חוקר אחד חופר ב- Windows, מגלה פגם (ותיקון) ומקבל 100, 000 $ ממיקרוסופט. אחר, המאוים בתביעה בגין פריצה לכאורה, מתייאש ולוקח את חייו שלו. בכנס השחור כובע 2014 דנה פאנל של כל הכוכבים על ההחלטות הקשות שעליהם על החוקרים לקבל, ואת מוקשים חוקיים שיכולים לצוץ.
מרסיה הופמן, עורכת דין בכירה חד פעמית בקרן האלקטרוניקה, מנהלת כיום עיסוק בתחום דיני בוטיק עם דגש על פשע מחשבים וביטחון ונושאים קשורים. קווין בנקסטון, גם הוא עורך דין בכיר חד פעמי ב- EFF, הוא מנהל המדיניות של המכון הטכנולוגי הפתוח של קרן ניו אמריקה, קבוצה המוקדשת ל"רשתות תקשורת, פלטפורמות וטכנולוגיות פתוחות, תוך התמקדות בנושאי מעקב באינטרנט ו צנזורה. " בראש הפאנל הוביל טריי פורד, אסטרטג אבטחה גלובלי בחברת Rapid7 ומנכ"ל לשעבר כובע שחור לשעבר.
הפאנל התחיל בבחינת חמש מוקשים חוקיים משמעותיים העלולים להנחית חוקרים בערמת צרות. הם הודו כי חלק זה של המצגת אולי נראה קצת יבש, אך עודדו את המשתתפים להמשיך לדיון מלא ופתוח.
חוק ההונאה וההתעללות במחשבים
הופמן אמר כי "ה- CFAA הוא חוק מאמצע שנות השמונים, זמן אחר." "האיסור הגדול ביותר שלו נראה פשוט. זה לא חוקי לגשת בכוונה למחשב ללא אישור, או לחרוג מהרשאה הקיימת להשיג מידע. אבל זה לא מגדיר הרשאה. בתי משפט נאבקו בזה. מה הופך את הגישה ללא מורשה? האם עליך להפר מכשול ? השתמש באמצעי טק כדי לקבל גישה באופן בו הבעלים לא צפה?"
הופמן הסביר כי הפרה ראשונה היא מעשה עוולה, ואולי מרוויח עד שנה בכלא. עם זאת, מספר נסיבות יכולות להעצים את ההפרה בעבירה, ביניהם כוונה להרוויח, מידע שנצבר בשווי של יותר מ -5, 000 דולר ו"המשך של מעשה בלתי חוקי אחר ". אהרון שווארץ בחן הרשעה בעבירות מאחר שהממשלה טענה כי המאמרים האקדמיים אליהם ניגש היו שווים יותר מ -5, 000 דולר.
זה לא נעצר שם. "ניתן להגיש תביעה בגין נזקים כספיים בתיק אזרחי", ציין הופמן. "שופטים מתבוננים בתיקים אזרחיים באופן שונה, ובכל זאת המקרים הללו יכולים להיות תקדימים לתיק פלילי." היא הסבירה שמפלגה פרטית יכולה לתבוע אם תציג הפסדים בסך 5, 000 $. "חברה יכולה לתבוע אותך על שסיפרת להם על פגיעות, " המשיכה. "הם יכולים לכנות את עלות התיקון הפסד כספי."
חוק זכויות היוצרים במילניום הדיגיטלי
"ה- DMCA הוא בן דוד של ה- CFAA, " אמר בנקסטון. "האיסור הבסיסי שלו הוא ששום אדם לא יעקוף הגנה על יצירה המוגנת בזכויות יוצרים. זה שונה מהפרת זכויות יוצרים. אם אתה עוקף הגנה, גם אם אתה לא עושה דבר יותר, אתה אשם."
"DMCA מפחיד, עם עונשים קשים עוד יותר", הסביר הופמן. "קורבנות יכולים לתבוע בגין שחרור צו מניעה (כלומר עליך להפסיק את מה שאתה עושה), בגין נזקים כספיים בפועל, או בגין נזקים סטטוטוריים. עבור כל הפרה, תשלם בין $ 200 ל- $ 2, 500, לפי שיקול דעתו של השופט. הפרה, או הפרה בגין רווח כספי, אתה יכול להיקנס בחצי מיליון ולרצות חמש שנות מאסר, ולהכפיל זאת על הפרה חוזרת. אתה באמת יכול לזרוק את הספר לעברך."
חוק הפרטיות של התקשורת האלקטרונית
"ה- ECPA הוא משנת 1986 וזה חשוב", אמר בנקסטון. "ACLU משתמשת בה כדי להגן על פרטיותם של האזרחים. אבל היא רחבה וסתומה כדי לגרום לחוקרים צרות. מדובר בשלוש מוקשים באחד." הוא המשיך לפרט את רכיבי האזנות הסתר, התקשורת המאוחסנת ורכיבי "פנקס עטים". השלישי, "פנקס עטים", מתייחס לאיסוף המספרים שאתה מתקשר אליהם או למספרים שמתקשרים אליך. "במדריך של משרד המשפטים עצמו מציינים כי מעקב אחר הטלפון של מישהו עלול להפר את החוק הזה", אמר בנקסטון, "ולכן המדיניות שלהם היא לקבל צו."
"האזנת סתר היא הגדולה", המשיך. "זה יכול להיות עבירה, אך אתה נתון גם לתביעה אזרחית בגין נזקים ממשיים וגם סטטוטוריים. אתה יכול להיקנס בסכום של $ 100 ליום לאדם שנפגע או 10, 000 $ לאדם, מה שיהיה גדול יותר. זכור את התקופה בה באטמן הדליק את מיקרופונים בכל הטלפונים הסלולריים בגות'אם סיטי? אפילו ברוס וויין אולי לא יוכל לשלם מיליארדי דולרים בקנסות."
שנשחק משחק?
לאחר שעבר על הפרטים המשפטיים היבשים שיש, הודה הפאנל למתכונת של משחק. לא ממש! הוקרן על המסך היה רשת גדולה המציגה מספר מרכיבים אפשריים של אירוע אבטחה: השחקן, הפעילות, המטרה, המניע וכרטיס בר. קטגוריה אחרונה זו כללה פריטים כמו "לקורבן אין נזקים כספיים" ו- "נראה כמו האקר!"
בעזרת מספרים אקראיים לבחירת פריטים מכל קטגוריה, הם יצרו תרחישים. לדוגמה, "חוקר אבטחה אקדמי ניגש לדוא"ל המעסיק הנוכחי שלו למחקר אבטחה, ללא רווח כספי." האם מדובר במחקר לגיטימי, או שמא מדובר בפשע? חברי הפאנל הזמינו את הקהל לשקול איזה פסל עשוי להפר, ומה יכול להיות ההשלכות. איזו דרך נהדרת להחיות את החוקים האלה! הקהל בהחלט היה מאורס.
כיצד ניתן לתקן זאת?
נראה כי פעולות רבות של חוקרי אבטחה עלולות לגרום להם לצרות. כיצד ניתן לתקן את החוקים? "חברות יכולות לעשות דברים כדי לצמצם את הצינה, " אמר הופמן. "למיקרוסופט, גוגל ואחרים יש תוכניות חנינה. הם רוצים לדעת על פגיעויות, ולכן הם פועלים למטרות דאגות מקריאה אגרסיבית של החוק."
היא הצביעה על "חוק אהרון", שינוי מוצע ל- CFAA שהציג נציג קליפורניה, זואי לופגרן. "החוק של אהרון ישפר את ה- CFAA בכך שהוא מבהיר את המפורש בדיוק למה הכוונה בגישה לא מורשית." "חוק אהרון ימנע מהחיוב הכפול והרביעי שיכול לקרות תחת ה- CFAA הנוכחי", ציין בנקסטון. "אבל אפשר לעשות יותר. בדיוק כמו שיש לנו שיפורים בעבירות תום לב, אולי נוכל להוסיף 'שיפורים' לחוקרים העובדים בתום לב. אולי נוכל להוריד נזקים סטטוטוריים מהשולחן."
המשתתפים עזבו את הישיבה עם רעיון טוב בהרבה לגבי מה שאינו חוקי וכעת החוק צריך להשתנות. ושאלתי את עצמי… כמה מהמגישים ב"כובע השחור "הם עבריינים טכנית, רק בגלל המחקר שהם מציגים?