Video: Kasus Kejahatan Komputer Online & Offline (Oktober 2024)
Seorang peneliti menggali Windows, menemukan cacat (dan perbaikan), dan menerima $ 100.000 dari Microsoft. Yang lain, diancam akan dituntut karena diduga melakukan peretasan, menjadi sedih dan mengambil nyawanya sendiri. Pada konferensi Black Hat 2014, sebuah panel all-star membahas keputusan sulit yang harus diambil oleh para peneliti, dan ranjau darat legal yang dapat muncul.
Marcia Hofmann, seorang pengacara senior satu kali di Electronic Frontier Foundation, saat ini mengelola praktik hukum butik dengan fokus pada kejahatan komputer dan keamanan serta topik terkait. Kevin Bankston, juga seorang pengacara senior satu kali di EFF, adalah Direktur Kebijakan Institut Teknologi Terbuka New America Foundation, sebuah kelompok yang ditujukan untuk "jaringan komunikasi terbuka, platform, dan teknologi, dengan fokus pada masalah pengawasan internet dan sensor." Yang memimpin panel adalah Trey Ford, Global Security Strategist di Rapid7 dan mantan General Manager untuk Black Hat.
Panel dimulai dengan meninjau lima ranjau darat legal yang signifikan yang dapat mendaratkan para peneliti di tumpukan masalah. Mereka mengakui bahwa bagian dari presentasi ini mungkin tampak agak kering, tetapi mendorong peserta untuk mengadakan diskusi terbuka dan penuh.
The Computer Fraud and Abuse Act
"CFAA adalah undang-undang dari pertengahan tahun delapan puluhan, waktu yang berbeda, " kata Hoffman. "Larangan terbesarnya tampaknya sederhana. Adalah ilegal untuk secara sengaja mengakses komputer tanpa otorisasi, atau melampaui otorisasi yang ada untuk mendapatkan informasi. Tapi itu tidak mendefinisikan otorisasi. Pengadilan telah berjuang dengan ini. Apa yang membuat akses tidak sah? Haruskah Anda melanggar penghalang ? Menggunakan alat teknologi untuk mendapatkan akses dengan cara yang tidak diantisipasi oleh pemilik?"
Hoffman menjelaskan bahwa pelanggaran pertama adalah pelanggaran ringan, mungkin menghasilkan satu tahun penjara. Namun, sejumlah keadaan dapat meningkatkan pelanggaran menjadi tindak pidana, di antaranya niat mencari untung, informasi yang diperoleh bernilai lebih dari $ 5.000, dan "kelanjutan dari tindakan ilegal lainnya." Aaron Swartz melihat ke pengadilan kejahatan karena pemerintah mengatakan artikel akademik yang dia akses bernilai lebih dari $ 5.000.
Tidak berhenti di situ. "Anda dapat dituntut atas kerugian moneter dalam kasus perdata, " kata Hoffman. "Hakim memandang kasus perdata secara berbeda, namun kasus itu bisa menjadi preseden bagi kasus pidana." Dia menjelaskan bahwa pihak swasta dapat menuntut jika menunjukkan kerugian $ 5.000. "Sebuah perusahaan bisa menuntut Anda karena memberi tahu mereka tentang kerentanan, " lanjutnya. "Mereka bisa menyebut biaya perbaikan kerugian finansial."
Digital Millennium Copyright Act
"DMCA adalah sepupu CFAA, " kata Bankston. "Larangan dasarnya adalah bahwa tidak ada orang yang dapat menghindari perlindungan terhadap karya berhak cipta. Ini berbeda dari pelanggaran hak cipta. Jika Anda menghindari perlindungan, bahkan jika Anda tidak melakukan apa-apa lagi, Anda bersalah."
"DMCA menakutkan, dengan hukuman lebih keras, " jelas Hoffman. "Korban dapat menuntut pembebasan hukuman (berarti Anda harus menghentikan apa yang Anda lakukan), untuk kerusakan moneter aktual, atau untuk kerusakan hukum. Untuk setiap pelanggaran, Anda akan membayar dari $ 200 hingga $ 2.500, atas pertimbangan hakim. Untuk kehendak hakim yang disengaja. pelanggaran, atau pelanggaran demi keuntungan finansial, Anda dapat didenda hingga setengah juta dan menjalani hukuman lima tahun penjara, dan dua kali lipatnya karena pelanggaran berulang. Anda benar-benar dapat membuat buku itu dilemparkan kepada Anda."
Undang-Undang Privasi Komunikasi Elektronik
"ECPA berasal dari tahun 1986, dan ini penting, " kata Bankston. "ACLU menggunakannya untuk melindungi privasi warga. Tapi itu cukup luas dan tidak jelas untuk menimbulkan masalah bagi para peneliti. Tiga ranjau darat dalam satu." Dia melanjutkan untuk merinci komponen penyadapan, komunikasi yang tersimpan, dan komponen "pen register". Yang ketiga, "daftar pena, " mengacu pada pengumpulan nomor yang Anda panggil atau nomor yang memanggil Anda. "Buku pedoman departemen kehakiman mencatat bahwa melacak telepon seseorang mungkin melanggar undang-undang ini, " kata Bankston, "jadi kebijakan mereka adalah mendapatkan surat perintah."
"Wiretap adalah yang besar, " lanjutnya. "Ini bisa menjadi tindak pidana, tetapi Anda juga dapat dikenakan gugatan perdata untuk kerusakan aktual dan hukum. Anda dapat didenda $ 100 per hari per orang yang terkena dampak atau $ 10.000 per orang, mana yang lebih besar. Ingatlah saat ketika Batman mengaktifkan mikrofon pada semua ponsel di Gotham City? Bahkan Bruce Wayne mungkin tidak dapat membayar miliaran dolar dalam denda."
Haruskah Kita Memainkan Game?
Setelah bekerja melalui rincian hukum yang diakui kering, panel bergeser ke format permainan. Tidak benar-benar! Diproyeksikan di layar adalah kotak besar yang mencantumkan sejumlah komponen yang mungkin dari peristiwa keamanan: aktor, aktivitas, target, motif, dan kartu liar. Kategori terakhir ini termasuk item-item seperti "korban tidak memiliki kerusakan moneter" dan "terlihat seperti seorang peretas!"
Menggunakan angka acak untuk memilih item dari setiap kategori, mereka membuat skenario. Misalnya, "seorang peneliti keamanan akademik mengakses email majikannya saat ini untuk penelitian keamanan, tanpa keuntungan uang." Apakah ini penelitian yang sah, atau itu kejahatan? Para panelis mengundang hadirin untuk mempertimbangkan patung apa yang mungkin dilanggar, dan apa konsekuensinya. Sungguh cara yang bagus untuk menghidupkan ketetapan itu! Penonton benar-benar terlibat.
Bagaimana Cara Memperbaikinya?
Tampak jelas bahwa banyak tindakan oleh peneliti keamanan dapat membuat mereka dalam masalah. Bagaimana kita bisa memperbaiki hukum? "Perusahaan dapat melakukan berbagai hal untuk mengurangi kedinginan, " kata Hoffman. "Microsoft, Google, dan yang lain memiliki program amnesti. Mereka ingin tahu tentang kerentanan, sehingga mereka bekerja untuk meredakan kekhawatiran tentang pembacaan agresif hukum."
Dia menunjukkan "Hukum Harun, " usulan perubahan CFAA yang diperkenalkan oleh perwakilan California Zoe Lofgren. "Hukum Harun akan meningkatkan CFAA dengan membuatnya eksplisit apa yang dimaksud dengan akses tidak sah." "Hukum Harun akan menghindari pengisian ganda dan empat kali lipat yang dapat terjadi di bawah CFAA saat ini, " kata Bankston. "Tapi lebih banyak yang bisa dilakukan. Sama seperti kita memiliki perangkat tambahan kejahatan untuk itikad buruk, mungkin kita bisa menambahkan 'peningkatan tambahan' untuk peneliti yang bekerja dengan itikad baik. Mungkin kita bisa mengambil ganti rugi hukum dari meja."
Para peserta meninggalkan sesi dengan gagasan yang jauh lebih baik tentang apa yang saat ini ilegal dan bagaimana hukum harus berubah. Dan saya bertanya-tanya… berapa banyak penyaji di Black Hat yang secara teknis penjahat, hanya untuk penelitian yang mereka sajikan?
