Video: Videoseminārs par skaidras naudas deklarēšanas nosacījumiem (Decembris 2024)
Viens pētnieks pārmeklē sistēmu Windows, atklāj trūkumu (un labojumu) un saņem no Microsoft 100 000 ASV dolāru. Cits, par kuru draud kriminālvajāšana par iespējamu uzlaušanas procesu, kļūst par izmisumu un paņem pats savu dzīvību. Melnās cepures 2014 konferencē visu zvaigžņu grupa diskutēja par grūtajiem lēmumiem, kas jāpieņem pētniekiem, un likumīgajām mīnām, kuras var parādīties.
Marcia Hofmans, vienreizējais vecākais jurists Elektronisko robežu fondā, šobrīd vada boutique likuma praksi, galveno uzmanību pievēršot datornoziegumiem un drošībai un ar to saistītām tēmām. Kevins Bankstons, arī vienreizējais EZF vecākais advokāts, ir Jaunā Amerikas fonda Atvērto tehnoloģiju institūta politikas direktors - grupa, kas nodarbojas ar "atvērtiem komunikāciju tīkliem, platformām un tehnoloģijām", koncentrējoties uz interneta uzraudzības un cenzūra. " Paneli vadīja Treijs Fords, Rapid7 globālās drošības stratēģis un bijušais Black Hat ģenerāldirektors.
Darba grupa sāka, pārskatot piecas nozīmīgas likumīgas sauszemes mīnas, kas pētniekiem varētu piezemēties kaudzes nepatikšanās. Viņi atzina, ka šī prezentācijas daļa varētu šķist nedaudz sausa, taču mudināja dalībniekus turēties pie pilnīgas, atklātas diskusijas.
Likums par datoru krāpšanu un ļaunprātīgu izmantošanu
"CFAA ir likums no astoņdesmito gadu vidus, citā laikā, " sacīja Hofmans. "Tās lielākais aizliegums šķiet vienkāršs. Ir nelikumīgi tīši piekļūt datoram bez atļaujas vai pārsniegt esošās pilnvaras, lai iegūtu informāciju. Bet tas nedefinē pilnvarojumu. Tiesas ir cīnījušās ar to. Kas padara piekļuvi neatļautu? Vai jums ir jāpārkāpj barjera? ? Izmantojiet tehnoloģiju līdzekļus, lai piekļūtu veidā, ko īpašnieks neparedzēja?"
Hofmans paskaidroja, ka pirmais pārkāpums ir pārkāpums, iespējams, nopelnot līdz gadam cietumā. Tomēr vairāki apstākļi var veicināt nozieguma izdarīšanu par noziegumu, starp tiem ir nodoms gūt labumu, iegūtā informācija vairāk nekā 5000 USD vērtībā un "citas nelikumīgas darbības sekmēšana". Ārons Svarcs izskatīja noziedznieku notiesājošu spriedumu, jo valdība paziņoja, ka akadēmisko rakstu, kuriem viņš piekļūst, vērtība pārsniedz 5000 USD.
Ar to viss neapstājas. "Jūs varat tikt iesūdzēts tiesā par naudas zaudējumu atlīdzību civillietā, " atzīmēja Hofmans. "Tiesneši skatās uz civillietām atšķirīgi, tomēr šīs lietas var kļūt par precedentu krimināllietai." Viņa paskaidroja, ka privāta partija var iesūdzēt tiesā, ja tā uzrāda 5000 ASV dolāru zaudējumus. "Uzņēmums varētu jūs iesūdzēt tiesā par viņu stāstīšanu par ievainojamību, " viņa turpināja. "Viņi varētu saukt sanācijas izmaksas par naudas zaudējumiem."
Digitālās tūkstošgades autortiesību likums
"DMCA ir CFAA brālēns, " sacīja Bankstons. "Tās galvenais aizliegums ir tāds, ka neviens nedrīkst apiet ar autortiesībām aizsargāta darba aizsardzību. Tas atšķiras no autortiesību pārkāpumiem. Ja jūs apiet aizsardzību, pat ja neko vairāk nedarāt, jūs esat vainīgs."
"DMCA ir biedējoša, ar vēl bargākiem sodiem, " skaidroja Hofmans. "Upuri var iesūdzēt tiesā par izpildrakstu (ti, jums jāpārtrauc tas, ko jūs darāt), par faktiskiem naudas zaudējumiem vai likumā noteiktajiem zaudējumiem. Par katru pārkāpumu jūs maksāsiet no USD 200 līdz USD 2500 pēc tiesneša ieskatiem. Par tīšu gribu pārkāpums vai pārkāpums finansiāla labuma gūšanai, jums var tikt uzlikts naudas sods līdz pusmiljonam un jāizcieš pieci gadi cietumā, un divkāršot to par atkārtotu pārkāpumu. Jūs tiešām varat grāmatu izmest pie jums."
Elektronisko komunikāciju privātuma likums
"ECPA ir datēta ar 1986. gadu, un tas ir svarīgi, " sacīja Bankstons. "ACLU to izmanto, lai aizsargātu pilsoņu privātumu. Bet tas ir pietiekami plašs un neskaidrs, lai sagādātu problēmas pētniekiem. Tās ir trīs sauszemes mīnas vienā." Viņš turpināja detalizēti aplūkot tapu, saglabātos sakarus un "pildspalvu reģistra" komponentus. Trešais, “pildspalvu reģistrs”, attiecas uz jūsu izsaukto numuru vai numuru, kas jums zvana, apkopošanu. "Tieslietu departamenta paša rokasgrāmata atzīmē, ka, sekojot kādam tālrunim, iespējams, tiek pārkāpti šie likumi, " sacīja Bankstons, "tāpēc viņu politika ir iegūt orderi."
"Lielais ir Wiretap, " viņš turpināja. "Tā var būt noziegums, bet jūs esat pakļauts arī civilprasībai gan par faktiskiem, gan ar likumu noteiktiem zaudējumiem. Jums var uzlikt naudas sodu USD 100 dienā par katru cietušo personu vai 10 000 USD par personu, izvēloties lielāko summu. Atcerieties to laiku, kad Betmens ieslēdza mikrofoni visos mobilajos tālruņos Gotham City? Pat Brūss Veins, iespējams, nespēs samaksāt miljardiem dolāru soda naudas."
Vai mēs spēlēsim spēli?
Pēc tam, kad tika izskatīta juridiski samērā sausā informācija, panelis pārgāja uz spēles šova formātu. Nē tiešām! Projektēts uz ekrāna bija liels režģis, kurā uzskaitīti vairāki iespējamie drošības notikuma komponenti: aktieris, darbība, mērķis, motīvs un aizstājējzīme. Šajā pēdējā kategorijā ietilpa tādi priekšmeti kā "cietušajam nav naudas zaudējumu" un "izskatās pēc hakera!"
Izmantojot nejaušus skaitļus, lai atlasītu vienības no katras kategorijas, viņi izveidoja scenārijus. Piemēram, "akadēmisks drošības pētnieks drošības izpētei piekļūst sava pašreizējā darba devēja e-pastam, neiegūstot nekādu monetāru labumu". Vai tā ir likumīga izpēte, vai arī tas ir noziegums? Žūrijas dalībnieki aicināja auditoriju apsvērt, kāda statuja varētu būt pārkāpta, un kādas varētu būt sekas. Cik lielisks veids, kā atdzīvināt šos statūtus! Skatītāji noteikti bija saistoši.
Kā mēs to varam novērst?
Šķiet skaidrs, ka daudzas drošības pētnieku darbības varētu viņus satraukt. Kā mēs varam salabot likumus? "Uzņēmumi var darīt lietas, lai mazinātu vēsumu, " sacīja Hofmans. "Microsoft, Google un citiem ir amnestijas programmas. Viņi vēlas uzzināt par ievainojamībām, tāpēc viņi strādā, lai mazinātu bažas par agresīvu likuma lasījumu."
Viņa norādīja uz "Ārona likumu", ierosinātajām izmaiņām CFAA, ko ieviesa Kalifornijas pārstāve Zoja Lofgrēna. "Ārona likums uzlabotu CAFA, padarot to skaidru tieši to, ko nozīmē neatļauta pieeja." "Ārona likums ļautu izvairīties no divkāršas un četrkāršas uzlādes, kas var notikt pašreizējās CFAA ietvaros, " atzīmēja Bankstons. "Bet var darīt arī vēl vairāk. Tāpat kā mums ir ļaunprātīgas ciešanas uzlabojumi, varbūt mēs varētu pievienot" uzlabojumus "pētniekiem, kuri strādā godprātīgi. Varbūt mēs varētu noņemt likumā noteiktos zaudējumus pie galda."
Klātesošie pameta sesiju ar daudz labāku ideju par to, kas šobrīd ir nelikumīgs un kā būtu jāmainās likumiem. Un es prātoju… cik no Black Hat vadītājiem ir tehniski noziedznieki tikai viņu veiktā pētījuma dēļ?
