Het zijn drie landmijnen in één." Hij ging verder met het beschrijven van de aftap, opgeslagen communicatie en "penregister" componenten. Het derde, 'penregister', verwijst naar het verzamelen van de nummers die u belt of de nummers die u bellen. "De eigen handleiding van het ministerie van Justitie merkt op dat het volgen van iemands telefoon mogelijk in strijd is met dit statuut", aldus Bankston, "dus is het beleid om een bevel te krijgen."
"Wiretap is de grote, " ging hij verder. "Het kan een misdrijf zijn, maar je bent ook onderworpen aan een civiele procedure voor zowel werkelijke als wettelijke schade. Je kunt een boete krijgen van $ 100 per dag per getroffen persoon of $ 10.000 per persoon, afhankelijk van wat groter is. Denk eraan dat Batman de microfoons op alle mobiele telefoons in Gotham City? Zelfs Bruce Wayne kan misschien niet de miljarden dollars aan boetes betalen."
Zullen we een spel spelen?
Na het doornemen van de weliswaar droge juridische details, verschoof het paneel naar een spelshowformaat. Nee echt! Op het scherm werd een groot raster geprojecteerd met een aantal mogelijke componenten van een beveiligingsgebeurtenis: de acteur, de activiteit, het doel, het motief en een jokerteken. Deze laatste categorie omvatte items als "slachtoffer heeft geen geldelijke schade" en "ziet eruit als een hacker!"
Met behulp van willekeurige getallen om items uit elke categorie te selecteren, creëerden ze scenario's. Bijvoorbeeld: "een academische beveiligingsonderzoeker heeft toegang tot de e-mail van zijn huidige werkgever voor beveiligingsonderzoek, zonder geldelijk gewin." Is het legitiem onderzoek of is het een misdaad? De panelleden nodigden het publiek uit om na te denken over welk standbeeld mogelijk is geschonden en wat de gevolgen kunnen zijn. Wat een geweldige manier om die statuten tot leven te brengen! Het publiek was zeker betrokken.
Hoe kunnen we dit oplossen?
Het lijkt duidelijk dat veel acties van beveiligingsonderzoekers hen in de problemen kunnen brengen. Hoe kunnen we de wetten vaststellen? "Bedrijven kunnen dingen doen om de kilte te verminderen, " zei Hoffman. "Microsoft, Google en anderen hebben amnestieprogramma's. Ze willen weten wat kwetsbaarheden zijn, dus werken ze aan het wegnemen van zorgen over agressieve wettelijke bepalingen."
Ze wees op 'de wet van Aaron', een voorgestelde wijziging van de CFAA geïntroduceerd door de vertegenwoordiger van Californië, Zoe Lofgren. "De wet van Aaron zou de CFAA verbeteren door expliciet te maken wat bedoeld wordt met ongeautoriseerde toegang." "De wet van Aaron zou het dubbele en viervoudige opladen vermijden dat kan gebeuren onder de huidige CFAA", aldus Bankston. "Maar er kan meer worden gedaan. Net zoals we misdrijfverbeteringen hebben voor kwade trouw, kunnen we misschien 'de-verbeteringen' toevoegen voor onderzoekers die te goeder trouw werken. Misschien kunnen we wettelijke schadevergoeding van de tafel nemen."
Deelnemers verlieten de sessie met een veel beter idee van wat momenteel illegaal is en hoe de wet zou moeten veranderen. En ik vroeg me af… hoeveel van de presentatoren bij Black Hat zijn technisch criminelen, alleen voor het onderzoek dat ze presenteren?
