视频: ä¸è¦å²ç¬æåçæ§ (十月 2024)
一位研究人员深入研究Windows,发现了一个漏洞(和一个修复程序),并从Microsoft那里获得了100, 000美元。 另一人因涉嫌黑客攻击而受到起诉威胁,他感到灰心丧气并自杀。 在2014年黑帽大会上,一个全明星小组讨论了研究人员必须做出的艰难决定以及可能爆发的合法地雷。
电子前沿基金会的一次性高级律师玛西娅·霍夫曼(Marcia Hofmann)目前管理着一家精品法律业务,专注于计算机犯罪和安全以及相关主题。 凯文·班克斯顿(Kevin Bankston)还是美国联邦基金会(EFF)的一次性高级律师,是新美国基金会开放技术研究所(New Technology Foundation)的政策总监,该组织致力于“开放式通信网络,平台和技术,重点是互联网监视和安全问题”。审查制度。” 主持小组讨论的是Rapid7的全球安全战略家,黑帽公司前总经理Trey Ford。
小组首先审查了可能使研究人员陷入困境的五种重要的合法地雷。 他们承认演讲的这一部分似乎有些枯燥,但鼓励与会者继续进行完整的公开讨论。
计算机欺诈和滥用法
霍夫曼说:“ CFAA是从八十年代中期开始的法律,时间是不同的。” “最大的禁令似乎很简单。未经授权有意访问计算机,或者超越现有授权来获取信息是非法的。但是它并没有定义授权。法院对此进行了努力。是什么使得未经授权的访问?您必须突破壁垒吗? “使用技术手段以所有者无法预期的方式获得访问权限吗?”
霍夫曼解释说,第一次违规是轻罪,可能会被判入狱一年。 但是,在许多情况下,违法行为可被重罪,其中包括以牟利为目的,获得价值超过5, 000美元的信息以及“提供另一种非法行为”。 亚伦·斯沃茨(Aaron Swartz)正在对重罪定罪,因为政府表示,他访问的学术文章价值超过5, 000美元。
它不止于此。 霍夫曼指出:“在民事案件中,您可能会被要求赔偿金钱损失。” “法官对民事案件的看法不同,但是这些案件可以成为刑事案件的先例。” 她解释说,如果一方蒙受5, 000美元的损失,可以起诉。 她继续 说: “一家公司可能会起诉您, 告诉 他们有关漏洞的信息。” “他们可以将补救成本称为金钱损失。”
数字千年版权法案
班克斯顿说:“数字千年版权法案(DMCA)是CFAA的表亲。” “它的基本禁止是任何人都不得回避对受版权保护的作品的保护。这与版权侵权不同。如果您回避保护,则即使您什么也不做,也属于有罪。”
霍夫曼解释说:“数字千年版权法案(DMCA)令人恐惧,甚至会受到更严厉的处罚。” “受害者可以控告释放禁令(这意味着您必须停止所做的事情),实际金钱损失或法定损害赔偿。对于每次违规行为,您将根据法官的判断从200美元到2500美元不等。违反或为获得经济利益而受到的罚款,您可能会被处以最高50万美元的罚款和5年监禁,而如果再犯一次,则可能加倍。您确实可以将这本书扔给您。”
电子通讯隐私法
班克斯顿说:“ ECPA始于1986年,这一点很重要。” “美国公民自由联盟使用它来保护公民的隐私。但是它广泛而含糊,足以给研究人员造成麻烦。这是三个地雷合而为一。” 他继续详细介绍了窃听,存储的通信和“笔寄存器”组件。 第三个,“笔寄存器”,是指收集您呼叫的号码或呼叫您的号码。 班克斯顿说:“司法部自己的手册指出,追踪某人的电话可能违反该法规。因此,他们的政策是取得逮捕令。”
他说:“窃听是大问题。” “这可能是重罪,但您还会受到实际和法定损害的民事诉讼。您可能会受到每人每天100美元的罚款或每人10, 000美元的罚款,以较高者为准。请记住那段时间,蝙蝠侠开启了哥谭市所有手机上的麦克风?甚至布鲁斯·韦恩(Bruce Wayne)也许也无法支付数十亿美元的罚款。”
我们可以玩游戏吗?
在处理了公认的干燥的法律细节之后,小组转移到游戏节目形式。 不完全是! 屏幕上投影的是一个大网格,其中列出了安全事件的许多可能组成部分:参与者,活动,目标,动机和通配符。 最后一类包括“受害者没有金钱损失”和“看起来像黑客!”这样的项目。
他们使用随机数从每个类别中选择项目,从而创建了方案。 例如,“一名学术安全研究人员访问其当前雇主的电子邮件进行安全研究,但没有获得金钱收益。” 这是合法的研究,还是犯罪? 小组成员邀请观众考虑可能违反了哪些雕像,以及可能造成的后果。 使这些法规生效的好方法! 观众肯定参与了。
我们该如何解决?
显然,安全研究人员的许多行动都可能使他们陷入困境。 我们如何制定法律? 霍夫曼说:“公司可以做些事情以减轻寒意。” “微软,谷歌和其他公司都有大赦计划。他们想知道漏洞,因此他们努力消除对积极阅读法律的担忧。”
她指出了“亚伦定律”,这是对加州代表佐伊·洛夫格伦(Zoe Lofgren)提出的CFAA的拟议修改。 “亚伦定律将通过明确表明未经授权的访问的含义来改善CFAA。” 班克斯顿指出:“亚伦定律将避免现行CFAA可能发生的双重和四重收费。” “但是我们可以做更多的事情。正如我们可以对不诚实的行为进行重罪强化一样,也许我们可以为真诚地工作的研究人员增加“减损”。也许我们可以将法定赔偿从桌面上拿走。”
与会者在会议结束时对目前的非法行为以及法律应如何修改有了更好的了解。 我想知道……在Black Hat中,有多少位主持人只是出于他们所要进行的研究的技术上是罪犯?
