Video: DÜNYADA İLK! AYNI ANDA HEM PC HEM TABLETTEN OYNAMAK MÜMKÜN MÜ? - PUBG Mobile #Patiyapsın (Ekim 2024)
Bir araştırmacı Windows'a girer, bir kusur bulur (ve bir düzeltme) ve Microsoft'tan 100.000 dolar alır. Saldırı iddiasıyla tehdit edilen bir başkası, umutsuz hale geldi ve kendi hayatını aldı. Black Hat 2014 konferansında bir all-star panel, araştırmacıların alması gereken zor kararları ve ortaya çıkacak yasal kara mayınlarını tartıştı.
Electronic Frontier Foundation’ın tek seferlik kıdemli avukatı Marcia Hofmann, şu anda bilgisayar suçları ve güvenliği ile ilgili konular üzerine odaklanan bir butik hukuk uygulaması yürütmektedir. Aynı zamanda EFF'nin bir kerelik kıdemli avukatı olan Kevin Bankston, İnternet gözetimi ve denetimi konularında odaklanan "açık iletişim ağları, platformlar ve teknolojiler üzerine kurulu bir grup olan Yeni Amerika Vakfı Açık Teknoloji Enstitüsü Politika Direktörüdür. sansür." Panelin lideri Rapid7'deki Global Güvenlik Stratejisti ve Ford'un eski Genel Müdürü Trey Ford'du.
Panel, araştırmacıları bir belaya sokacak beş önemli kara mayını gözden geçirerek başladı. Sunumun bu bölümünün biraz kuru göründüğünü kabul ettiler, ancak katılımcıları tam ve açık tartışmalar için beklemeye teşvik ettiler.
Bilgisayar Dolandırıcılığı ve Suistimal Yasası
Hoffman, "CFAA, seksenli yılların ortasındaki bir yasadır, " dedi. “En büyük yasağı basit görünüyor. Kasıtlı olarak izinsiz bir bilgisayara erişmek ya da bilgi almak için mevcut yetkilendirmenin ötesine geçmek yasadışı. Ancak yetki tanımı yapmıyor. Mahkemeler bununla mücadele etti. Erişimi yetkisiz hale getiren nedir? • Sahibinin ummadığı bir şekilde erişmek için teknoloji araçlarını kullanmak?
Hoffman, ilk ihlalin bir hapishanede muhtemelen bir yıla varan bir yanlışlık olduğunu açıkladı. Bununla birlikte, bir takım koşullar ihlali, kar amacı gütmek, 5.000 dolardan fazla bir değere sahip olan bilgileri ve "başka bir yasa dışı eylemin yakalanmasını" içeren bir ağır suçu artırabilir. Aaron Swartz ağır bir mahkumiyetle ilgileniyordu, çünkü hükümet eriştiği akademik makalelerin 5.000 $ değerinde olduğunu söyledi.
Orada bitmiyor. Hoffman, “Hukuk davasında parasal zararlardan dolayı dava açabilirsiniz” dedi. "Hakimler hukuk davalarına farklı bakarlar, ancak bu davalar ceza davasında emsal olabilir." Özel bir partinin zararda 5.000 dolar göstermesi halinde dava açabileceğini belirtti. “Bir şirket onlara güvenlik açığını anlattığınız için dava açabilir” diye devam etti. “İyileştirme maliyetine parasal kayıp diyebilirler.”
Dijital Binyıl Telif Hakkı Yasası
Bankston, "DMCA, CFAA'nın bir kuzenidir" dedi. “Temel yasağı, hiç kimsenin telif hakkı alınmış bir çalışmanın korumasını atlatmamasıdır. Bu, telif hakkı ihlalinden farklıdır. Korumayı atlarsanız, daha fazla bir şey yapmasanız bile, suçlusunuz.”
Hoffman, "DMCA daha sert cezalarla bile korkutucu" açıklamasında bulundu. “Mağdurlar, tahrif edici salıverme davası (ne yaptığınızı durdurmanız gerektiği anlamına gelir), fiili parasal tazminat veya yasal tazminat davası için dava açabilirler. ihlal ya da maddi kazanç ihlali, yarım milyona kadar para cezasına çarptırılabilir ve beş yıl hapis cezasına çarptırılabilir ve yinelenen bir ihlale katlanarak iki katına çıkarılabilir. Kitabı size gerçekten attırabilirsiniz. "
Elektronik Haberleşme Gizlilik Yasası
Bankston, "ECPA 1986’dan kalma ve bu önemli." Dedi. “ACLU vatandaşların mahremiyetini korumak için kullanıyor. Ancak araştırmacılar için sorun yaratacak kadar geniş ve belirsiz. Birinde üç kara mayını var.” Telefon rehberini, depolanmış haberleşmeleri ve "kalem kayıt" bileşenlerini detaylandırmaya devam etti. Üçüncüsü, "kalem kaydı", aradığınız numaraların veya sizi arayan numaraların toplanması anlamına gelir. Bankston, "Adalet Bakanlığı'nın kendi el kitabı, birinin telefonunu izlemenin bu tüzüğü ihlal edebileceğini belirtti, " dedi.
“Wiretap büyük olanı” diye devam etti. “Bu bir suç olabilir, ancak hem gerçek hem de yasal zararlar için dava açabilirsiniz. Etkilenen kişi başına günlük 100 ABD Doları veya kişi başına 10.000 ABD Doları (hangisi daha büyükse). Gotham City’deki tüm cep telefonlarında mikrofonlar var mı? Bruce Wayne bile milyarlarca doları para cezasına çarptırmayabilir. ”
Bir Oyun Oynayalım mı?
Kabul edilen kuru yasal detaylar üzerinde çalıştıktan sonra, panel bir oyun şovu formatına geçti. Hayır, gerçekten! Ekranda gösterilen, bir güvenlik olayının olası bileşenlerini listeleyen büyük bir ağdı: aktör, etkinlik, hedef, sebep ve joker. Bu son kategori “mağdurun parasal bir zararı yok” ve “hacker gibi görünüyor” gibi öğeleri içeriyordu.
Her kategorideki öğeleri seçmek için rasgele sayıları kullanarak, senaryolar oluşturdular. Örneğin, "bir akademik güvenlik araştırmacısı, mevcut işvereninin güvenlik araştırması için e-postasına para kazancı olmadan erişir." Meşru araştırma mı, yoksa suç mu? Panelistler izleyiciyi hangi heykelin ihlal edildiğini ve sonuçların ne olabileceğini düşünmeye davet etti. Bu statüleri hayata geçirmek için ne harika bir yol! İzleyiciler kesinlikle nişanlandılar.
Bunu Nasıl Düzeltebiliriz?
Güvenlik araştırmacılarının birçok eyleminin başlarını belaya sokabileceği açık gibi görünüyor. Yasaları nasıl düzeltebiliriz? Hoffman "Şirketler üşütmeyi azaltmak için bazı şeyler yapabilir" dedi. "Microsoft, Google ve diğerleri af programlarına sahipler. Zafiyetleri bilmek istiyorlar, bu nedenle yasanın saldırgan okumaları hakkındaki endişeleri etkisiz hale getirmek için çalışıyorlar."
California temsilcisi Zoe Lofgren tarafından sunulan CFAA'da önerilen bir değişiklik olan "Aaron Yasasını" belirtti. “Aaron Yasası, yetkisiz erişimin ne anlama geldiğini açıkça ifade ederek CFAA'yı iyileştirecektir.” Bankston, "Aaron Yasası, mevcut CFAA kapsamında gerçekleşebilecek ikili ve dörtlü suçlamalardan kaçınır" dedi. "Ama daha fazlası yapılabilir. Kötü inanç için ağır cezalar kazandığımız gibi, belki de iyi niyetle çalışan araştırmacılar için 'iyileştirmeler' ekleyebiliriz. Belki de masadan yasal zararlar alabiliriz."
Katılımcılar oturumu şu anda yasa dışı olan ve yasaların nasıl değişmesi gerektiği hakkında daha iyi bir fikirle bıraktılar. Ve merak ettim… Black Hat'taki sunum yapanların kaç tanesi, sadece sundukları araştırma için teknik olarak suçlu?
