Video: TLDR MAD kakkoskausi on täällä! Kaikki jaksot Yle Areenassa - TLDR+ (Marraskuu 2024)
Yksi tutkija haastaa Windowsin, löytää virheen (ja korjauksen) ja saa 100 000 dollaria Microsoftilta. Toisesta, jota uhkaa syytteeseen väitetystä hakkeroinnista, tulee epätoivoinen ja hän ottaa oman henkensä. Black Hat 2014 -konferenssissa all-star paneeli keskusteli tutkijoiden vaikeista päätöksistä ja laillisista miinoista, jotka voivat esiin nousta.
Marcia Hofmann, Electronic Frontier -säätiön kertaluonteinen asianajaja, johtaa tällä hetkellä putiikkilakia, keskittyen tietokonerikollisuuteen ja tietoturvaan sekä niihin liittyviin aiheisiin. Kevin Bankston, myös kertaluonteinen asianajaja EKTR: ssä, on New America Foundation -säätiön Open Technology Institute -politiikan johtaja. Ryhmä on omistettu "avoimille viestintäverkoille, alustoille ja tekniikoille keskittyen Internetin valvontaan ja sensuuri." Paneelin johdossa oli Trey Ford, Rapid7: n globaali turvallisuusstrategia ja entinen Black Hatin toimitusjohtaja.
Lautakunta aloitti tarkastelemalla viittä merkittävää laillista miinoa, jotka voisivat purkaa tutkijoita kasassa vaikeuksia. He myönsivät, että tämä osa esityksestä saattaa vaikuttaa hiukan kuivalta, mutta rohkaisivat osallistujia pitämään kiinni täydellisestä, avoimesta keskustelusta.
Laki tietokonepetoksista ja väärinkäytöksistä
"CFAA on 1980-luvun puolivälin laki, eri aikaan", sanoi Hoffman. "Sen suurin kielto näyttää yksinkertaiselta. On laitonta käyttää tietokonetta tarkoituksellisesti ilman lupaa tai ylittää olemassa olevan valtuutuksen tietoja saadakseen. Mutta se ei määrittele valtuutusta. Tuomioistuimet ovat kamppailleet tämän kanssa. Mikä tekee pääsyn luvattomaksi? Pitäisikö sinun ylittää este? ? Käytä teknisillä keinoilla pääsyä tavalla, jota omistaja ei ennakoinut?"
Hoffman selitti, että ensimmäinen rikkomus on väärää, mahdollisesti ansaitsemalla jopa vuosi vankilassa. Useat olosuhteet voivat kuitenkin lisätä rikkomusta rikokseen, muun muassa voittoa varten, yli 5000 dollarin arvosta saatuja tietoja ja "muun laittoman toiminnan edistäminen". Aaron Swartz tarkasteli rikostuomiota, koska hallitus totesi, että akateemisten artikkeleiden arvo oli yli 5000 dollaria.
Se ei lopu tähän. "Voit nostaa rahallisia vahingonkorvauskanteita siviilioikeudenkäynnissä", totesi Hoffman. "Tuomarit tarkastelevat siviilioikeudellisia asioita eri tavoin, mutta niistä voi tulla ennakkotapaus rikosasioissa." Hän selitti, että yksityinen osapuoli voi nostaa kanteen, jos se osoittaa 5000 dollarin tappiota. "Yhtiö voi haastaa sinut kertomaan heille haavoittuvuudesta", hän jatkoi. "He voisivat kutsua kunnostamisen kustannuksia rahalliseksi menetykseksi."
Digitaalisen vuosituhannen tekijänoikeuslaki
"DMCA on CFAA: n serkku", sanoi Bankston. "Sen peruskielto on, että kukaan ei saa kiertää tekijänoikeudella suojatun teoksen suojaa. Tämä eroaa tekijänoikeuksien loukkauksista. Jos kiertää suojaa, vaikka et tekisikään mitään muuta, olet syyllinen."
"DMCA on pelottava, entistä tiukempien rangaistusten kanssa", Hoffman selitti. "Uhrit voivat haastaa oikeudenkäynnistä vapauttamisesta (eli sinun on lopetettava tekemäsi), tosiasiallisista rahallisista vahingoista tai lakisääteisistä vahingoista. Jokaisesta rikkomuksesta maksat 200–2 500 dollaria tuomarin harkinnan mukaan. Tahtoisesta rikkomus tai rikkomus taloudellisen hyödyn saamiseksi, sinulle voidaan määrätä sakko jopa puoli miljoonaa ja palvella viisi vuotta vankilassa, ja kaksinkertaistaa se toistuvan rikkomuksen yhteydessä. Voit todellakin heittää kirjan itseesi."
Sähköisen viestinnän tietosuojalaki
"ECPA on vuodelta 1986, ja se on tärkeä", sanoi Bankston. "ACLU käyttää sitä kansalaisten yksityisyyden suojelemiseen. Mutta se on riittävän laaja ja epämääräinen aiheuttamaan ongelmia tutkijoille. Se on kolme maamiinaa yhdessä." Hän jatkoi langanapin, tallennetun viestinnän ja "kynärekisterin" komponenttien yksityiskohtia. Kolmas, "kynärekisteri", tarkoittaa kerättyjen numeroiden tai numeroiden keräämistä. "Oikeusministeriön oma käsikirja toteaa, että jonkun puhelimen seuraaminen saattaa rikkoa tätä lakia", sanoi Bankston, "joten heidän politiikkansa on saada määräys."
"Wiretap on iso", hän jatkoi. "Se voi olla rikos, mutta olet myös siviilioikeudenkäynnissä sekä todellisista että lakisääteisistä vahingoista. Voit sakottaa 100 dollaria päivässä per henkilö, jota asia koskee, tai 10 000 dollaria henkilöä, sen mukaan kumpi on suurempi. Muista se aika, jolloin Batman käynnisti mikrofonit kaikissa matkapuhelimissa Gotham Cityssä? Jopa Bruce Wayne ei ehkä pysty maksamaan miljardeja dollareita sakkoja."
Pitäisikö meidän pelata peliä?
Tutkittuaan tosin kuivat juridiset yksityiskohdat, paneeli siirtyi pelinäyttelymuotoon. Oikeasti! Näytölle projisoitu oli iso ruudukko, jossa oli lueteltu useita mahdollisia tietoturvatapahtuman komponentteja: näyttelijä, aktiviteetti, kohde, motiivi ja jokerikortti. Viimeinen luokka sisälsi sellaisia esineitä kuin "uhrilla ei ole rahallisia vahinkoja" ja "näyttää hakkeri!"
Ne loivat skenaarioita satunnaislukujen avulla kohteiden valitsemiseksi jokaisesta luokasta. Esimerkiksi "akateeminen turvallisuustutkija käyttää nykyisen työnantajansa sähköpostia turvallisuustutkimusta varten ilman rahallista hyötyä". Onko se laillista tutkimusta vai rikos? Paneelin jäsenet kutsuivat yleisöä pohtimaan, mitä patsasta on mahdollisesti rikottu, ja mitkä voivat olla seuraukset. Mikä hieno tapa saada nämä säädökset elämään! Yleisö oli ehdottomasti kiinnostunut.
Kuinka voimme korjata tämän?
Vaikuttaa selvältä, että monet turvallisuustutkijoiden toimet voivat saada heidät vaikeuksiin. Kuinka voimme vahvistaa lait? "Yritykset voivat tehdä asioita vähentääkseen chilliä", sanoi Hoffman. "Microsoftilla, Googlella ja muilla on amnestiaohjelmia. He haluavat tietää haavoittuvuuksista, joten pyrkivät poistamaan huolensa aggressiivisista lainlukemista."
Hän huomautti "Aaronin laista" Kalifornian edustajan Zoe Lofgrenin ehdottamasta CFAA: n muutoksesta. "Aaronin laki parantaisi CFAA: ta tekemällä siitä selväksi, mitä tarkoitetaan luvattomalla pääsyllä." "Aaronin laki välttää kaksinkertaisen ja nelinkertaisen laskutuksen, joka voi tapahtua nykyisen CFAA: n nojalla", totesi Bankston. "Mutta voimme tehdä enemmän. Aivan kuten meillä on vilpillisiä parannuksia vilpillisestä uskosta, voisimme lisätä" parannuksia "vilpittömässä mielessä työskenteleville tutkijoille. Ehkä voisimme ottaa lain mukaiset vahingot pöydältä."
Osallistujat jättivät istunnon paljon paremmalla käsityksellä siitä, mikä on tällä hetkellä laitonta ja miten lain pitäisi muuttua. Ja ihmettelin… kuinka moni Black Hatin esiintyjistä on teknisesti rikollinen, vain heidän esittämänsä tutkimuksen vuoksi?