ABD Adalet Bakanlığı, kurumsal sızma testi ve diğer siber güvenlik taktikleri üzerinde büyük etkisi olabilecek bir hareketle, geçtiğimiz Perşembe günü savcılara bildirerek kendi politikalarından birini tersine çevirdi. değil “İyi niyetli güvenlik araştırmasına” dahil olan herkesi kovuşturmak.
Bu, orijinal DOJ politikasını (Obama döneminde 2014’te belirlenen) keşfetme konusunda beni çok daha fazla ilgilendiren sağduyulu kararlardan biri.
Söz konusu temel kanun, Bilgisayar Dolandırıcılığı ve Kötüye Kullanımı Yasası, bu da uygun yetkilendirme olmadan bir bilgisayara erişmeyi yasa dışı hale getirdi. 1986’da kabul edildi ve o zamandan beri birkaç kez güncellendi.
Aynı zamanda, bir çok kişinin “yetkili erişimi aşma” hakkını bir işletme sahibinin hoşlanmadığı hemen hemen her şey anlamına gelmesiyle kötüye kullanıldı. Bu, yasal güvenlik araştırmacıları ve özellikle halka açık olanı kalemle test etmeden önce bir site sahibinin onayına ihtiyaç duyduklarından korkan kalem testçileri için sorunlara neden oldu.
İçinde onun ifadesi, DOJ, artık kovuşturmayı hak etmeyecek bazı mükemmel davranış örnekleri sundu: “Çevrimiçi bir flört profilini flört sitesinin hizmet şartlarına aykırı olarak süslemek; işe alma, konut veya kiralama web sitelerinde kurgusal hesaplar oluşturmak; bunları yasaklayan bir sosyal ağ sitesinde takma ad kullanmak; iş yerinde spor puanlarını kontrol etmek; işyerinde fatura ödemek; veya bir hizmet süresinde yer alan bir erişim kısıtlamasını ihlal etmek, federal cezai suçlamaları haklı çıkarmak için tek başına yeterli değildir. Politika, bakanlığın kaynaklarını, sanığın bir bilgisayara erişim yetkisinin hiç olmadığı veya bir bilgisayarın bir kısmına (bir e-posta hesabı gibi) erişme yetkisinin bulunduğu ve bu kısıtlamayı bilmesine rağmen, davalının bir kısmına eriştiği davalara odaklanmaktadır. diğer kullanıcıların e-postaları gibi yetkili erişiminin yayılmadığı bilgisayar.”
Açıklamada ayrıca “iyi niyetin” sınırları olduğu da belirtildi. “Yeni politika, güvenlik araştırması yürüttüğünü iddia etmenin kötü niyetli hareket edenler için serbest geçiş olmadığını kabul ediyor. Örneğin, sahiplerine şantaj yapmak için cihazların güvenlik açıklarını keşfetmek, araştırma olduğu iddia edilse bile iyi niyetli değildir.”
Pratik mesele, her zaman gri alanların olacağıdır. Justice’in “sahiplerini şantaj yapmak için cihazlardaki güvenlik açıklarını keşfetme” örneğini ele alalım.
Gerçek gasp gri değildir: “Sisteminizde bu 19 güvenlik açığını bulduk. Bu gece yarısına kadar bize 5 milyon dolar verin yoksa ayrıntıları dünyanın görmesi için yayınlayacağız.”
Ancak bu o kadar net değil: “Sisteminizde bu 19 güvenlik açığını bulduk. Açıklık bulma konusunda gerçekten iyiyiz. Siber güvenlik hizmetleri için firmamı tutmayı tartışmak ister misiniz?” Bu daha çok açık bir tehdit içermeyen bir satış konuşmasıdır.Yine, “araştırmacılar” teklif reddedilirse veya görmezden gelinirse ne yapacakları konusunda sessizler.
Ödül programları ne olacak? Ya güvenlik araştırmacıları bu delikleri bulursa ve reklamı yapılan bir ödül programından bir ödeme isterse – ve ödül talebi reddedilirse herkese deliklerin ayrıntılarını söyleyeceklerini söylerse.
Mark Rasch, siber güvenlik konularında uzmanlaşmış bir avukat ve Bilgisayar Dolandırıcılığı ve Kötüye Kullanımı Yasası’nı içeren ilk davayı kovuşturan eski bir Adalet Departmanı savcısıdır. (Not: Davalının Robert Tappan Morris olduğu bu dava 1989’da gerçekleşti. Bu davayı neredeyse bir ay boyunca Syracuse federal mahkeme salonunda her gün anlattım, yani bu yeni bir mesele değil.)
Rasch, yeni Adalet Bakanlığı politikasını beğendi, ancak her şeyin savcılığın takdirine dayandığını ve her bir davada ayrıntılı ayrıntılar ve koşullarla ilgilendiğini söyledi. “Asıl sorun şu ki, yazılı bir şey olmaması, bireysel bir savcının iyi doğasına güvenmekle ilgili. İki kişi aynı faaliyet raporuna bakıp farklı hukuki sonuçlara varabilir. Oyunda yüzlerce farklı değer yargısı var.”
Rasch, 1989 ile bugün arasındaki büyük farklardan birinin topluluk olduğunu söyledi. 80’lerin sonlarında, siber suçlar daha bireysel olarak görülüyordu ve fiziksel dünyaya benzetmeler daha yaygındı. Güvenliklerinin yetersiz olduğunu kanıtlamak için bir hırsızın evlere girmesi ve belki de başarılı bir şekilde içeri girdiğini kanıtlamak için küçük bir şey çalması örneğini verdi. Bu tiksindirici olarak kabul edildi.
Ancak bugün, dedi ki, daha iyi bir topluluk duygusu var, bu da güvenlik araştırmasının kabul edildiği anlamına geliyor. olabilmek tüm topluma fayda sağlamak.
Siber güvenlik topluluğu içinde bile, bir beyaz şapkalının (genellikle ileri teknoloji kaba kuvvet yoluyla içeri girmenin yollarını bulması) ile araştırmacıların ve kalem testçilerinin yanlarından kurtulabilecekleri arasında farklılıklar vardır. Kalem test kullanıcıları, herkesin erişebileceği belgelerle kalmayı ve bu sınırlama ile ne kadar ileri gidebileceklerini görmeyi sever.
Her iki durumda da, bu yeni kılavuz, kovuşturma kararlarının daha uygun olmasına yardımcı olacaktır. Güvenlik araştırmacılarının işlerini daha az korkuyla yapmalarını sağlayan her şey iyi bir şeydir.
Telif Hakkı © 2022 IDG Communications, Inc.