Criminalità informatica o ricerca legittima?

Un ricercatore scava in Windows, scopre un difetto (e una correzione) e riceve $ 100.000 da Microsoft. Un altro, minacciato di essere perseguito per presunto hacking, diventa scoraggiato e si toglie la vita. Alla conferenza di Black Hat 2014, un panel all-star ha discusso delle decisioni difficili che i ricercatori devono prendere e delle mine antiuomo che possono spuntare.

Marcia Hofmann, ex procuratore senior dell'Electronic Frontier Foundation, attualmente gestisce una pratica di diritto boutique con particolare attenzione alla criminalità informatica e alla sicurezza e argomenti correlati. Kevin Bankston, anch'egli avvocato senior presso il FEP, è il direttore politico dell'Open Technology Institute della New America Foundation, un gruppo dedicato alle "reti, piattaforme e tecnologie di comunicazione aperte, con particolare attenzione alle questioni della sorveglianza di Internet e censura." A capo del panel c'era Trey Ford, Global Security Strategist presso Rapid7 ed ex General Manager per Black Hat.

Il panel ha iniziato esaminando cinque importanti mine terrestri legali che potrebbero far atterrare i ricercatori in un mucchio di problemi. Hanno ammesso che questa parte della presentazione potrebbe sembrare un po 'secca, ma hanno incoraggiato i partecipanti a tenere duro per una discussione aperta e completa.

Legge sulle frodi e gli abusi di computer

"Il CFAA è una legge della metà degli anni ottanta, un momento diverso", ha dichiarato Hoffman. "Il suo divieto più grande sembra semplice. È illegale accedere intenzionalmente a un computer senza autorizzazione o andare oltre l'autorizzazione esistente per ottenere informazioni. Ma non definisce l'autorizzazione. I tribunali hanno lottato con questo. Che cosa rende l'accesso non autorizzato? Devi violare una barriera? ? Utilizzare la tecnologia significa ottenere l'accesso in un modo che il proprietario non ha previsto?"

Hoffman ha spiegato che una prima violazione è un reato, che potrebbe guadagnare fino a un anno di prigione. Tuttavia, un certo numero di circostanze può aumentare la violazione di un reato, tra cui l'intenzione di trarre profitto, informazioni acquisite per un valore superiore a $ 5.000 e "la promozione di un altro atto illegale". Aaron Swartz stava osservando una condanna per reato perché il governo ha affermato che gli articoli accademici a cui ha avuto accesso valgono più di $ 5.000.

Non si ferma qui. "Si può essere citati in giudizio per danni monetari in un caso civile", ha osservato Hoffman. "I giudici considerano le cause civili in modo diverso, eppure tali casi possono diventare precedenti per un procedimento penale". Ha spiegato che una parte privata può citare in giudizio se mostra $ 5.000 in perdite. "Una società potrebbe farti causa per aver parlato della vulnerabilità", ha continuato. "Potrebbero chiamare il costo della riparazione una perdita monetaria".

Il Digital Millennium Copyright Act

"Il DMCA è cugino del CFAA", ha dichiarato Bankston. "Il suo divieto fondamentale è che nessuna persona possa eludere la protezione di un'opera protetta da copyright. Questo è diverso dalla violazione del copyright. Se elimini la protezione, anche se non fai nulla di più, sei colpevole."

"Il DMCA è spaventoso, con sanzioni ancora più severe", ha spiegato Hoffman. "Le vittime possono fare causa per rilascio ingiuntivo (nel senso che è necessario interrompere ciò che si sta facendo), per danni monetari effettivi o per danni legali. Per ogni violazione, si paga da $ 200 a $ 2, 500, a discrezione del giudice. Per un testamento violazione o violazione per guadagno finanziario, puoi essere multato fino a mezzo milione e scontare cinque anni di carcere, e raddoppiarlo in caso di ripetuta violazione. Puoi davvero farti lanciare il libro."

Legge sulla privacy di Electronic Communicatons

"L'ECPA risale al 1986 ed è importante", ha dichiarato Bankston. "L'ACLU lo usa per proteggere la privacy dei cittadini. Ma è abbastanza ampio e vago da causare problemi ai ricercatori. Sono tre mine antiuomo in una." Ha continuato a dettagliare la intercettazioni telefoniche, le comunicazioni memorizzate e i componenti "pen register". Il terzo, "registro penna", si riferisce alla raccolta dei numeri che chiami o dei numeri che ti chiamano. "Il manuale del dipartimento di giustizia osserva che rintracciare il telefono di qualcuno potrebbe violare questo statuto", ha dichiarato Bankston, "quindi la loro politica è quella di ottenere un mandato".

"Wiretap è il più grande", ha continuato. "Può essere un crimine, ma sei anche soggetto a cause civili per danni sia effettivi che legali. Puoi essere multato di $ 100 al giorno per persona colpita o $ 10.000 a persona, a seconda di quale sia maggiore. Ricorda quella volta in cui Batman ha attivato il microfoni su tutti i cellulari di Gotham City? Anche Bruce Wayne potrebbe non essere in grado di pagare miliardi di dollari con multe."

Giochiamo a una partita?

Dopo aver esaminato i dettagli legali dichiaratamente asciutti, il pannello è passato al formato di uno spettacolo di gioco. No davvero! Sullo schermo era proiettata una grande griglia che elencava una serie di possibili componenti di un evento di sicurezza: l'attore, l'attività, il bersaglio, il motivo e un jolly. Quest'ultima categoria includeva articoli come "la vittima non ha danni monetari" e "sembra un hacker!"

Usando numeri casuali per selezionare elementi da ciascuna categoria, hanno creato scenari. Ad esempio, "un ricercatore accademico per la sicurezza accede all'e-mail del suo attuale datore di lavoro per la ricerca sulla sicurezza, senza alcun guadagno monetario". È una ricerca legittima o è un crimine? I relatori hanno invitato il pubblico a considerare quale statua potrebbe essere stata violata e quali potrebbero essere le conseguenze. Che bel modo di dare vita a quegli statuti! Il pubblico era decisamente impegnato.

Come possiamo fissare questo?

Sembra chiaro che molte azioni dei ricercatori sulla sicurezza potrebbero metterli nei guai. Come possiamo correggere le leggi? "Le aziende possono fare qualcosa per ridurre il freddo", ha affermato Hoffman. "Microsoft, Google e altri hanno programmi di amnistia. Vogliono conoscere le vulnerabilità, quindi lavorano per disinnescare le preoccupazioni sulle letture aggressive della legge."

Ha sottolineato "Aaron's Law", una proposta di modifica del CFAA introdotta dal rappresentante californiano Zoe Lofgren. "La legge di Aaron migliorerebbe il CFAA rendendolo esplicito esattamente cosa si intende per accesso non autorizzato." "La legge di Aaron eviterebbe la doppia e quadrupla carica che può avvenire ai sensi dell'attuale CFAA", ha osservato Bankston. "Ma si può fare di più. Proprio come abbiamo migliorie criminali per malafede, forse potremmo aggiungere" ridimensionamenti "per i ricercatori che lavorano in buona fede. Forse potremmo togliere i danni legali dal tavolo."

I partecipanti hanno lasciato la sessione con un'idea molto migliore di ciò che attualmente è illegale e di come la legge dovrebbe cambiare. E mi chiedevo… quanti presentatori di Black Hat sono tecnicamente criminali, solo per la ricerca che stanno presentando?