ビデオ: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
1人の研究者がWindowsを掘り下げ、欠陥(および修正)を発見し、Microsoftから100, 000ドルを受け取ります。 別の者は、ハッキングの疑いで起訴され、落胆し、自分の命を奪います。 Black Hat 2014カンファレンスでは、オールスターパネルが、研究者がしなければならない厳しい決定と、ポップアップできる法的地雷について議論しました。
エレクトロニックフロンティア財団のかつての上級弁護士であるマーシアホフマンは、現在、コンピューター犯罪とセキュリティおよび関連トピックに焦点を当てたブティック法の実務を管理しています。 また、EFFの1回の上級弁護士であるケビンバンクストンは、インターネット監視とインターネット監視の問題に焦点を当てた、「オープンな通信ネットワーク、プラットフォーム、および技術に特化したグループであるニューアメリカ財団のOpen Technology Institute検閲。" パネルを率いたのは、Rapid7のグローバルセキュリティストラテジストで、Black Hatの元ゼネラルマネージャーであるTrey Fordでした。
パネルは、研究者をトラブルの山に陥らせる可能性がある5つの重要な地雷をレビューすることから始めました。 彼らは、プレゼンテーションのこの部分は少し乾燥しているように見えるかもしれないと認めたが、出席者は完全でオープンな議論を続けることを奨励した。
コンピュータ詐欺および虐待法
「CFAAは80年代半ばからの法律であり、別の時代です」とホフマンは言いました。 「最大の禁止は単純に思えます。許可なしで意図的にコンピュータにアクセスすること、または既存の許可を超えて情報を取得することは違法です。しかし、許可を定義するものではありません。裁判所はこれに苦労しています。 ?所有者が予期しなかった方法で技術的手段を使用してアクセスを取得しますか?」
ホフマンは、最初の違反は軽犯罪であり、おそらく最高で1年の刑務所に収まると説明した。 しかし、多くの状況が重罪への違反を強化する可能性があり、その中には利益を目的とするもの、5, 000ドル以上の価値のある情報、および「別の違法行為の助長」があります。 アーロン・スワーツは、政府が彼がアクセスした学術論文は5, 000ドル以上の価値があると言ったため、重罪の有罪判決を見ていました。
それで終わりではありません。 「民事訴訟では金銭的損害賠償で訴えられる可能性がある」とホフマンは指摘した。 「裁判官は民事事件を別様に見ているが、それらの事件は刑事事件の先例となりうる。」 彼女は、プライベートパーティーが5, 000ドルの損失を示した場合に訴訟を起こすことができると説明しました。 「会社は、脆弱性について彼らに 告げ たとしてあなたを訴えることができました」と彼女は続けた。 「彼らは修復のコストを金銭的損失と呼ぶことができます。」
デジタルミレニアム著作権法
「DMCAはCFAAのいとこです」とバンクストンは言いました。 「基本的な禁止事項は、著作権で保護された作品の保護を回避してはならないということです。これは著作権侵害とは異なります。保護を回避すると、それ以上何もしなくても罪があります。」
「DMCAは恐ろしく、さらに厳しい罰則があります」とホフマンは説明します。 「被害者は差止命令(あなたがしていることをやめなければならないことを意味します)、実際の金銭的損害、または法定損害賠償を求めることができます。違反、または金銭的利益に対する違反の場合、最高50万件の罰金を科され、5年間の刑務所での刑に服することができます。また、違反を繰り返すと2倍になります。
電子通信プライバシー法
「ECPAは1986年からのものであり、重要です」とバンクストンは述べています。 「ACLUは市民のプライバシーを保護するためにそれを使用します。しかし、研究者に問題を引き起こすほど広範かつ曖昧です。1つに3つの地雷があります。」 彼は、盗聴、保存された通信、および「ペンレジスタ」コンポーネントの詳細に進みました。 3番目の「ペンレジスタ」は、電話をかける番号または電話をかける番号を収集することを指します。 「司法省独自のマニュアルでは、誰かの電話を追跡することはこの法律に違反する可能性があると指摘している」とバンクストンは述べた。
「盗聴は大きなものです」と彼は続けた。 「重罪になる可能性がありますが、実際の損害と法定損害の両方について民事訴訟の対象となります。1人あたり1日100ドルまたは1人あたり10, 000ドルのいずれか大きい方の罰金を科せられます。ゴッサムシティのすべての携帯電話のマイク?ブルースウェインでさえ、数十億ドルの罰金を支払うことができないかもしれません。」
ゲームをしましょうか?
明らかにドライな法的詳細を検討した後、パネルはゲームショー形式に移行しました。 いや、本当に! 画面上に投影されたのは、セキュリティイベントの可能性のあるコンポーネントの多くをリストする大きなグリッドでした:アクター、アクティビティ、ターゲット、動機、およびワイルドカード。 この最後のカテゴリには、「被害者には金銭的損害はない」、「ハッカーのように見える」などのアイテムが含まれていました。
乱数を使用して各カテゴリからアイテムを選択し、シナリオを作成しました。 たとえば、「アカデミックセキュリティ研究者は、金銭的利益なしでセキュリティ研究のために現在の雇用者のメールにアクセスします。」 それは合法的な研究ですか、それとも犯罪ですか? パネリストは聴衆に、どの彫像が侵害された可能性があり、どのような結果になる可能性があるかを検討するよう招待しました。 それらの法令を実現するなんて素晴らしい方法でしょう! 聴衆は間違いなく関与していました。
どうすれば修正できますか?
セキュリティ研究者による多くの行動が問題を引き起こす可能性があることは明らかです。 法律を修正するにはどうすればよいですか? 「企業は寒さを軽減するために何かをすることができます」とホフマンは言いました。 「マイクロソフト、グーグル、その他には恩赦プログラムがあります。彼らは脆弱性について知りたいので、法律の積極的な読み方に対する心配を払拭するために働いています。」
彼女は、カリフォルニアの代表者ゾーイ・ロフグレンによって導入されたCFAAの変更案である「アーロンの法則」を指摘しました。 「アーロンの法則は、不正アクセスの意味を明確にすることでCFAAを改善します。」 「アーロンの法則は、現在のCFAAの下で発生する可能性のある2倍および4倍の充電を回避します」とバンクストンは指摘しました。 「しかし、もっとできることがあります。悪意に対する重罪の強化があるのと同様に、誠意を持って研究している研究者に「ディエンハンスメント」を加えることができます。
出席者は、現在何が違法であり、どのように法律が変更されるべきかについてのより良い考えをセッションに残しました。 そして、私が疑問に思ったのは… Black Hatのプレゼンターのうち何人が技術的な犯罪者であり、彼らが提示している研究だけのためだろうか?