“授权访问”辩论可能会影响安全研究人员和笔测试人员,他们调查了基于美国的技术
分析联邦调查局的刺痛导致逮捕了美国警察,可能会对该国的安全研究人员如何进行工作产生重大影响。
内森·范·布伦(Nathan Van Buren)同意在佐治亚州犯罪信息中心数据库上进行据称是为了货币而进行的车牌搜索后,于2017年被定罪两项联邦指控。
一名当地男子警告联邦调查局(FBI)前州警察向他索要钱之后,联邦调查局(FBI)炮制了一个刺痛,线人提供了现金,以换取信息,以确定虚构的当地脱衣舞娘实际上是秘密的警察。
最高法院范·布伦(Van Buren)提出上诉4月20日同意法院解释了如何定义未经授权访问和使用计算机及其资源的法律如何解释的法律。
什么是CFAA?
这计算机欺诈与滥用法(CFAA)是一项美国法律,该法律禁止任何人无权访问计算机或超过授权。
该立法可用于政府犯罪行动,以定罪欺诈者,网络犯罪分子和白领骗子,以及寻求保护其知识产权的企业的民事行动。
该法案于1986年通过,扩大了1984年法规除了将“故意使用无授权的计算机”分类为犯罪之外,还包括超过“该授权范围”的范围。
但是,CFAA对“无授权”和“超过授权访问”术语的含义含糊不清。
CFAA禁止未经授权访问计算机或超过授权
CFAA分裂
旧金山律师事务所Crowell&Moring的合伙人加布里埃尔·拉姆西(Gabriel Ramsey)对“目前,美国的法院已经分裂”。每日swbeplay2018官网ig- Van Buren案可以安装一代。
Ramsey说,一些巡回法院“需要更多的技术编程黑客入侵”,而另一些巡回法院“说足以违反服务条款或协议”。
法院就1987年的案件裁定罗伯托·罗德里格斯(Roberto Rodriguez)例如,它采取了更广泛的看法。
第十一巡回法院裁定,社会保障局(SSA)的前雇员(SSA)已将鲜花送往从SSA数据库获得的妇女的地址,他们违反了SSA政策“超出了他的授权访问权限”。
相比之下,第九巡回法院在2016年进行了较窄的解释。被告David Nosal被认为没有违反CFAA诱使员工在他的前雇主那里,向他提供敏感的公司数据,以供自己使用竞争的执行搜索业务。
对安全研究人员的影响
拉姆西说,最高法院是否同意第十一巡回法院对范布伦(Van Buren)的辩护的拒绝 - 他“是无辜的计算机欺诈,因为他只访问了他被授权的数据库”。
“最高法院将要解决的核心问题”是该法是否“需要一定的技术步骤”或“我们知道的黑客攻击”,以“违反法规”,还是违反某种形式的数据使用政策,限制数据使用的就业协议或类似协议(例如服务条款)就足够了。”
CFAA需要恶意的意图“对研究人员和渗透测试广泛地说,”拉姆齐说。
然而,如果最高法院有利于“更广泛的解释”,那么笔测试师可以“冒险”来限制其活动的任何“条款和条件”。
推荐的在火线中:加利福尼亚的AB5劳动法会造成网络安全顾问的破坏吗?
在这种情况下,拉姆齐说,穿透测试人员和研究人员将“尽可能清楚他们与[客户]的关系清晰”。
在此类正式框架之外运行的“良好研究人员”的法律环境可能会更加敌对。
拉姆齐(Ramsey),最近合着分析在“最高法院首次企图分析CFAA责任的确切轮廓”中,不记得一个明显的情况,即安全研究人员对CFAA的犯规。
但是,大约十年前“以一种非常侵略的方式获得学术资源的学生的起诉”,“一个奇怪的是,是否应该尽可能广泛地应用犯罪[制裁]的威胁。”
Van Buren判决可以解决一代合法安全研究的法律参数
安全研究的良性结果
对范布伦案的狭窄解释显然会使道德黑客的危险降低。
但是,在黑帽子,欺诈者和心怀不满的员工可以轻松摆脱法律影响的情况下,不一定会产生零和影响。
拉姆西解释说:“如果我是CFAA的检察官或民事执行者,如果狭窄的观点占上风,我就不会没有工具。”“检察官仍然可以在数据盗窃方面追求犯罪理论”,“私人一方仍然可以违反合同索赔或主张有关数据盗窃的普通法理论。”
拉姆西说,这种替代方案确实是“所有繁重的举重”,作为检察官或民事原告。
因此,假设您为什么需要一个非常广泛的CFAA?目前,法律对网络犯罪分子定罪的有效性?
Ramsey说:“我在针对侵略性行为者的民事诉讼中经常使用它,这很有用,因为它确实符合非常技术性的黑客攻击(可以被描述为犯罪)的背景。”
但是,歧义造成了一些“不舒服”的情况。
HIQ与LinkedIn
在另一种对CFAA解释的影响的情况下,LinkedIn希望看到从公共面向公共的网站上自动收集个人数据,这些网站定义为有意访问“无授权的计算机”。beplay体育能用吗
社交媒体平台提出了针对HIQ的案例,这是一种“人才管理算法”,该算法从公共LinkedIn配置文件中刮掉了信息,并于2017年将其出售给客户。
如果最高法院加入加利福尼亚州北区和上诉法院与HIQ一起旁边,那么刮擦数据的网站仍将有其他法律途径。beplay体育能用吗
这包括“违反合同,侵犯版权,普通法盗用,不公平的竞争,侵入和conversion依,DMCA反循环规定,违反FTC,第5条以及违反州UDAP法律的行为”根据珍妮·L·高露洁(Jenny L Colgate),罗斯韦尔·菲格(Rothwell Figg)的知识产权诉讼人。
CFAA适合目的吗?
无论最高法院以哪种方式依靠Van Buren和Hiq案件,Ramsey都清楚地表明,在万维网诞生的几年之前,一项法律在2020年不完全适合目的。beplay体育能用吗
他解释说:“立法者需要对本法规进行大修。”
他补充说,计算机和计算网络的“基本体系结构”“是相同的”,“但是人们使用的方式”计算机,网络和数据以及“可访问性的范围,都比1980年代的二进制。法律没有说明这一巨大范围。”
