Ein Forscher befasst sich mit Windows, entdeckt einen Fehler (und eine Fehlerbehebung) und erhält 100.000 US-Dollar von Microsoft. Ein anderer, der wegen mutmaßlicher Hackerangriffe strafrechtlich verfolgt wird, wird mutlos und nimmt sich das Leben. Auf der Black Hat 2014-Konferenz diskutierte ein All-Star-Panel die schwierigen Entscheidungen, die die Forscher treffen müssen, und die rechtlichen Landminen, die auftauchen können.
Marcia Hofmann, einmalige Senior-Anwältin bei der Electronic Frontier Foundation, leitet derzeit eine Anwaltskanzlei mit Schwerpunkt Computerkriminalität und Sicherheit sowie verwandten Themen. Kevin Bankston, ebenfalls ein ehemaliger leitender Anwalt des EFF, ist Policy Director des Open Technology Institute der New America Foundation, einer Gruppe, die sich mit offenen Kommunikationsnetzen, -plattformen und -technologien befasst und sich mit Fragen der Internetüberwachung befasst Zensur." An der Spitze des Panels stand Trey Ford, Global Security Strategist bei Rapid7 und ehemaliger General Manager für Black Hat.
Das Gremium untersuchte zunächst fünf bedeutende legale Landminen, die Forscher in Schwierigkeiten bringen könnten. Sie gaben zu, dass dieser Teil der Präsentation ein bisschen trocken zu sein scheint, ermutigten die Teilnehmer jedoch, sich für eine vollständige, offene Diskussion aufzuhalten.
Das Gesetz über Computerbetrug und -missbrauch
"Die CAFA ist ein Gesetz aus der Mitte der achtziger Jahre, eine andere Zeit", sagte Hoffman. "Das größte Verbot scheint einfach zu sein. Es ist illegal, absichtlich ohne Genehmigung auf einen Computer zuzugreifen oder über die vorhandene Berechtigung hinauszugehen, um Informationen zu erhalten. Es definiert jedoch keine Berechtigung. Die Gerichte haben damit zu kämpfen. Was macht den Zugriff unberechtigt? Müssen Sie eine Barriere durchbrechen?" ? Verwenden Sie technische Mittel, um auf eine Weise Zugang zu erhalten, die der Eigentümer nicht erwartet hat?"
Hoffman erklärte, dass eine erste Verletzung ein Vergehen sei, das möglicherweise bis zu einem Jahr Gefängnis dauern könne. Eine Reihe von Umständen kann jedoch zu einer Straftat führen, darunter die Absicht, Gewinne zu erzielen, gewonnene Informationen im Wert von mehr als 5.000 US-Dollar und die "Förderung einer weiteren rechtswidrigen Handlung". Aaron Swartz befasste sich mit einer strafrechtlichen Verurteilung, weil die Regierung angab, dass die akademischen Artikel, auf die er zugegriffen hatte, mehr als 5.000 US-Dollar wert waren.
Hier hört es nicht auf. "Sie können in einem Zivilverfahren auf Geldschadenersatz verklagt werden", bemerkte Hoffman. "Richter betrachten Zivilverfahren anders, aber diese Fälle können für ein Strafverfahren zum Präzedenzfall werden." Sie erklärte, dass eine private Partei klagen kann, wenn sie Verluste in Höhe von 5.000 USD aufweist. "Ein Unternehmen könnte Sie verklagen, weil Sie ihnen von Verwundbarkeit erzählt haben", fuhr sie fort. "Sie könnten die Kosten für die Sanierung als monetären Verlust bezeichnen."
Das Digital Millennium Copyright Act
"Die DMCA ist eine Cousine der CFAA", sagte Bankston. "Sein grundlegendes Verbot ist, dass niemand den Schutz eines urheberrechtlich geschützten Werks umgehen darf. Dies unterscheidet sich von einer Urheberrechtsverletzung. Wenn Sie den Schutz umgehen, auch wenn Sie nichts weiter tun, sind Sie schuldig."
"Die DMCA ist beängstigend, mit noch härteren Strafen", erklärte Hoffman. "Opfer können eine einstweilige Verfügung (was bedeutet, dass Sie aufhören müssen, was Sie tun), tatsächlichen finanziellen Schadenersatz oder gesetzlichen Schadenersatz verlangen. Für jeden Verstoß zahlen Sie nach Ermessen des Richters zwischen 200 und 2.500 US-Dollar. Für einen vorsätzlichen Schadenersatz." Zuwiderhandlung oder Zuwiderhandlung wegen finanziellen Gewinns kann zu einer Geldstrafe von bis zu einer halben Million und einer Freiheitsstrafe von fünf Jahren führen.
Das Datenschutzgesetz für elektronische Kommunikation
"Der ECPA stammt aus dem Jahr 1986 und ist wichtig", sagte Bankston. "Die ACLU nutzt es, um die Privatsphäre der Bürger zu schützen. Aber es ist breit und vage genug, um Forschern Ärger zu bereiten. Es sind drei Landminen in einer." Er fuhr fort, die Abhör-, gespeicherten Kommunikations- und "Stiftregister" -Komponenten zu beschreiben. Das dritte "Stiftregister" bezieht sich auf das Sammeln der Nummern, die Sie anrufen, oder der Nummern, die Sie anrufen. "Das Handbuch des Justizministeriums stellt fest, dass die Verfolgung des Telefons einer Person möglicherweise gegen dieses Gesetz verstößt", sagte Bankston.
"Wiretap ist der große", fuhr er fort. "Es kann ein Verbrechen sein, aber Sie werden auch sowohl wegen tatsächlicher als auch wegen gesetzlicher Schäden angeklagt. Sie können mit einer Geldstrafe von 100 USD pro Tag und betroffener Person oder von 10.000 USD pro Person belegt werden, je nachdem, welcher Betrag höher ist. Denken Sie daran, wann Batman den eingeschaltet hat." Mikrofone auf allen Handys in Gotham City? Sogar Bruce Wayne ist möglicherweise nicht in der Lage, Bußgelder in Milliardenhöhe zu zahlen."
Sollen wir ein Spiel spielen?
Nachdem die zugegebenermaßen trockenen rechtlichen Details durchgearbeitet worden waren, wechselte das Panel zu einem Game-Show-Format. Nicht wirklich! Auf dem Bildschirm war ein großes Raster mit einer Auflistung der möglichen Komponenten eines Sicherheitsereignisses projiziert: der Schauspieler, die Aktivität, das Ziel, das Motiv und eine Wildcard. Diese letzte Kategorie umfasste Gegenstände wie "Opfer hat keine finanziellen Schäden" und "sieht aus wie ein Hacker!"
Mithilfe von Zufallszahlen zur Auswahl von Elementen aus jeder Kategorie erstellten sie Szenarien. Ein Beispiel: "Ein akademischer Sicherheitsforscher greift auf die E-Mail-Adresse seines aktuellen Arbeitgebers für Sicherheitsforschungen zu, ohne einen finanziellen Gewinn zu erzielen." Ist es legitime Forschung oder ist es ein Verbrechen? Die Diskussionsteilnehmer luden das Publikum ein, zu prüfen, welche Statue verletzt worden sein könnte und welche Konsequenzen dies haben könnte. Was für eine großartige Möglichkeit, diese Statuten zum Leben zu erwecken! Das Publikum war definitiv engagiert.
Wie können wir das beheben?
Es scheint klar zu sein, dass viele Aktionen von Sicherheitsforschern sie in Schwierigkeiten bringen könnten. Wie können wir die Gesetze regeln? "Unternehmen können etwas tun, um die Kälte zu lindern", sagte Hoffman. "Microsoft, Google und andere Unternehmen verfügen über Amnestieprogramme. Sie möchten Informationen zu Sicherheitslücken erhalten und entschärfen daher die Sorge vor aggressiven Gesetzesbestimmungen."
Sie verwies auf "Aaron's Law", eine vorgeschlagene Änderung der CFAA, die von der kalifornischen Vertreterin Zoe Lofgren eingeführt wurde. "Aarons Gesetz würde die CAFA verbessern, indem es explizit erklärt, was unter unbefugtem Zugriff zu verstehen ist." "Aarons Gesetz würde die doppelte und vierfache Belastung vermeiden, die unter der gegenwärtigen CFAA auftreten kann", bemerkte Bankston. "Aber es kann noch mehr getan werden. Genauso wie wir Verbrechensverbesserungen für bösartige Absichten haben, könnten wir für Forscher, die nach Treu und Glauben arbeiten, vielleicht 'Nachbesserungen' hinzufügen. Vielleicht könnten wir gesetzlichen Schadenersatz vom Tisch nehmen."
Die Teilnehmer verließen die Sitzung mit einer viel besseren Vorstellung davon, was derzeit illegal ist und wie sich das Gesetz ändern sollte. Und ich habe mich gefragt… wie viele der Moderatoren bei Black Hat sind technisch kriminell, nur für die Recherchen, die sie präsentieren?
