อาชญากรรมคอมพิวเตอร์หรือการวิจัยที่ถูกกฎหมาย?

นักวิจัยคนหนึ่งขุดลงใน Windows ค้นพบข้อบกพร่อง (และการแก้ไข) และรับ $ 100, 000 จาก Microsoft อีกคนหนึ่งที่ถูกคุกคามด้วยการฟ้องร้องเรื่องการแฮ็คที่ถูกกล่าวหากลายเป็นคนสิ้นหวังและใช้ชีวิตของเขาเอง ในการประชุมแบล็กแฮท 2014 คณะนักแสดงทุกคนกล่าวถึงการตัดสินใจที่ยากลำบากที่นักวิจัยต้องทำและกับทุ่นระเบิดทางกฎหมายที่สามารถปรากฏขึ้นได้

มาร์เซียฮอฟมันน์ทนายความอาวุโสอาวุโสหนึ่งคนที่มูลนิธิ Electronic Frontier Foundation ปัจจุบันจัดการฝึกซ้อมด้านกฎหมายเกี่ยวกับบูติกโดยมุ่งเน้นที่อาชญากรรมคอมพิวเตอร์และความปลอดภัย Kevin Bankston ซึ่งเป็นทนายความอาวุโสของ EFF เป็นผู้อำนวยการฝ่ายนโยบายของ Open Technology Institute ของ New America Foundation ซึ่งเป็นกลุ่มที่อุทิศให้กับ "เครือข่ายการสื่อสารแบบเปิดแพลตฟอร์มและเทคโนโลยีโดยเน้นประเด็นการเฝ้าระวังทางอินเทอร์เน็ตและ เซ็นเซอร์." ผู้นำในกลุ่มคือ Trey Ford นักยุทธศาสตร์ความปลอดภัยระดับโลกที่ Rapid7 และอดีตผู้จัดการทั่วไปของ Black Hat

คณะผู้พิจารณาเริ่มต้นด้วยการทบทวนทุ่นระเบิดทางกฎหมายที่สำคัญห้าประการซึ่งอาจทำให้นักวิจัยประสบปัญหา พวกเขายอมรับว่าการนำเสนอในส่วนนี้อาจดูแห้งไปบ้าง แต่สนับสนุนให้ผู้เข้าร่วมประชุมอภิปรายกันอย่างเปิดกว้าง

พระราชบัญญัติการทุจริตและการใช้คอมพิวเตอร์

“ CFAA เป็นกฎหมายจากช่วงกลางทศวรรษที่แปดซึ่งเป็นช่วงเวลาที่แตกต่างกัน” ฮอฟแมนกล่าว "ข้อห้ามที่ใหญ่ที่สุดดูเหมือนง่าย ๆ มันผิดกฎหมายในการเข้าถึงคอมพิวเตอร์โดยไม่ได้รับอนุญาตหรือเกินกว่าการอนุญาตที่มีอยู่แล้วเพื่อรับข้อมูล แต่ไม่ได้กำหนดการอนุญาตศาลได้ต่อสู้กับสิ่งนี้การเข้าถึงที่ไม่ได้รับอนุญาตคืออะไร ใช้เทคโนโลยีหมายถึงการเข้าถึงในลักษณะที่เจ้าของไม่คาดหวังหรือไม่ "

ฮอฟแมนอธิบายว่าการละเมิดครั้งแรกเป็นความผิดทางอาญาซึ่งอาจมีรายได้สูงถึงหนึ่งปีในคุก อย่างไรก็ตามมีหลายสถานการณ์ที่สามารถยกระดับการละเมิดต่อความผิดทางอาญาในหมู่พวกเขามีเจตนาที่จะทำกำไรข้อมูลที่ได้รับมีมูลค่ามากกว่า $ 5, 000 และ "ความก้าวหน้าของการกระทำที่ผิดกฎหมายอื่น" Aaron Swartz กำลังดูความเชื่อมั่นทางอาญาเพราะรัฐบาลกล่าวว่าบทความทางวิชาการที่เขาเข้าถึงมีมูลค่ามากกว่า $ 5, 000

มันไม่ได้หยุดอยู่แค่นั้น “ คุณสามารถถูกฟ้องร้องเพื่อเรียกร้องค่าเสียหายเป็นเงินได้ในคดีแพ่ง” ฮอฟแมนกล่าว "ผู้พิพากษาพิจารณาคดีแพ่งต่างกัน แต่คดีเหล่านั้นอาจกลายเป็นคดีอาญาได้ก่อน" เธออธิบายว่าพรรคเอกชนสามารถฟ้องร้องได้หากมีการสูญเสียเงิน $ 5, 000 "บริษัท สามารถฟ้องคุณเพื่อ บอก พวกเขาเกี่ยวกับช่องโหว่" เธอกล่าวต่อ "พวกเขาสามารถเรียกค่าใช้จ่ายในการแก้ไขความสูญเสียทางการเงิน"

พระราชบัญญัติลิขสิทธิ์ดิจิตอลมิลเลนเนียม

"DMCA เป็นลูกพี่ลูกน้องของ CFAA" Bankston กล่าว "ข้อห้ามขั้นพื้นฐานคือไม่มีใครจะหลีกเลี่ยงการคุ้มครองงานที่มีลิขสิทธิ์ซึ่งแตกต่างจากการละเมิดลิขสิทธิ์หากคุณหลีกเลี่ยงการป้องกันแม้ว่าคุณจะไม่ทำอะไรมากคุณก็มีความผิด"

"DMCA นั้นน่ากลัวและมีบทลงโทษที่รุนแรงยิ่งขึ้น" ฮอฟแมนอธิบาย "ผู้ที่ตกเป็นเหยื่อสามารถฟ้องร้องเพื่อปล่อยคำสั่งศาล (หมายถึงคุณต้องหยุดสิ่งที่คุณทำ) สำหรับความเสียหายทางการเงินที่เกิดขึ้นจริงหรือความเสียหายตามกฎหมายสำหรับการละเมิดทุกครั้งคุณจะจ่ายเงินจาก $ 200 ถึง $ 2, 500 ขึ้นอยู่กับดุลยพินิจของผู้พิพากษา การละเมิดหรือการละเมิดเพื่อผลประโยชน์ทางการเงินคุณสามารถถูกปรับได้ถึงครึ่งล้านและรับโทษถึงห้าปีในคุกและเพิ่มเป็นสองเท่าในการละเมิดซ้ำ ๆ

พรบ. ความเป็นส่วนตัวของ Electronic Communicatons

"ECPA เกิดขึ้นตั้งแต่ปี 1986 และเป็นเรื่องสำคัญ" แบงค์สตันกล่าว “ ACLU ใช้เพื่อปกป้องความเป็นส่วนตัวของประชาชน แต่มันกว้างและคลุมเครือมากพอที่จะสร้างปัญหาให้กับนักวิจัยมันเป็นระเบิดสามลูกในที่เดียว” เขาเล่ารายละเอียดเกี่ยวกับการดักฟังโทรศัพท์การสื่อสารที่เก็บไว้และส่วนประกอบ "การลงทะเบียนปากกา" "ลงทะเบียนด้วยปากกา" ที่สามหมายถึงการรวบรวมหมายเลขที่คุณโทรหาหรือหมายเลขที่โทรหาคุณ "คู่มือความยุติธรรมของกระทรวงยุติธรรมระบุว่าการติดตามโทรศัพท์ของใครบางคนอาจเป็นการละเมิดกฎหมายนี้" Bankston กล่าว "ดังนั้นนโยบายของพวกเขาคือต้องได้รับหมายจับ"

“ Wiretap นั้นใหญ่” เขากล่าวต่อ “ มันอาจเป็นความผิดทางอาญา แต่คุณก็ต้องถูกฟ้องร้องทางแพ่งสำหรับความเสียหายทั้งที่เกิดขึ้นจริงและตามกฎหมายคุณสามารถถูกปรับได้ $ 100 ต่อวันต่อคนที่ได้รับผลกระทบหรือ $ 10, 000 ต่อคนแล้วแต่จำนวนใดจะมากขึ้น ไมโครโฟนในโทรศัพท์มือถือทั้งหมดในเมือง Gotham? แม้แต่ Bruce Wayne ก็อาจไม่สามารถจ่ายเงินหลายพันล้านดอลลาร์ได้ในค่าปรับ”

เราจะเล่นเกมได้ไหม?

หลังจากทำงานผ่านรายละเอียดทางกฎหมายที่ยอมรับแล้วแผงควบคุมก็เปลี่ยนเป็นรูปแบบเกมโชว์ ไม่มีจริงๆ! ฉายบนหน้าจอเป็นตารางขนาดใหญ่ที่แสดงรายการองค์ประกอบที่เป็นไปได้ของเหตุการณ์ความปลอดภัย: นักแสดง, กิจกรรม, เป้าหมาย, แรงจูงใจและการ์ดเสริม หมวดหมู่สุดท้ายนี้รวมรายการต่างๆเช่น "เหยื่อไม่มีความเสียหายด้านการเงิน" และ "ดูเหมือนแฮ็กเกอร์!"

ใช้ตัวเลขสุ่มเพื่อเลือกรายการจากแต่ละประเภทพวกเขาสร้างสถานการณ์ ตัวอย่างเช่น "นักวิจัยด้านความปลอดภัยทางวิชาการเข้าถึงอีเมลของนายจ้างปัจจุบันของเขาเพื่อการวิจัยด้านความปลอดภัยโดยไม่มีผลประโยชน์ทางการเงิน" มันเป็นการวิจัยที่ถูกกฎหมายหรือว่าเป็นอาชญากรรมหรือไม่? ผู้ทดสอบชิมเชิญให้ผู้ชมพิจารณาว่ารูปปั้นใดที่อาจถูกละเมิดและสิ่งที่อาจเป็นผลที่ตามมา ช่างเป็นวิธีที่ยอดเยี่ยมที่จะทำให้กฎเกณฑ์เหล่านั้นมีชีวิตชีวา ผู้ชมมีส่วนร่วมอย่างแน่นอน

เราจะแก้ไขสิ่งนี้ได้อย่างไร

ดูเหมือนชัดเจนว่าการกระทำหลายอย่างโดยนักวิจัยด้านความปลอดภัยอาจทำให้พวกเขาเดือดร้อน เราจะแก้ไขกฎหมายอย่างไร “ บริษัท สามารถทำสิ่งต่าง ๆ เพื่อลดความเย็น” ฮอฟแมนกล่าว "Microsoft, Google และอื่น ๆ มีโครงการนิรโทษกรรมพวกเขาต้องการทราบเกี่ยวกับช่องโหว่ดังนั้นพวกเขาจึงทำงานเพื่อขจัดความกังวลเกี่ยวกับการอ่านกฎหมายอย่างก้าวร้าว"

เธอชี้ให้เห็น "กฎของแอรอน" การเปลี่ยนแปลงที่เสนอให้กับ CFAA ที่แนะนำโดยตัวแทน Zoe Lofgren จากแคลิฟอร์เนีย "กฎของแอรอนจะปรับปรุง CFAA โดยทำให้ชัดเจนว่าการเข้าถึงที่ไม่ได้รับอนุญาตหมายถึงอะไร" "กฎของแอรอนจะหลีกเลี่ยงการชาร์จสองเท่าและสี่เท่าที่สามารถเกิดขึ้นได้ภายใต้ CFAA ปัจจุบัน" แบงค์สตันกล่าว "แต่สามารถทำได้มากกว่านี้เช่นเดียวกับที่เรามีการปรับปรุงความผิดทางอาญาสำหรับความศรัทธาที่ไม่ดีบางทีเราอาจจะเพิ่ม 'de-Enhancements' สำหรับนักวิจัยที่ทำงานโดยสุจริตอาจเป็นไปได้ว่าเราอาจได้รับความเสียหายตามกฎหมายออกจากโต๊ะ"

ผู้เข้าร่วมประชุมออกจากเซสชันด้วยความคิดที่ดีขึ้นเกี่ยวกับสิ่งที่ผิดกฎหมายในปัจจุบันและวิธีการที่กฎหมายควรเปลี่ยนแปลง และฉันสงสัยว่า … ผู้นำเสนอที่ Black Hat นั้นเป็นอาชญากรในทางเทคนิคเพียงเพื่อการวิจัยที่พวกเขานำเสนอเท่านั้น