¿Delito informático o investigación legítima?

Un investigador busca en Windows, descubre una falla (y una solución) y recibe $ 100, 000 de Microsoft. Otro, amenazado con ser procesado por presunto pirateo, se desanima y se quita la vida. En la conferencia Black Hat 2014, un panel de estrellas discutió las decisiones difíciles que los investigadores deben tomar y las minas terrestres legales que pueden aparecer.

Marcia Hofmann, abogada principal de la Electronic Frontier Foundation, actualmente administra una práctica de derecho boutique con un enfoque en delitos informáticos y seguridad y temas relacionados. Kevin Bankston, también abogado por primera vez en el EFF, es el Director de Políticas del Instituto de Tecnología Abierta de la New America Foundation, un grupo dedicado a "redes, plataformas y tecnologías de comunicaciones abiertas, con un enfoque en temas de vigilancia de Internet y censura." Al frente del panel estuvo Trey Ford, estratega de seguridad global de Rapid7 y ex gerente general de Black Hat.

El panel comenzó revisando cinco minas terrestres legales importantes que podrían llevar a los investigadores a un montón de problemas. Admitieron que esta parte de la presentación puede parecer un poco seca, pero alentaron a los asistentes a esperar una discusión abierta y completa.

La Ley de fraude y abuso informático

"El CFAA es una ley de mediados de los ochenta, un momento diferente", dijo Hoffman. "Su mayor prohibición parece simple. Es ilegal acceder intencionalmente a una computadora sin autorización, o ir más allá de la autorización existente para obtener información. Pero no define la autorización. Los tribunales han luchado con esto. ¿Qué hace que el acceso no autorizado? ¿Debe romper una barrera? "¿Utiliza medios tecnológicos para obtener acceso de una manera que el propietario no anticipó?"

Hoffman explicó que una primera violación es un delito menor, que posiblemente le lleve hasta un año en la cárcel. Sin embargo, una serie de circunstancias pueden aumentar la violación a un delito grave, entre ellas la intención de obtener ganancias, la información obtenida por un valor de más de $ 5, 000 y "el fomento de otro acto ilegal". Aaron Swartz estaba viendo una condena por delito grave porque el gobierno dijo que los artículos académicos a los que accedió valían más de $ 5, 000.

No se detiene ahí. "Puede ser demandado por daños monetarios en un caso civil", señaló Hoffman. "Los jueces consideran los casos civiles de manera diferente, sin embargo, esos casos pueden convertirse en un precedente para un caso penal". Explicó que una parte privada puede demandar si muestra $ 5, 000 en pérdidas. "Una compañía podría demandarlo por informarles sobre vulnerabilidad", continuó. "Podrían llamar al costo de la remediación una pérdida monetaria".

La Ley de Derechos de Autor del Milenio Digital

"La DMCA es prima de la CFAA", dijo Bankston. "Su prohibición básica es que ninguna persona eludirá la protección de una obra protegida por derechos de autor. Esto es diferente de la infracción de derechos de autor. Si elude la protección, incluso si no hace nada más, es culpable".

"La DMCA da miedo, con penas aún más duras", explicó Hoffman. "Las víctimas pueden demandar por liberación por mandato judicial (lo que significa que debe detener lo que está haciendo), por daños monetarios reales o por daños legales. Por cada violación, pagará de $ 200 a $ 2, 500, a discreción del juez. violación, o violación por ganancia financiera, puede recibir una multa de hasta medio millón y cumplir cinco años de prisión, y duplicar eso en una violación repetida. Realmente puede obtener el libro que se le arroja ".

La Ley de Privacidad de Comunicaciones Electrónicas

"El ECPA data de 1986, y es importante", dijo Bankston. "La ACLU lo usa para proteger la privacidad de los ciudadanos. Pero es lo suficientemente amplio y vago como para causar problemas a los investigadores. Son tres minas terrestres en una". Pasó a detallar las escuchas telefónicas, las comunicaciones almacenadas y los componentes del "registro de la pluma". El tercero, "registro de bolígrafo", se refiere a recopilar los números a los que llama o los números que lo llaman. "El propio manual del departamento de justicia señala que rastrear el teléfono de alguien podría violar esta ley", dijo Bankston, "por lo que su política es obtener una orden judicial".

"Wiretap es el más grande", continuó. "Puede ser un delito grave, pero también está sujeto a una demanda civil por daños reales y legales. Puede recibir una multa de $ 100 por día por persona afectada o $ 10, 000 por persona, lo que sea mayor. Recuerde esa vez cuando Batman encendió el ¿micrófonos en todos los teléfonos celulares en Gotham City? Incluso Bruce Wayne podría no ser capaz de pagar miles de millones de dólares en multas ".

¿Vamos a jugar un juego?

Después de trabajar con los detalles legales admitidamente secos, el panel cambió a un formato de programa de juegos. ¡No realmente! Se proyectó en la pantalla una gran cuadrícula que enumeraba una serie de posibles componentes de un evento de seguridad: el actor, la actividad, el objetivo, el motivo y un comodín. Esta última categoría incluía elementos como "la víctima no tiene daños monetarios" y "parece un hacker".

Usando números aleatorios para seleccionar elementos de cada categoría, crearon escenarios. Por ejemplo, "un investigador de seguridad académico accede al correo electrónico de su empleador actual para la investigación de seguridad, sin ganancia monetaria". ¿Es investigación legítima o es un delito? Los panelistas invitaron a la audiencia a considerar qué estatua podría haber sido violada y cuáles podrían ser las consecuencias. ¡Qué gran manera de dar vida a esos estatutos! La audiencia definitivamente estaba comprometida.

¿Como podemos arreglar esto?

Parece claro que muchas acciones de los investigadores de seguridad podrían meterlos en problemas. ¿Cómo podemos arreglar las leyes? "Las empresas pueden hacer cosas para disminuir el frío", dijo Hoffman. "Microsoft, Google y otros tienen programas de amnistía. Quieren saber sobre vulnerabilidades, por lo que trabajan para calmar las preocupaciones sobre las lecturas agresivas de la ley".

Ella señaló "Ley de Aaron", un cambio propuesto a la CFAA introducido por la representante de California Zoe Lofgren. "La Ley de Aaron mejoraría el CFAA al hacer explícito lo que se entiende por acceso no autorizado". "La Ley de Aaron evitaría la carga doble y cuádruple que puede ocurrir bajo el CFAA actual", señaló Bankston. "Pero se puede hacer más. Del mismo modo que tenemos mejoras de delitos graves por mala fe, tal vez podríamos agregar 'mejoras' para los investigadores que trabajan de buena fe. Tal vez podríamos quitar los daños legales de la mesa".

Los asistentes salieron de la sesión con una idea mucho mejor de lo que actualmente es ilegal y cómo debería cambiar la ley. Y me preguntaba… ¿cuántos de los presentadores en Black Hat son técnicamente criminales, solo por la investigación que están presentando?