Trang Chủ Đồng hồ an ninh Tội phạm máy tính hay nghiên cứu hợp pháp?

Tội phạm máy tính hay nghiên cứu hợp pháp?

Video: Người bán dâm chuyển giới bị bắn chết gây phẫn nộ ở Pháp (Tháng mười một 2024)

Video: Người bán dâm chuyển giới bị bắn chết gây phẫn nộ ở Pháp (Tháng mười một 2024)
Anonim

Một nhà nghiên cứu đào sâu vào Windows, phát hiện ra một lỗ hổng (và cách khắc phục) và nhận được 100.000 đô la từ Microsoft. Một người khác, bị đe dọa truy tố vì cáo buộc hack, trở nên tuyệt vọng và tự kết liễu đời mình. Tại hội nghị Black Hat 2014, một hội đồng toàn sao đã thảo luận về các quyết định khó khăn mà các nhà nghiên cứu phải đưa ra, và các quả mìn hợp pháp có thể bật lên.

Marcia Hofmann, luật sư cao cấp một lần tại Tổ chức biên giới điện tử, hiện đang quản lý một thực hành pháp luật cửa hàng với trọng tâm là tội phạm máy tính và bảo mật và các chủ đề liên quan. Kevin Bankston, cũng là luật sư cao cấp một lần tại EFF, là Giám đốc chính sách của Viện Công nghệ mở của Quỹ New America, một nhóm chuyên về "mạng truyền thông mở, nền tảng và công nghệ, tập trung vào các vấn đề giám sát Internet và kiểm duyệt. " Dẫn đầu bảng điều khiển là Trey Ford, Chiến lược gia an ninh toàn cầu tại Rapid7 và cựu Tổng giám đốc của Black Hat.

Hội thảo bắt đầu bằng cách xem xét năm quả mìn hợp pháp có thể khiến các nhà nghiên cứu hạ cánh gặp rắc rối. Họ thừa nhận phần trình bày này có vẻ hơi khô khan, nhưng khuyến khích người tham dự tiếp tục thảo luận đầy đủ, cởi mở.

Đạo luật lạm dụng và gian lận máy tính

"CFAA là một đạo luật từ giữa những năm tám mươi, một thời điểm khác, " Hoffman nói. "Sự cấm đoán lớn nhất của nó có vẻ đơn giản. Việc cố ý truy cập vào máy tính mà không được phép hoặc vượt quá ủy quyền hiện có để lấy thông tin là bất hợp pháp. Nhưng nó không xác định ủy quyền. Các tòa án đã đấu tranh với điều này. Điều gì khiến bạn truy cập trái phép? ? Sử dụng phương tiện công nghệ để có quyền truy cập theo cách mà chủ sở hữu không lường trước được? "

Hoffman giải thích rằng một vi phạm đầu tiên là tội nhẹ, có thể kiếm tới một năm tù. Tuy nhiên, một số trường hợp có thể tăng cường vi phạm thành một trọng tội, trong số đó có ý định lợi nhuận, thông tin thu được trị giá hơn 5.000 đô la và "tiếp tục hành vi bất hợp pháp khác". Aaron Swartz đang xem xét một bản án trọng tội vì chính phủ cho biết các bài báo học thuật mà anh truy cập trị giá hơn 5.000 đô la.

Nó không dừng lại ở đó. "Bạn có thể bị kiện vì thiệt hại tiền tệ trong vụ án dân sự", Hoffman lưu ý. "Các thẩm phán xem xét các vụ án dân sự khác nhau, nhưng những vụ án đó có thể trở thành tiền lệ cho một vụ án hình sự." Cô giải thích rằng một bên tư nhân có thể kiện nếu nó cho thấy khoản lỗ $ 5.000. "Một công ty có thể kiện bạn vì đã nói với họ về sự tổn thương", cô tiếp tục. "Họ có thể gọi chi phí khắc phục là tổn thất tiền tệ."

Đạo luật bản quyền thiên niên kỷ kỹ thuật số

"DMCA là anh em họ của CFAA, " Bankston nói. "Điều cấm cơ bản của nó là không ai có thể phá vỡ sự bảo vệ đối với tác phẩm có bản quyền. Điều này khác với vi phạm bản quyền. Nếu bạn phá vỡ sự bảo vệ, ngay cả khi bạn không làm gì thêm, bạn có tội."

"DMCA là đáng sợ, với hình phạt thậm chí còn khó khăn hơn, " Hoffman giải thích. "Nạn nhân có thể kiện đòi trả tự do (nghĩa là bạn phải dừng việc bạn đang làm), vì thiệt hại tiền tệ thực tế hoặc thiệt hại theo luật định. Đối với mỗi vi phạm, bạn sẽ trả từ 200 đến 2.500 đô la, theo quyết định của thẩm phán. vi phạm, hoặc vi phạm vì lợi ích tài chính, bạn có thể bị phạt tới nửa triệu và phải ngồi tù năm năm, và nhân đôi số đó khi vi phạm nhiều lần. Bạn thực sự có thể bị cuốn sách ném vào bạn. "

Đạo luật bảo mật điện tử Communicatons

"ECPA có từ năm 1986 và nó rất quan trọng", Bankston nói. "ACLU sử dụng nó để bảo vệ quyền riêng tư của công dân. Nhưng nó đủ rộng và mơ hồ để gây rắc rối cho các nhà nghiên cứu. Đó là ba quả mìn trong một." Ông đã đi vào chi tiết các máy nghe lén, thông tin liên lạc được lưu trữ và các thành phần "đăng ký bút". Thứ ba, "bút đăng ký", đề cập đến việc thu thập các số bạn gọi hoặc các số gọi cho bạn. "Ghi chú thủ công của bộ tư pháp rằng theo dõi điện thoại của ai đó có thể vi phạm quy chế này", Bankston nói, "vì vậy chính sách của họ là để có lệnh."

"Wiretap là một trong những lớn, " ông tiếp tục. "Đó có thể là một trọng tội, nhưng bạn cũng phải chịu các vụ kiện dân sự cho cả thiệt hại thực tế và theo luật định. Bạn có thể bị phạt 100 đô la mỗi ngày cho mỗi người bị ảnh hưởng hoặc 10.000 đô la mỗi người, tùy theo thời điểm nào khi Batman bật micro trên tất cả các điện thoại di động ở thành phố Gotham? Ngay cả Bruce Wayne có thể không thể trả hàng tỷ đô la tiền phạt. "

Chúng ta sẽ chơi một trò chơi?

Sau khi làm việc thông qua các chi tiết pháp lý khô khan thừa nhận, bảng điều khiển chuyển sang định dạng chương trình trò chơi. Không, thực sự! Chiếu trên màn hình là một lưới lớn liệt kê một số thành phần có thể có của một sự kiện bảo mật: diễn viên, hoạt động, mục tiêu, động cơ và thẻ hoang dã. Danh mục cuối cùng này bao gồm các mục như "nạn nhân không có thiệt hại về tiền tệ" và "trông giống như một hacker!"

Sử dụng số ngẫu nhiên để chọn các mục từ mỗi danh mục, họ đã tạo ra các kịch bản. Ví dụ: "một nhà nghiên cứu bảo mật học thuật truy cập email của nhà tuyển dụng hiện tại của mình để nghiên cứu bảo mật, không có lợi ích tiền tệ." Đó là nghiên cứu hợp pháp, hay nó là một tội ác? Các thành viên tham gia hội thảo đã mời khán giả xem xét bức tượng nào có thể đã bị vi phạm và hậu quả có thể là gì. Thật là một cách tuyệt vời để đưa những đạo luật đó vào cuộc sống! Khán giả chắc chắn đã tham gia.

Làm thế nào chúng ta có thể khắc phục điều này?

Dường như rõ ràng rằng nhiều hành động của các nhà nghiên cứu bảo mật có thể khiến họ gặp rắc rối. Làm thế nào chúng ta có thể sửa chữa pháp luật? "Các công ty có thể làm mọi thứ để giảm bớt sự lạnh lẽo", Hoffman nói. "Microsoft, Google và những người khác có các chương trình ân xá. Họ muốn biết về các lỗ hổng, vì vậy họ làm việc để xoa dịu những lo lắng về việc đọc luật pháp tích cực."

Cô đã chỉ ra "Luật của Aaron", một thay đổi được đề xuất đối với CFAA do đại diện của California Zoe Lofgren giới thiệu. "Luật của Aaron sẽ cải thiện CFAA bằng cách làm cho nó rõ ràng những gì có nghĩa là truy cập trái phép." "Luật của Aaron sẽ tránh việc tính phí gấp đôi và gấp bốn lần có thể xảy ra theo CFAA hiện tại", Bankston lưu ý. "Nhưng nhiều việc có thể được thực hiện. Cũng giống như chúng ta có những cải thiện trọng tội cho đức tin xấu, có lẽ chúng ta có thể thêm 'cải tiến' cho các nhà nghiên cứu làm việc với đức tin tốt. Có lẽ chúng ta có thể nhận những thiệt hại theo luật định."

Những người tham dự rời phiên với ý tưởng tốt hơn nhiều về những gì hiện đang bất hợp pháp và luật pháp nên thay đổi như thế nào. Và tôi đã tự hỏi rằng có bao nhiêu người thuyết trình tại Black Hat là tội phạm kỹ thuật, chỉ vì nghiên cứu mà họ đang trình bày?

Tội phạm máy tính hay nghiên cứu hợp pháp?