컴퓨터 범죄 또는 합법적 인 연구?

한 연구원은 Windows를 파헤 치고 결함 (및 수정 사항)을 발견하고 Microsoft로부터 $ 100, 000를받습니다. 해킹 혐의로 기소를당하는 또 다른 사람은 낙담하고 자신의 목숨을 앗아갑니다. Black Hat 2014 컨퍼런스에서 올스타 패널은 연구원이 내려야 할 어려운 결정과 합법적 인 지뢰에 대해 논의했습니다.

Electronic Frontier Foundation의 일회성 수석 변호사 인 Marcia Hofmann은 현재 컴퓨터 범죄와 보안 및 관련 주제에 중점을 둔 부티크 법률 관행을 관리하고 있습니다. EFF의 일회성 수석 변호사 인 Kevin Bankston은 인터넷 감시 및 인터넷 보안 문제에 중점을 둔 "오픈 커뮤니케이션 네트워크, 플랫폼 및 기술에 전념하는 New America Foundation의 Open Technology Institute의 정책 책임자입니다. 검열." 패널을 이끌고있는 것은 Trey Ford, Rapid7의 글로벌 보안 전략가이자 Black Hat의 전 총책임자였습니다.

패널은 수많은 문제로 연구원들을 착륙시킬 수있는 5 가지 중요한 법적 지뢰를 검토하는 것으로 시작했습니다. 그들은 프레젠테이션의이 부분이 다소 건조 해 보일 수 있음을 인정했지만 참석자들이 전체 공개 토론을 계속하도록 권장했습니다.

컴퓨터 사기 및 남용 행위

호프만은“CFAA는 80 년대 중반의 법이다. "가장 큰 금지는 간단 해 보인다. 허가없이 컴퓨터에 의도적으로 액세스하거나 정보를 얻기 위해 기존의 허가를 넘어가는 것은 불법이다. 그러나 그것은 권한을 정의하지 않는다. 법원은이를 해결하기 위해 애 쓰고있다. "소유자가 예상하지 못한 방식으로 기술을 사용하여 액세스 할 수 있습니까?"

호프만은 첫 번째 위반은 경범죄이며 최대 1 년의 징역형을 선고받을 수 있다고 설명했다. 그러나 많은 상황에서 중범 죄에 대한 위반을 강화할 수 있는데, 그중에서 이익을 얻으려는 의도, $ 5, 000 이상의 가치가있는 정보 및 "다른 불법 행위의 화려 함". 아론 스와 츠 (Aaron Swartz)는 정부가 자신이 접근 한 학술 기사가 5, 000 달러 이상의 가치가 있다고 말했기 때문에 중죄 유죄 판결을보고 있었다.

거기서 멈추지 않습니다. 호프만은 "민사 소송에서 금전적 손해 배상을 당할 수있다"고 지적했다. "심판은 민사 사건을 다르게 본다. 그러나 그 사건은 형사 사건의 선례가 될 수있다." 그녀는 개인 당사자가 5, 000 달러의 손실을 보이면 소송을 제기 할 수 있다고 설명했다. "회사는 그들에게 취약점에 대해 말 함으로써 고소 할 수있다"고 그녀는 계속 말했다. "그들은 치료 비용을 금전적 손실이라고 부를 수 있습니다."

디지털 밀레니엄 저작권법

뱅크 스톤은“DMCA는 CFAA의 사촌이다. "기본적으로 금지 된 것은 금지 된 저작물에 대한 보호를 우회해서는 안된다는 것입니다. 저작권 침해와는 다릅니다. 보호를 우회하면 더 이상 아무것도하지 않아도 유죄입니다."

호프만은“DMCA는 더 무서운 처벌을 받고 무섭다. "피고인은 금지 명령 해제 (실제 조치를 중단해야 함을 의미), 실제 금전적 손해 또는 법정 손해에 대해 소송을 제기 할 수 있습니다. 모든 위반에 대해 판사의 재량에 따라 $ 200 ~ $ 2, 500를 지불해야합니다. 위반 또는 금전적 이익 위반으로 최대 50 만 명까지 벌금형을 선고 받고 5 년 징역형을 선고 할 수 있으며 반복 위반시이를 두 배로 늘릴 수 있습니다.

전자 통신 개인 정보 보호법

뱅크 스톤은“ECPA는 1986 년부터 시작되었으며 중요하다”고 말했다. "ACLU는 시민의 프라이버시를 보호하기 위해이 시스템을 사용합니다. 그러나 연구원들에게 문제를 일으킬만큼 광범위하고 모호합니다. 하나의 지뢰 3 개입니다." 그는 도청, 저장된 통신 및 "펜 레지스터"구성 요소에 대해 자세히 설명했습니다. 세 번째 "펜 등록"은 전화를 건 번호 또는 전화 번호를 수집하는 것을 말합니다. 뱅크 스톤은“법무부 자신의 매뉴얼은 누군가의 전화를 추적하는 것이이 법령에 위배 될 수있다”고 말했다.

"Wiretap이 큰 것"이라고 그는 계속 말했다. "중죄 일 수도 있지만 실제 및 법정 손해 배상 소송에 대해서도 민사 소송을 당할 수 있습니다. 영향을받는 사람당 하루 $ 100 또는 1 인당 $ 10, 000 중 더 큰 금액이 부과 될 수 있습니다. 배트맨이 켜진 시간을 기억하십시오. 브루스 웨인조차도 수십억 달러의 벌금을 지불하지 못할 수도 있습니다."

우리는 게임을 할까?

명백히 건조한 법적 세부 사항을 검토 한 후 패널은 게임 쇼 형식으로 전환되었습니다. 아냐! 화면에 투영되는 보안 이벤트의 여러 가능한 구성 요소 (배우, 활동, 대상, 동기 및 와일드 카드)를 나열하는 큰 그리드였습니다. 이 마지막 범주에는 "피해자가 금전적 손해를 입지 않았습니다"및 "해커처럼 보입니다!"와 같은 항목이 포함되었습니다.

난수를 사용하여 각 범주에서 항목을 선택하여 시나리오를 만들었습니다. 예를 들어, "학술 보안 연구원은 금전적 이득없이 보안 연구를 위해 현재 고용주의 이메일에 액세스합니다." 합법적 인 연구입니까, 아니면 범죄입니까? 패널리스트들은 청중에게 어떤 상이 위반되었을 수 있으며 그 결과는 무엇인지 고려하도록 요청했습니다. 그러한 법령을 현실로 만드는 훌륭한 방법입니다! 청중은 확실히 참여했다.

이 문제를 어떻게 해결할 수 있습니까?

보안 연구원의 많은 행동으로 인해 문제가 발생할 수 있음이 분명합니다. 법을 어떻게 고칠 수 있습니까? 호프만은 "회사들은 냉기를 줄이기 위해 일을 할 수있다"고 말했다. "마이크로 소프트, 구글, 그리고 다른 사람들은 사면 프로그램을 가지고있다. 그들은 취약점에 대해 알고 싶어서 공격적인 법에 대한 걱정을 없애기 위해 노력하고있다."

그녀는 캘리포니아 대표 Zoe Lofgren이 도입 한 CFAA의 제안 된 변경 사항 인 "Aaron 's Law"를 지적했다. "Aaron의 법칙은 CFAA가 무단 액세스의 의미를 명시 적으로 만들어 CFAA를 개선 할 것입니다." 뱅크 스톤은“Aaron의 법칙은 현재 CFAA에서 발생할 수있는 이중 및 사중 충전을 피할 것이다. "하지만 더 많은 일을 할 수있다. 우리가 악의를 위해 중상을 강화한 것처럼 선의로 연구하는 연구원들에게 '강화'를 추가 할 수도있다. 아마도 우리는 법정에서 손해를 입을 수도있다"

참석자들은 현재 불법적 인 내용과 법률이 어떻게 바뀌어야하는지에 대해 훨씬 더 나은 아이디어로 세션을 떠났습니다. 블랙 햇의 발표자 중 다수가 기술적으로 범죄자라고 생각했습니다.