Юрист Фонда электронных рубежей объясняет правовые последствия взламывания и как Компьютерный закон о Мошенничестве и Злоупотреблении (CFAA) вписывается.Исследователи в области безопасности часто обходят очень тонкую строку между тем, что законно и что недопустимо, и знание, что различие не все это простое, особенно учитывая текущее состояние закона.
Таким образом, что исследователи в области безопасности должны знать о законе? Юрист Марсия Хоффман задала тот вопрос во время пары говорящих сессий в Black Hat и конференций по безопасности CON DEF на прошлой неделе. В то время как существуют риски, связанные с исследованием компьютерной безопасности и взламыванием, Хоффман, который работает с Фондом электронных рубежей (EFF) и в настоящее время выполняет ее собственную юридическую практику, сказал, что цель ее разговора не состояла в том, чтобы испугать людей.
Скорее ее цель состоит в том, чтобы увеличить осведомленность о некоторых липких ситуациях, которые может создать закон.Основной закон, которым должны быть обеспокоены исследователи в области безопасности, является Компьютерным законом о Мошенничестве и Злоупотреблении (CFAA). Первоначально переданный в 1984, CFAA был ответом на военные Игры фильма, по словам Хоффмана. Члены Конгресса очевидно посмотрели фильм и волновались, сказала она.
CFAA включает некоторые положения, которые криминализируют несанкционированный доступ к определенным компьютерам с одним заявлением предоставления, «Это недопустимо для намеренного доступа к компьютеру без авторизации или сверх авторизации и таким образом получения информации от любого компьютера защиты», сказал Хоффман.Ограничивающий правовой принцип в том предоставлении «без авторизации или избытка авторизации» часть.«Основная проблема состоит в том, что мы не знаем то, что делает доступ несанкционированным», сказал Хоффман. «Это просто нарушает технологический барьер, предназначенный для ограничения доступа, или действительно ли это – ограничение на то, как Вы получаете доступ к данным, или это означает, что Вы не можете получить доступ к данным для цели, которую не любит владелец данных?»В представлении Хоффмана неопределенное настоящее языка в CFAA предоставляет себя выборочному принудительному осуществлению, и неясно, что фактически недопустимо.
Условия использованияОдна серая область для проведения законов в жизнь потенциального несанкционированного доступа вращается вокруг нарушений Условий использования.
В Центрах международного аэропорта, L.L.C. v. Прецедент цитрона, на который ссылается Хоффман, бывший сотрудник был найден в нарушении CFAA для удаления данных от ноутбука. Джейкоб Ситрин удалил данные после того, как он оставил работу для Центров международного аэропорта, и поэтому суд постановил, что у него больше не было санкционированного доступа к данным.В США по сравнению со случаем Дрю Лори Дрю создала поддельную учетную запись MySpace и затем использовала ту учетную запись для беспокойства друга ее дочернего элемента. Трагически, обеспокоенная девочка закончила тем, что совершила самоубийство в результате преследования.
Обвинитель в этом случае решил использовать CFAA для следования, Привлек основание, что Дрю нарушил Условия обслуживания для MySpace при помощи поддельной учетной записи.Нарушение Условий обслуживания, однако, может быть скользким путем, по словам Хоффмана.
Во многих случаях пользователи бессознательно соглашаются на Условия обслуживания для данного сайта, как только они посещают сайт. Для исследователей в области безопасности Хоффман предполагает, что они тщательно читают Условия обслуживания, а также Лицензионные соглашения конечного пользователя (EULAs).
«Если Вы можете избежать нарушать его, затем не нарушайте», сказал Хоффман.