Video: The Second Life Of A CIA Double Agent (Listopad 2024)
Jeden výzkumný pracovník kope do Windows, objevuje vadu (a opravu) a od společnosti Microsoft dostává 100 000 $. Další, ohrožený stíháním za údajné hackování, se stává sklíčeným a bere si svůj vlastní život. Na konferenci Black Hat 2014 panelová diskuse o závažných rozhodnutích, která musí vědci učinit, ao legálních nášlapných minách, které se mohou objevit.
Marcia Hofmann, jednorázová vedoucí právnička v Electronic Frontier Foundation, v současné době řídí praxi v oblasti butikového práva se zaměřením na počítačovou kriminalitu a bezpečnost a související témata. Kevin Bankston, jednorázový vedoucí právník EFF, je ředitelem politiky Open Technology Institute New America Foundation, skupiny věnované „otevřeným komunikačním sítím, platformám a technologiím“ se zaměřením na otázky internetového dohledu a cenzura." Vedoucím panelu byli Trey Ford, Global Security Strategist ve společnosti Rapid7 a bývalý generální ředitel pro Black Hat.
Panel začal přezkoumáním pěti významných legálních nášlapných min, které by mohly vědce vyložit v hromadu problémů. Připustili, že tato část prezentace se může zdát trochu suchá, ale povzbudili účastníky, aby vydrželi v plné otevřené diskusi.
Zákon o počítačových podvodech a zneužívání
„CFAA je zákon z poloviny osmdesátých let, jindy, “ řekl Hoffman. „Jeho největší zákaz se zdá být jednoduchý. Je nezákonné mít úmyslný přístup k počítači bez oprávnění nebo překračovat stávající oprávnění k získání informací. Ale nedefinuje autorizaci. Soudy s tím zápasily. Co způsobuje neoprávněný přístup? Musíte porušit bariéru. "Použijte technické prostředky k získání přístupu způsobem, který majitel neočekával?"
Hoffman vysvětlil, že první porušení je přestupek, možná vydělávat až rok ve vězení. Řada okolností však může toto porušení zvýšit na zločin, mezi něž patří i úmysl profitovat, informace získané v hodnotě vyšší než 5 000 USD a „podpora dalšího nezákonného činu“. Aaron Swartz se díval na zločinné přesvědčení, protože vláda uvedla, že akademické články, které navštívil, mají hodnotu více než 5 000 dolarů.
Tam to nekončí. „V občanském případě můžete být žalován za peněžní škody, “ poznamenal Hoffman. „Soudci se na občanské případy dívají jinak, ale tyto případy se mohou stát precedensem pro trestní řízení.“ Vysvětlila, že soukromá strana může žalovat, pokud vykazuje ztráty 5 000 dolarů. „Společnost tě může žalovat za to, že jsi jim řekla o zranitelnosti, “ pokračovala. "Mohli by nazvat náklady na sanaci peněžní ztrátou."
Zákon o autorských právech v oblasti digitálních tisíciletí
"DMCA je bratranec CFAA, " řekl Bankston. „Jeho základním zákazem je, že nikdo nesmí obcházet ochranu díla chráněného autorskými právy. To se liší od porušení autorských práv. Pokud obejdete ochranu, i když nic neuděláte, jste vinni.“
„DMCA je děsivá, s ještě přísnějšími tresty, “ vysvětlil Hoffman. „Oběti se mohou domáhat soudního propuštění (což znamená, že musíte zastavit to, co děláte), za skutečné peněžní škody nebo za zákonné škody. Za každé porušení zaplatíte podle uvážení soudce 200 až 2 500 $. za porušení nebo za finanční zisk, může vám být uložena pokuta až do půl milionu a pět let ve výkonu trestu odnětí svobody, a to dvojnásobně za opakované porušení. Opravdu na vás může být kniha uvržena. ““
Zákon o ochraně osobních údajů v elektronických komunikacích
„ECPA pochází z roku 1986 a je to důležité, “ uvedla Bankston. „ACLU ji používá k ochraně soukromí občanů. Je však dostatečně široká a vágní, aby vědcům způsobovala potíže. Jsou to tři nášlapné miny v jednom.“ Pokračoval v podrobnostech odposlechů, uložených komunikacích a komponentách „registrace pera“. Třetí „registr perů“ se týká shromažďování čísel, která voláte, nebo čísel, která vám volají. „Vlastní příručka ministerstva spravedlnosti uvádí, že sledování něčího telefonu by mohlo porušovat tento statut, “ řekla Bankston, „takže jejich politikou je získání rozkazu.“
„Wiretap je ten velký, “ pokračoval. „Může to být těžký zločin, ale také jste předmětem občanskoprávního řízení za skutečné i zákonné škody. Může vám být uložena pokuta 100 USD za den za postiženou osobu nebo 10 000 USD za osobu, podle toho, co je větší. Pamatujte na ten čas, kdy Batman zapnul mikrofony na všech mobilních telefonech v Gotham City? Dokonce ani Bruce Wayne nemusí být schopen zaplatit pokuty miliard dolarů. “
Budeme hrát hru?
Poté, co pracoval přes připustil suché právní detaily, panel se přesunul do formátu herní show. Né vážně! Na obrazovce byla promítnuta velká mřížka se seznamem možných komponent bezpečnostní události: herec, aktivita, cíl, motiv a divoká karta. Tato poslední kategorie zahrnovala položky jako „oběť nemá žádné peněžní škody“ a „vypadá jako hacker!“
Pomocí náhodných čísel vybrali položky z každé kategorie a vytvořili scénáře. Například „akademický pracovník zabývající se bezpečností přistupuje k e-mailu svého současného zaměstnavatele za účelem výzkumu bezpečnosti, a to bez peněžního zisku.“ Je to legitimní výzkum nebo je to zločin? Panelisté vyzvali publikum, aby zvážilo, jaká socha mohla být porušena a jaké by mohly být důsledky. Jak skvělý způsob, jak tyto stanovy oživit! Publikum bylo rozhodně zasnoubené.
Jak to můžeme opravit?
Zdá se jasné, že mnoho akcí výzkumných pracovníků v oblasti bezpečnosti by je mohlo dostat do potíží. Jak můžeme opravit zákony? „Společnosti mohou dělat věci, aby zmírnily zimu, “ řekl Hoffman. "Microsoft, Google a další mají programy amnestie. Chtějí vědět o zranitelnostech, takže se snaží zbavit starostí o agresivní čtení zákona."
Poukázala na „Aaronův zákon“, navrhovanou změnu CFAA, kterou představil kalifornský zástupce Zoe Lofgren. „Aaronův zákon by zlepšil CFAA tím, že by byl výslovně definován, co se myslí neoprávněným přístupem.“ „Aaronův zákon by se vyhnul dvojnásobnému a čtyřnásobnému nabíjení, které se může stát při současné CFAA, “ poznamenal Bankston. „Ale toho lze udělat víc. Stejně jako máme vylepšení zločinů pro špatnou víru, možná bychom mohli přidat„ vylepšení “pro vědce, kteří pracují v dobré víře. Možná bychom mohli ze stolu odstranit zákonné škody.“
Účastníci opustili relaci s mnohem lepší představou o tom, co je v současné době nezákonné a jak by se zákon měl změnit. A já jsem přemýšlel… kolik přednášejících v Black Hat jsou technicky zločinci, jen pro výzkum, který předkládají?
