Video: Cyber Crime (Case Study) (Nobyembre 2024)
Ang isang mananaliksik ay naghuhukay sa Windows, natuklasan ang isang kapintasan (at isang pag-aayos), at tumatanggap ng $ 100, 000 mula sa Microsoft. Ang isa pa, nanganganib sa pag-uusig sa umano’y pag-hack, nagiging walang pag-asa at tumatagal ng kanyang sariling buhay. Sa kumperensya ng Black Hat 2014, tinalakay ng isang panel na all-star ang mga mahihirap na desisyon na dapat gawin ng mga mananaliksik, at ang mga ligal na landmines na maaaring mag-pop up.
Si Marcia Hofmann, isang beses na abogado ng senior sa Electronic Frontier Foundation, ay kasalukuyang namamahala sa isang boutique na batas sa batas na may pagtuon sa krimen sa computer at seguridad at mga kaugnay na mga paksa. Si Kevin Bankston, na isang beses din na abugado ng senior sa EFF, ay ang Patnubay ng Patakaran ng Open Technology Institute ng New America Foundation, isang pangkat na nakatuon sa "bukas na mga network ng komunikasyon, platform, at teknolohiya, na may pagtuon sa mga isyu ng pagsubaybay sa Internet at censorship. " Nangunguna sa panel ay si Trey Ford, Global Security Strategist sa Rapid7 at dating General Manager for Black Hat.
Sinimulan ang panel sa pamamagitan ng pagsuri sa limang mahahalagang ligal na landmines na maaaring mapunta ang mga mananaliksik sa isang magbunton ng problema. Inamin nila na ang bahaging ito ng pagtatanghal ay maaaring tila tuyo, ngunit hinikayat ang mga dumalo na hawakan nang buo, bukas na talakayan.
Ang Computer Fraud and Abuse Act
"Ang CFAA ay isang batas mula sa kalagitnaan ng ikawalo, ng ibang oras, " sabi ni Hoffman. "Ang pinakamalaking pagbabawal nito ay tila simple. Ito ay labag sa batas na sinasadyang ma-access ang isang computer nang walang pahintulot, o lalampas sa umiiral na pahintulot upang makakuha ng impormasyon. Ngunit hindi nito tinukoy ang pahintulot. Ang mga korte ay nakipagbaka sa ito. Ano ang nagpapahintulot sa pag-access na hindi awtorisado? Dapat bang lumabag ka sa isang hadlang? ? Ang paggamit ng tech ay nangangahulugan upang makakuha ng pag-access sa isang paraan na hindi inaasahan ng may-ari? "
Ipinaliwanag ni Hoffman na ang isang unang paglabag ay isang maling impormasyon, posibleng kumita ng hanggang isang taon sa kulungan. Gayunpaman, ang isang bilang ng mga pangyayari ay maaaring mapahusay ang paglabag sa isang malupit, bukod sa kanila ay naglalayong kumita, ang impormasyon na nakuha nagkakahalaga ng higit sa $ 5, 000, at "pagsulong ng isa pang iligal na gawa." Si Aaron Swartz ay tumitingin sa isang malaking pananalig dahil sa sinabi ng gobyerno na ang mga akdang pang-akademikong na-access niya ay nagkakahalaga ng higit sa $ 5, 000.
Hindi ito tumitigil doon. "Maaari kang kasuhan para sa mga pinsala sa pananalapi sa isang kaso ng sibil, " sabi ni Hoffman. "Ang mga hukom ay tumingin sa mga kaso ng sibil, ngunit ang mga kasong iyon ay maaaring maging unahan para sa isang kriminal na kaso." Ipinaliwanag niya na ang isang pribadong partido ay maaaring maghain kung magpapakita ito ng $ 5, 000 sa pagkalugi. "Ang isang kumpanya ay maaaring ihabol sa iyo para sa pagsasabi sa kanila tungkol sa kahinaan, " patuloy niya. "Maaari nilang tawagan ang gastos ng remediation isang pagkawala ng pera."
Ang Digital Millennium Copyright Act
"Ang DMCA ay pinsan ng CFAA, " sabi ni Bankston. "Ang pangunahing pagbabawal nito ay walang sinumang dapat makaligtas sa proteksyon ng isang copyright na gawa. Iba ito sa paglabag sa copyright. Kung lilinisin mo ang proteksyon, kahit na wala kang ibang ginawa, nagkakasala ka."
"Ang DMCA ay nakakatakot, na may mas mahirap parusa, " paliwanag ni Hoffman. "Ang mga biktima ay maaaring maghabol para sa paglabas ng injunction (nangangahulugang dapat mong itigil ang ginagawa), para sa aktwal na pinsala sa pananalapi, o para sa mga pinsala sa batas. Para sa bawat paglabag, babayaran ka mula sa $ 200 hanggang $ 2, 500, sa pagpapasya ng hukom. paglabag, o paglabag sa kita sa pananalapi, maaari kang mabayaran ng hanggang sa kalahating milyon at maglingkod sa loob ng limang taon sa bilangguan, at doble iyon sa isang paulit-ulit na paglabag. Maaari mo talagang makuha ang librong itinapon sa iyo. "
Ang Batas sa Pagkapribado ng Elektronikong Komunikasyon
"Ang ECPA ay nagmula sa 1986, at mahalaga, " sabi ni Bankston. "Ginagamit ito ng ACLU upang maprotektahan ang privacy ng mga mamamayan. Ngunit malawak at malabo ito upang magdulot ng kaguluhan para sa mga mananaliksik. Ito ay tatlong landmines sa isa." Nagpunta siya upang detalyado ang wiretap, naka-imbak na mga komunikasyon, at mga sangkap na "pen rehistro". Ang pangatlo, "pen rehistro, " ay tumutukoy sa pagkolekta ng mga numero na iyong tinawag o ang mga numero na tumatawag sa iyo. "Ang sariling manu-manong tala ng departamento ng hustisya na ang pagsubaybay sa telepono ng isang tao ay maaaring lumabag sa batas na ito, " sabi ni Bankston, "kaya ang kanilang patakaran ay upang makakuha ng isang warrant."
"Si Wiretap ang malaki, " patuloy niya. "Maaari itong maging isang felony, ngunit napapailalim ka rin sa suit ng sibil para sa parehong aktwal at ayon sa batas na pinsala. Maaari kang mabayaran ng $ 100 bawat araw bawat tao na naapektuhan o $ 10, 000 bawat tao, alinman ang mas malaki. Alalahanin mo ang oras kung kailan nakabukas ang Batman sa mga mikropono sa lahat ng mga cell phone sa Gotham City? Kahit na si Bruce Wayne ay maaaring hindi makabayad ng bilyun-bilyong dolyar sa mga multa. "
Maglalaro ba tayo ng Laro?
Matapos magtrabaho sa pamamagitan ng tinatanggap na tuyo na mga ligal na detalye, ang panel ay lumipat sa format ng palabas sa laro. Hindi, talaga! Ang inaasahang on-screen ay isang malaking listahan ng grid sa isang bilang ng mga posibleng bahagi ng isang kaganapan sa seguridad: ang aktor, ang aktibidad, target, motibo, at isang ligaw na kard. Kasama sa huling kategorya na ito ang mga item tulad ng "biktima ay walang pinsala sa pananalapi" at "mukhang isang hacker!"
Gamit ang mga random na numero upang pumili ng mga item mula sa bawat kategorya, lumikha sila ng mga senaryo. Halimbawa, "ang isang pang-akademikong tagapagsaliksik ng seguridad ay nag-access sa kanyang kasalukuyang employer ng email para sa pananaliksik sa seguridad, na walang kita sa pananalapi." Ito ba ay lehitimong pananaliksik, o may krimen ba ito? Inanyayahan ng mga panelista ang madla na isaalang-alang kung ano ang maaaring rebulto, at kung ano ang maaaring kahihinatnan. Napakahusay na paraan upang maipalabas ang mga batas na iyon sa buhay! Tiyak na nakikibahagi ang madla.
Paano Natutukoy Ito?
Tila malinaw na maraming mga pagkilos ng mga mananaliksik ng seguridad ang maaaring makakuha ng mga ito sa problema. Paano natin maiayos ang mga batas? "Ang mga kumpanya ay maaaring gumawa ng mga bagay upang mabawasan ang ginaw, " sabi ni Hoffman. "Ang Microsoft, Google, at iba pa ay may mga programang amnestiya. Nais nilang malaman ang tungkol sa mga kahinaan, kaya't nagtatrabaho sila upang maiwasang ang mga alalahanin tungkol sa agresibong pagbabasa ng batas."
Itinuro niya ang "Law ni Aaron, " isang iminungkahing pagbabago sa CFAA na ipinakilala ng kinatawan ng California na si Zoe Lofgren. "Pinahusay ng Batas ni Aaron ang CFAA sa pamamagitan ng paglilinaw nito kung ano ang ibig sabihin ng hindi awtorisadong pag-access." "Ang Batas ni Aaron ay maiiwasan ang doble at quadruple na singilin na maaaring mangyari sa ilalim ng kasalukuyang CFAA, " sabi ni Bankston. "Ngunit marami pa ang magagawa. Tulad ng mayroon kaming mga pagpapahusay ng felony para sa masamang pananampalataya, marahil maaari kaming magdagdag ng 'de-pagpapahusay' para sa mga mananaliksik na nagtatrabaho nang may mabuting pananampalataya. Marahil ay maaari nating kunin ang mga pinsala sa batas.
Iniwan ng mga dadalo ang sesyon na may mas mahusay na ideya sa kung ano ang kasalukuyang iligal at kung paano dapat baguhin ang batas. At nagtataka ako … ilan sa mga nagtatanghal sa Black Hat ang mga teknikal na kriminal, para lamang sa pananaliksik na kanilang ipinakilala?
