(来源:维克多·j·蓝/布隆伯格通过盖蒂图片社)
演讲在华盛顿举行的安全会议上提出了一个小期待已久的保证安全研究人员:联邦检察官不太可能收你这些天。这是美国你需要当心。
在谈话ShmooCon(在一个新窗口打开)周五晚上,Venable LLP律师网络安全哈雷盖革(在一个新窗口打开)告诉与会者说,两个法律长被认为是有害的通过信息安全类型变得不那么有毒,因为最近的行动在华盛顿。
“计算机欺诈和滥用法》和《数字千禧年著作权法》已经进化的黑客,”他说,开始时他的“黑客黑客的法律”。
业内人士,1986年通过黑客的风险不断增加的报警后(催化在某种程度上(在一个新窗口打开)通过1983年经典当成),将进入一个计算机系统“擅自”或“超过授权访问。“DMCA,颁布了1998年在好莱坞的要求下,使其成为一个禁用安全措施,控制犯罪获取受版权保护的材料。两种方法被用来威胁和骚扰安全研究人员。
但在2021年,最高法院(PDF(在一个新窗口打开))的业内人士不包括未经授权使用“否则可用信息”一个人。,本质上是服务条款违反法律的范围。盖格说,“这可能是一个违反合同,但它不是一个联邦黑客犯罪。”
2022年5月,美国司法部更进一步,宣布将不再起诉善意安全研究的业内人士。“这是一个大问题,”盖格说。
他听起来不那么愉快的DMCA和它第1201节(在一个新窗口打开)禁止绕过然而系统。改变了法规主要是通过美国国会图书馆的版权办公室,可格兰特和反规避规定每三年更新公共利益例外情况。
2021年,办公室更新和扩展(在一个新窗口打开)“1201”豁免在违反版权保护安全的研究。然而,它仍然禁止分发这些翻墙工具,渗透测试公司盖革称为一个持续的威胁:“这些技术,向公众提供,其中每一个公司。”
然而,许多州计算机犯罪法律尚未看到任何类似的进化。“最大的法律风险安全研究,我认为,通常是在国家法律,”盖格说。
他长大密苏里州的法律(在一个新窗口打开)这包括在其列表,禁止活动:“披露或获取数据、程序或支持文档。”,安全研究人员做什么,还有一个共同特征的“黑暗网络”监测服务,如那些在ShmooCon搭。
马里兰定律(在一个新窗口打开)同时,使其成为一个犯罪“拥有、识别或试图确定一个有效的访问代码”没有授权。问盖革:“是,犯罪在美国国家安全局在哪里住?“观众挤满了人意识到触爪伸向在国家安全局工作的总部在英国《金融时报》。米德,医学博士,笑出声来。
另一方面,盖革称赞华盛顿的法令(在一个新窗口打开)专门保护“诚信测试、调查、识别、和/或修正的一个安全缺陷或弱点。”
盖革最后指出中国新规定(在一个新窗口打开)网络安全漏洞管理的另一个风险。这个法令,2021年9月生效,要求研究人员报告bug,他们发现了中国当局在48小时内,这是供应商没有足够的时间他们中的大多数。
盖革后果的描述:“这是一个巨大的吸吮的声音补丁前往中国政府。”
他敦促与会者对抗试图复制粘贴这些原则到其他法律制度:“我们看到的模型来自中国我们不想看到其他地方复制。”
