什么’在计算机欺诈和虐待法案(CFAA)的股份。

两周前,最高法院 听到 口语论点 范伯伦与美国,地标案件 计算机欺诈和虐待行为 (CFAA)。本案中的甲板搬运工,是嘉宾,是佐治亚州的前警察,他用他合法地访问了警察车牌数据库,以便换取金钱。 van Buren被起诉并被定罪,违反了CFAA,以便在不打算的方式使用他的法律访问数据库。

CFAA.

基本问题 呈现 对于最高法院,如果他或她以未经授权的方式访问相同的信息,那些已授权访问计算机的人是否违反联邦法律。虽然这个问题看起来很琐碎,这是一个欢迎和长期逾期的法庭案件,可能对安全研究人员,消费者和公司产生重大影响。

旨在作为美国的第一次反黑客法,CFAA近三十五年前颁布,律师和技术人员在互联网如何增殖和发展的情况下感到任何意识。事实上,该行为足够过时,它特别排除打字机和便携式手持计算器作为一种计算机。

自成立以来,它已被强大地应用于基本术语和服务漏洞,就像亚伦Swartz的臭名昭着的案例从数字图书馆JSTOR下载文章一样 牵引 国家黑客和 推迟 Julian Assange.

问题的核心在于模糊,也许甚至是Draconian,对“未经授权”的计算机使用的描述。虽然法律已经修订了几次,但包括 阐明 受保护的计算机的定义,未经授权的访问的歧义将平均消费者占违反联邦法律的风险。根据第九次电路,您可能是可能的 承诺 通过共享订阅密码的重罪。

对于没有安全港或错误赏金计划的公司识别公司的漏洞,赌注对于安全研究人员来说特别高。 White-Hat Hackers,他真诚地向公司遭到违反,善意向公司报告漏洞,面对与漏洞积极利用和利润的网络犯罪分子相同的法律风险。例如,说,安全研究员已经确定了医疗保健公司生产的起搏器中的重大脆弱性。如果医疗保健公司尚未发布安全的港口协议,那么安全研究员 可以面对 报告漏洞可能挽救某人的生命的脆弱性最多十年。

在较少的剧烈方面,与公司合作的安全研究人员保护其系统在日常活动中面临法律风险。在A. 渗透试验例如,客户端将列出用于测试的“在范围”的资产,以及禁止测试的状态(例如,导致拒绝服务并崩溃服务器的任何操作)。渗透测试仪可能面临法律责任和监狱时间,无意中测试错误的资产,即“超出范围” - 或者意外地执行违反授权使用的测试。可以说,如果他们访问错误的数据库或推动错误的代码,工程师可能会面临相同的法律责任。

一方面,CFAA的广泛和暧昧语言为公司提供强大的法律保护,如果发生重大违规行为,则为联邦调查局提供联邦资源。有些公司有 争辩 如果公司已经承担安全服务,则缩小CFAA的范围不会对安全计划造成损害,包括像Bug Bounty这样的众群计划。一家公司通过在其移动应用程序中识别漏洞,在识别“恶意”时,一家公司收到了信息安全社区的推动。一些公司认为,难度难以准确地识别威胁演员的能力,使得难以区分来自网络犯罪分子的良好演员。

然而,CFAA是一种反应措施,将在事件后执行。理想情况下,公司应专注于预防性措施,以防止在发生之前防止违约行为。可以说是voatz这样的公司通过其投票应用程序为公众提供了沃地茨,即CFAA如此广泛,因为安全研究人员可以选择不调查或报告漏洞,因为他们可以向FBI报告它们。虽然归因可能是令人难以置信的困难,但善意的安全研究人员将在报告脆弱性时始终识别自己。与恶意演员不同,谁将利用漏洞的漏洞,安全研究人员采取行动,增加公司的安全态度,保护公民免受伤害。

所有公司都应该使用安全服务,如渗透测试, Bug赏金计划和安全的港口,快速识别和分类漏洞。然而,安全研究人员都有不同的测试方法,可能无法涵盖公司拥有的所有资产。例如,道德黑客可以专注于利用数据库中的SQL注入,他或她可能会错过允许访问受保护的服务器的Internet上的暴露凭据。随着Devsecops的快速速度,工程师可能会推动变化十几次 - 或更多 - 在一天中。

互联网结构和步伐的革命变化以及燃料的软件意味着临时或偶尔的安全测试不足以防止漏洞。我们需要安全研究人员的全部力量,所有公司都应该鼓励和保护他们的工作。

如果最高法院肯定范伯恩的信念,法律景观将大大是相同的。尽管善意行事,但安全研究人员和消费者都将面临责任,联邦政府将继续对授权计算机使用的微不足道和模棱两可的违规行使广泛的权力。

然而,最高法院现在有机会限制CFAA的范围并限制联邦政府可以起诉的内容。这样做将加强互联网的安全性,保护安全研究人员,并限制每日互联网用户的法律责任,单击服务条款而无需阅读它们。

自1984年首次颁布以来,虽然最高法院的决定在大大改变信息安全景观的情况下,很多,但它仍然不够。正如我们所看到的那样 事物账单账单 这是最近通过房子,美国需要现代立法来确保二十一世纪的快速变化技术。

简而言之,由于对CFAA的广泛解释,安全研究人员正在致力于善意地暴露于巨大的法律风险。这是损害任何重视其信息保护的人。我们在美国的改革方面是令人震惊的,但与此同时,希望最高法院将缩小CFAA的范围,以保护消费者和安全研究人员。

分享这个