جريمة الكمبيوتر أو البحوث المشروعة؟

قام أحد الباحثين بالتنقيب عن Windows ، واكتشاف وجود خلل (وإصلاح) ، ويتلقى 100000 دولار من Microsoft. آخر ، مهدد بالمقاضاة بسبب الاختراق المزعوم ، يصبح يائسًا ويأخذ حياته. في مؤتمر Black Hat 2014 ، ناقشت لجنة من فئة النجوم كافة القرارات الصعبة التي يتعين على الباحثين اتخاذها ، والألغام الأرضية القانونية التي يمكن أن تظهر.

تدير مارسيا هوفمان ، وهي محامية أقدم لمرة واحدة في مؤسسة الحدود الإلكترونية ، حاليًا ممارسة قانون البوتيك مع التركيز على جرائم الكمبيوتر والأمان والمواضيع ذات الصلة. كيفن بانكستون ، وهو أيضاً محامٍ أقدم لمرة واحدة في EFF ، هو مدير السياسات بمعهد التكنولوجيا المفتوحة التابع لمؤسسة New America Foundation ، وهي مجموعة مكرسة لـ "شبكات الاتصالات ومنصاتها وتقنياتها المفتوحة ، مع التركيز على قضايا مراقبة الإنترنت و الرقابة ". ترأس الجلسة السيد تري فورد ، خبير الأمن العالمي في Rapid7 والمدير العام السابق لشركة Black Hat.

بدأت اللجنة بمراجعة خمسة ألغام أرضية قانونية مهمة يمكن أن تهبط الباحثين في كومة من المتاعب. أقروا أن هذا الجزء من العرض التقديمي قد يبدو جافًا بعض الشيء ، لكنهم شجعوا الحاضرين على التمسك بالمناقشة الكاملة المفتوحة.

قانون الغش والاعتداء على الكمبيوتر

وقال هوفمان "CFAA هو قانون من منتصف الثمانينيات ، في وقت مختلف". "يبدو أن حظره الأكبر بسيط. من غير القانوني الوصول عمداً إلى جهاز كمبيوتر دون إذن ، أو تجاوز التفويض الحالي للحصول على المعلومات. لكنه لا يحدد التفويض. لقد عانت المحاكم من هذا. ما الذي يجعل الوصول غير مصرح به؟ يجب أن تنتهك حاجزًا "استخدم الوسائل التقنية للوصول إلى بطريقة لم يتوقعها المالك؟"

وأوضح هوفمان أن الانتهاك الأول هو جنحة ، وربما تصل إلى عام في السجن. ومع ذلك ، يمكن لعدد من الظروف تعزيز انتهاك جناية ، من بينها نية الربح ، والمعلومات المكتسبة بقيمة تزيد عن 5000 دولار ، و "تعزيز عمل غير قانوني آخر". كان آرون شوارتز ينظر إلى قناعة جناية لأن الحكومة قالت إن المقالات الأكاديمية التي حصل عليها بلغت قيمتها أكثر من 5000 دولار.

لا يتوقف عند هذا الحد. وأشار هوفمان إلى أنه "يمكن مقاضاتك مقابل تعويضات مالية في قضية مدنية". "ينظر القضاة في القضايا المدنية بشكل مختلف ، ومع ذلك يمكن أن تصبح هذه القضايا سابقة في قضية جنائية." وأوضحت أنه يمكن لحزب خاص رفع دعوى إذا أظهر خسائر بقيمة 5000 دولار. "يمكن أن تقاضي شركة ما لإخبارهم عن الضعف" ، قالت. "يمكن أن يصفوا تكلفة العلاج بخسارة مالية".

قانون حقوق المؤلف للألفية الرقمية

"إن DMCA هو ابن عم CFAA" ، وقال بانكستون. "حظره الأساسي هو أنه لا يجوز لأي شخص التحايل على حماية مصنف محمي بحقوق النشر. هذا يختلف عن انتهاك حقوق الطبع والنشر. إذا تحايلت على الحماية ، حتى لو لم تفعل شيئًا أكثر ، فأنت مذنب".

"إن قانون الألفية الجديدة لحقوق طبع ونشر المواد الرقمية مخيف ، مع عقوبات أشد" ، أوضح هوفمان. "يمكن للضحايا رفع دعوى ضد الإفراج الزجري (بمعنى أنه يجب عليك إيقاف ما تفعله) أو التعويض المالي الفعلي أو التعويض القانوني. مقابل كل انتهاك ، ستدفع من 200 دولار إلى 2500 دولار وفقًا لتقدير القاضي. انتهاك ، أو انتهاك لتحقيق مكاسب مالية ، يمكنك تغريم ما يصل إلى نصف مليون وتخدم خمس سنوات في السجن ، ومضاعفة ذلك في انتهاك متكرر. يمكنك حقًا إلقاء الكتاب عليك ".

قانون خصوصية الاتصالات الإلكترونية

وقال بانكستون: "يعود تاريخ ECPA إلى عام 1986 ، وهو أمر مهم". "يستخدم اتحاد الحريات المدنية الأمريكي لحماية خصوصية المواطنين. لكنه واسع وغامض بدرجة كافية لإثارة المتاعب للباحثين. إنه ثلاثة ألغام أرضية في واحد." وتابع تفاصيل التنصت ، الاتصالات المخزنة ، ومكونات "تسجيل القلم". يشير "قلم السجل" الثالث إلى جمع الأرقام التي تتصل بها أو الأرقام التي تتصل بك. وقال بانكستون "يشير دليل وزارة العدل الخاص إلى أن تتبع هاتف شخص ما قد ينتهك هذا النظام الأساسي ، لذا فإن سياستهم هي الحصول على أمر قضائي".

"Wiretap هو واحد كبير" ، وتابع. "يمكن أن تكون جناية ، لكنك أيضًا تخضع لقضية مدنية لكل من الأضرار الفعلية والقانونية. يمكن تغريمك 100 دولار يوميًا لكل شخص متأثر أو 10،000 دولار للشخص الواحد ، أيهما أكبر. تذكر ذلك الوقت عندما قام باتمان بتشغيل الميكروفونات على جميع الهواتف المحمولة في مدينة جوثام؟ حتى بروس واين قد لا يستطيع دفع غرامات بمليارات الدولارات."

يجب نلعب لعبة؟

بعد العمل من خلال التفاصيل القانونية الجافة المعترف بها ، انتقلت اللوحة إلى تنسيق عرض اللعبة. لا حقا! كانت الشاشة المعروضة على الشاشة عبارة عن شبكة كبيرة تسرد عددًا من المكونات المحتملة لحدث الأمان: الفاعل والنشاط والهدف والدافع وبطاقة عشوائية. تضمنت هذه الفئة الأخيرة عناصر مثل "الضحية ليس لديها أضرار مالية" و "تبدو وكأنها قراصنة!"

باستخدام أرقام عشوائية لتحديد العناصر من كل فئة ، قاموا بإنشاء سيناريوهات. على سبيل المثال ، "باحث الأمن الأكاديمي يصل إلى البريد الإلكتروني لصاحب العمل الحالي لإجراء البحوث الأمنية ، دون أي مكسب مالي." هل هو بحث شرعي ، أم هو جريمة؟ دعا المشاركون في النقاش الجمهور إلى النظر في التمثال الذي قد يكون قد تم انتهاكه ، وما هي العواقب. ما هي طريقة رائعة لإعادة تلك القوانين إلى الحياة! كان الجمهور مخطوبًا بالتأكيد.

كيف يمكننا إصلاح هذا؟

يبدو من الواضح أن العديد من الإجراءات التي يقوم بها الباحثون في مجال الأمن قد تسبب لهم مشكلة. كيف يمكننا إصلاح القوانين؟ وقال هوفمان: "يمكن للشركات أن تفعل أشياء لتخفيف البرد". "لدى Microsoft و Google وغيرهم برامج للعفو. يرغبون في معرفة نقاط الضعف ، لذلك يعملون على نزع فتيل المخاوف بشأن القراءات العدوانية للقانون".

وأشارت إلى "قانون آرون" ، وهو تغيير مقترح على CFAA قدمه ممثل كاليفورنيا زوي لوفغرين. "قانون هارون من شأنه أن يحسن CFAA من خلال جعله واضحا ما هو المقصود بالوصول غير المصرح به." وأشار بانكستون إلى أن "قانون آرون سيتجنب الشحن المزدوج والرباعي الذي يمكن أن يحدث في ظل اتفاقية CFAA الحالية". "لكن يمكن عمل المزيد. مثلما لدينا تحسينات جناية لسوء النية ، ربما يمكننا إضافة" إزالة تحسينات "للباحثين الذين يعملون بحسن نية. ربما يمكننا أن نتخذ تعويضات قانونية من على الطاولة".

غادر الحاضرون الجلسة بفكرة أفضل بكثير عما هو غير قانوني حاليًا وكيف يجب تغيير القانون. وتساءلت… كم من مقدمي العروض في Black Hat مجرمون تقنيًا ، فقط للبحث الذي يقدمونه؟