对白帽黑客的保护很慢
在网络安全世界中,法律并不总是像好人一样对待善家。
随着哈雷·莱格尔在联合国举行的谈话中,“为安全研究人员为法律保护”而言,Tapid7安全峰会,绝大多数独立研究都有消费者和商业产品的安全性,“不寻求破坏IP (知识产权)或产品安全。它有助于我们继续前进,那些寻求伤害的人。“
然而,联邦和州层面的法律倾向于破坏,“他说。
Rapid7的公共政策主任Geiger 7被称为数字千年版权法(DMCA)和计算机欺诈和虐待法案(CFAA)的法律,他在关键领域表示未能区分研究人员,他们只是试图改善网络安全和犯罪黑客。
他说,好消息是事情正在改善,虽然到来是缓慢的。
1998年通过1998年的DMCA第1201节“未经制造商同意,”Geiger表示,“并在未经版权所有者同意的情况下控制获得受保护的工作。”
法律的意图是为了防止音乐和电影盗版,但它也施放了一个法律云,研究人员努力揭示和/或修复可能被犯罪分子利用的安全缺陷。
获取您的日常安全新闻:注册CSO的安全新闻云最终被解除了。“经过多年的律师讨论,在过去的周末,这种变化就生效,”莱格尔说。
他说,修正案确实存在了一些警告,包括:
该研究必须仅用于安全目的。豁免涵盖消费者设备,投票机,医疗设备,但不是关键基础设施,飞机和主要医院设备等事物。正在调查的产品必须合法地获得。研究必须在一个安全的环境中完成,所以用于破解或以其他方式妥协产品的技术在野外不会释放。研究不能违反其他法律。它是暂时的 - 才持久两年。“所以我们正在向版权局提出,使其成为永久性的,”格格尔说。
CFAA甚至更旧 - 1986年通过 - 虽然当时是“有远见的”,“它的年龄是展示的,”莱格尔说,争夺其禁止未经授权的专有软件,“消费者和研究人员扫除。 “
法律的意图是防止人们访问他们自己不拥有的数据和攻击他们不拥有的计算机。“我们认为应该消失,”莱格尔说,“但它应该是现代化的。
虽然尚未改变法律,但“好消息是,有人达成一致需要完成的事情,”他说。
他补充说,如果这种关系改善了白色帽子黑客和他们调查的产品所有者,那么即将到来,立法可能会更快地进入。
“我们敦促公司采用从研究人员接受友好信息的内部政策,”他说。“制定涉及漏洞的计划没有缺点。
但他说,研究界需要灵活。他说,在Rapid7的政策是首先通知供应商的漏洞,在通知美国证书(计算机应急准备团队),然后在公开开放前45天等待15天。
他表示,来自安全社区的公众压力需要具体对缺陷是什么,并提出解决方案。但他说更重要的是研究人员,“负责任”。
他说,在通知供应商之前发出缺陷,是一种破坏任何举措的方法,以为研究人员提供法律保护。
“政策土地上会有一场反弹,”他说,“这可能导致更多的限制。”
这个故事,“保护白帽黑客在即将到来的速度缓慢”最初由CSO出版。