安全研究人员发现网络犯罪法律的问题比黑帽大会上大部分与会者所知道要多,或者说,至少在周三下午的小组会议上我们了解到是这样,这个会议主要发言人包括Rapid 7全球安全战略专家Trey Ford和律师Marcia Hofmann及Kevin Bankston。
在讨论结束时,Ford要求学习到他们此前所不知道的东西的观众举手,而大多数观众都举起了手。
Hofmann是专门从事电脑犯罪和安全、电子隐私和知识产权的律师,他在开始时简要概述了计算机欺诈与滥用法案(CFAA)和数字千年版权法(DMCA),然后他谈到了贯穿整个会议的主题。“我们并不总是很清楚哪些行为是合法的,关键语言的模糊性会导致选择性的执法,”Hofmann表示,“由于这些刑罚的严重程度,你可能会受到严厉地惩罚,是真的会受到严厉地惩罚。”
Hofmann称,主要的网络犯罪法律都是采取这样的方式,即大多数第一次犯罪在理论上被视为轻罪。但有时候第一次犯罪“可能是一种重罪,而重罪是更严重的问题,”Hofmann说道,“即使是第一次违反未经授权访问条款也可能是重罪,当你有意通过这种做法来牟取利润时,当你获取的信息价值超过5000美元,或者你的行为促成另一种违法行为时,或者是重复犯罪。政府应该规定即使是第一次犯罪也可能受到非常严厉的惩罚,对于政府来说,这是相当容易的事情。”
分析网络犯罪法律
政府不仅可以严厉惩罚研究人员,在某些情况下,这些网络犯罪法律来允许民事起诉,不仅让被判有罪的人付出昂贵的代价,而且也可以设置案例先例来影响未来犯罪个案的法官的裁决。
“CFAA是在80年代中期通过的法律,距离现在已经很久,并且它有很多禁令,其中构成最大问题的禁令是实际上相当简单的禁令,”Hofmann指出,“根据该法律规定,‘未经授权或者超出授权而故意访问计算机,并从受保护计算机获得任何受保护信息’为非法。”
她表示,这个概念存在的问题在于“未经授权或超出授权的访问”的说法。你可能会觉得这非常简单,但问题是,法律并没有真正界定什么是授权,或者怎么说明某个人获得授权。
同时,随着网络犯罪法律的发展,DMCA采取了稍微不同的方法,规定“任何人不得规避用于有效控制对受版权法保护作品的访问的技术措施”。这包括软件源代码,这可能受版权保护。Hofmann补充说:“坦白地说,我认为DMCA比CFAA更可怕,因为处罚更严格。”
新美国基金会的开放技术研究所政策主管Kevin Bankston则简要概述了电子通信隐私法(ECPA)。他指出这是保护隐私的重要法案,并且在起诉美国国家安全局或者要求政府应该对监控进行批准的辩护组织可以使用这个法案。“但是这个法案同样广泛而含糊,给研究人员带来真正的挑战。”
该法案的窃听行为部分规定窃听别人的行为为重罪。但根据Bankston表示,触发该法案的人会面临民事罚款累加计算,因为他们可能被诉讼支付法定赔偿,根据被窃听的每人每天累加计算。
Bankston表示:“所以我说,这里的法定损害赔偿有点像蝙蝠侠的情况。原因是这样:你看过黑暗骑士中,蝙蝠侠打开Gotham市每部手机的话筒来试图抓住Joker吗?如果假设Gotham大约是纽约市那么大,当我们考虑私人空间的手机数量时会发现,如果Bruce Wayne被抓住,他需要支付数百亿或数千亿美元的法定损害赔偿,他可能一辈子都无法还清。”
总之,Bankston表示:“当你们13岁的时候你们都运行过Wireshark吧?根据该法案,你可能犯了重罪。”
Trey Ford随后邀请观众参与一个游戏,其中让他们从可能性菜单中选取出几种假象情境随机,并对每种情况的合法性进行讨论。一位学者可以偷偷地追踪同事的位置来获取关于其研究项目的信息吗?是否有某人可以查看企业竞争对手的电子邮件的情况?如果你测试Gmail中潜在的安全漏洞呢?如果你是计算机科学专业,你是否会得到从宽处理?
在所有的情况下,Hofmann和Bankston都认为答案是否定的。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
雅虎首席信息安全官:企业级安全公司表现有负众望
在2014年黑帽大会上,雅虎首席信息安全官Alex Stamos谴责企业级安全公司没能应付好“大规模和系统多样性”,并呼吁供应商抓住机遇进行创新。