Crim informàtic o investigació legítima?

Un investigador excava a Windows, descobreix un defecte (i una correcció) i rep 100.000 dòlars de Microsoft. Un altre, amenaçat de persecució per presumpte pirateria, es desprèn i es pren la seva pròpia vida. A la conferència de Black Hat 2014, un grup de diverses estrelles va discutir les dures decisions que han de prendre els investigadors i les mines legals legals que poden aparèixer.

Actualment, Marcia Hofmann, advocada sènior de la Electronic Frontier Foundation, actualment gestiona una pràctica de llei boutique centrada en la delinqüència i seguretat informàtica i temes relacionats. Kevin Bankston, també un advocat principal a l'EFF, és el director de polítiques de l'Institut Tecnològic Obert de la New America Foundation, un grup dedicat a les "xarxes, plataformes i tecnologies de comunicacions obertes, centrat en qüestions de vigilància d'Internet i censura ". Al capdavant del grup hi havia Trey Ford, estratega de seguretat global de Rapid7 i exdirector general de Black Hat.

El quadre va començar revisant cinc mines legals importants que podrien aterrar investigadors en un munt de problemes. Van admetre que aquesta part de la presentació podria semblar una mica seca, però van animar els assistents a mantenir la discussió oberta i completa.

La Llei sobre el frau i l'abús informàtic

"La CFAA és una llei de mitjans dels vuitanta, una època diferent", va dir Hoffman. "La seva prohibició més gran sembla senzilla. És il·legal accedir intencionadament a un ordinador sense autorització o anar més enllà de l'autorització existent per obtenir informació. Però no defineix l'autorització. Els tribunals han lluitat amb això. Què fa que l'accés no estigui autoritzat? Cal violar una barrera. "Utilitzar mitjans tècnics per obtenir accés de manera que el propietari no preveia?"

Hoffman va explicar que una primera violació és una falta, possiblement guanyant fins a un any a la presó. Tanmateix, diverses circumstàncies poden augmentar la violació a un delicte, entre les quals la intenció de benefici, la informació obtinguda per valor de més de 5.000 dòlars i la "promoció d'un altre acte il·legal". Aaron Swartz estava estudiant una condemna per culpa perquè el govern va dir que els articles acadèmics als quals va accedir valien més de 5.000 dòlars.

No s'atura aquí. "Pot ser demandat per danys monetaris en un cas civil", va assenyalar Hoffman. "Els jutges examinen els casos civils d'una altra manera, però aquests poden esdevenir precedents per a un cas penal". Va explicar que una part privada pot demandar-se si té pèrdues de 5.000 dòlars. "Una empresa us podria demandar per haver - los dit sobre la vulnerabilitat", va continuar. "Podrien qualificar la pèrdua monetària del cost de la reparació".

La llei sobre drets d'autor digital del mil·lenni

"El DMCA és un cosí del CFAA", va dir Bankston. "La seva prohibició bàsica és que cap persona no defugeixi la protecció d'una obra amb drets d'autor. Això és diferent de la infracció de drets d'autor. Si defugiu la protecció, fins i tot si no feu res més, sou culpables".

"El DMCA fa por, amb penes encara més dures", va explicar Hoffman. "Les víctimes poden demandar per alliberament per ordre judicial (és a dir, heu d'aturar el que esteu fent), per danys monetaris reals o per danys legals. Per cada violació, pagareu de 200 a 2.500 dòlars, a criteri del jutge. Per voluntat. violació o violació per guanys econòmics, podeu ser multat fins a mig milió i complir cinc anys de presó i doblar el que es produeixi una violació reiterada. De veritat, podeu rebre el llibre ".

La Llei de privadesa de comunicacions electròniques

"L'ECPA data del 1986 i és important", va dir Bankston. "L'ACLU l'utilitza per protegir la privacitat dels ciutadans. Però és prou àmplia i vaga com per causar problemes als investigadors. Es tracta de tres mines terrestres en una". Va continuar detallant el mapa de dades, les comunicacions emmagatzemades i els components del "registre de plomes". El tercer, "registre de plomes", es refereix a recollir els números que truqueu o els números que us truquen. "El manual del propi departament de justícia assenyala que el seguiment del telèfon d'algú podria violar aquest estatut", va dir Bankston, "així que la seva política és obtenir un mandat".

"Wiretap és el gran", va continuar. "Pot ser un delicte, però també està sotmès a una demanda civil tant per danys reals com legals. Podeu ser multats a 100 dòlars diaris per persona afectada o a 10.000 dòlars per persona, segons sigui major. Recordeu aquella època en què Batman va activar el micròfons a tots els telèfons mòbils de Gotham City? És possible que fins i tot Bruce Wayne no pugui pagar milers de milions de dòlars en multes."

Juguem a un joc?

Després de treballar a través dels detalls legals admesos, el panell es va canviar a un format de mostra de jocs. No realment! Es projectava a la pantalla una gran graella on es mostraven diversos components possibles d’un esdeveniment de seguretat: l’actor, l’activitat, l’objectiu, el motiu i una targeta salvatge. Aquesta darrera categoria incloïa articles com a "víctima no té danys econòmics" i "sembla un pirata informàtic".

Utilitzant números aleatoris per seleccionar elements de cada categoria, van crear escenaris. Per exemple, "un investigador de seguretat acadèmica accedeix al correu electrònic del seu empresari actual per a la investigació en seguretat, sense guanys econòmics". És una investigació legítima o és un delicte? Els panelistes van convidar el públic a considerar quina estàtua podria haver estat violada i quines podrien ser les conseqüències. Quina manera més fantàstica de fer viure aquests estatuts! El públic estava definitivament compromès.

Com ho podem arreglar?

Sembla clar que moltes accions dels investigadors en seguretat podrien posar-los en problemes. Com podem arreglar les lleis? "Les empreses poden fer coses per disminuir el calfred", va dir Hoffman. "Microsoft, Google i altres disposen de programes d'amnistia. Volen conèixer les vulnerabilitats, per la qual cosa treballen per defugir les preocupacions sobre les lectures agressives de la llei".

Va assenyalar la "Llei d'Aaron", un canvi proposat a la CFAA introduït per la representant californiana Zoe Lofgren. "La llei d'Aaron milloraria la CFAA fent que fos explícit el que significa l'accés no autoritzat." "La llei d'Aaron evitaria la doble i quàdruple cobra que es pot produir en l'actual CFAA", va assenyalar Bankston. "Però es pot fer més. Igual que tenim millores per la mala fe, potser podríem afegir 'millores' per als investigadors que treballen de bona fe. Potser podríem prendre danys legals fora de la taula."

Els assistents van sortir de la sessió amb una idea molt millor del que hi ha actualment il·legal i de com hauria de canviar la llei. I em vaig preguntar… quants dels presentadors de Black Hat són tècnicament criminals, només per la investigació que presenten?