Vídeo: SÉRIE DEBATES - CRIMES VIRTUAIS - Prof. Dickson Cosseti (Novembro 2024)
Um pesquisador procura no Windows, descobre uma falha (e uma correção) e recebe US $ 100.000 da Microsoft. Outro, ameaçado de acusação por suposta invasão, fica desanimado e tira a própria vida. Na conferência Black Hat 2014, um painel de estrelas discutiu as difíceis decisões que os pesquisadores precisam tomar e as minas legais que podem surgir.
Marcia Hofmann, ex-advogada sênior da Electronic Frontier Foundation, atualmente administra um escritório de advocacia com foco em crimes e segurança de computadores e tópicos relacionados. Kevin Bankston, também advogado sênior da EFF, é diretor de políticas do Open Technology Institute da New America Foundation, um grupo dedicado a "redes, plataformas e tecnologias de comunicações abertas, com foco em questões de vigilância na Internet e censura." À frente do painel estava Trey Ford, estrategista de segurança global da Rapid7 e ex-gerente geral da Black Hat.
O painel começou analisando cinco importantes minas terrestres legais que poderiam levar os pesquisadores a um monte de problemas. Eles admitiram que essa parte da apresentação pode parecer um pouco seca, mas incentivaram os participantes a aguardarem uma discussão aberta e completa.
Lei de fraudes e abusos de computadores
"A CFAA é uma lei de meados dos anos 80, uma época diferente", disse Hoffman. "Sua maior proibição parece simples. É ilegal acessar intencionalmente um computador sem autorização ou ir além da autorização existente para obter informações. Mas isso não define a autorização. Os tribunais lutaram com isso. O que torna o acesso não autorizado? Você deve romper uma barreira ? Usar meios de tecnologia para obter acesso de uma maneira que o proprietário não previu?"
Hoffman explicou que uma primeira violação é uma contravenção, possivelmente ganhando até um ano de prisão. No entanto, várias circunstâncias podem melhorar a violação de um crime, entre elas a intenção de lucrar, informações obtidas no valor de mais de US $ 5.000 e "promoção de outro ato ilegal". Aaron Swartz estava analisando uma condenação criminal porque o governo disse que os artigos acadêmicos que ele acessava valiam mais de US $ 5.000.
Não para por aí. "Você pode ser processado por danos monetários em um caso civil", observou Hoffman. "Os juízes analisam os processos civis de maneira diferente, mas esses casos podem se tornar precedentes para um processo criminal". Ela explicou que uma parte privada pode processar se mostrar US $ 5.000 em perdas. "Uma empresa pode processar você por falar sobre vulnerabilidade", continuou ela. "Eles poderiam considerar o custo da remediação uma perda monetária".
A Lei de Direitos Autorais do Milênio Digital
"O DMCA é primo da CFAA", disse Bankston. "Sua proibição básica é que ninguém contorne a proteção de uma obra protegida por direitos autorais. Isso é diferente da violação de direitos autorais. Se você contornar a proteção, mesmo que não faça mais nada, você é culpado."
"O DMCA é assustador, com penalidades ainda mais difíceis", explicou Hoffman. "As vítimas podem processar por liberação injuntiva (o que significa que você deve interromper o que está fazendo), por danos monetários reais ou por danos estatutários. Para cada violação, você paga de US $ 200 a US $ 2.500, a critério do juiz. violação, ou violação de lucro financeiro, você pode ser multado em até meio milhão e cumprir cinco anos de prisão e dobrar isso em uma violação repetida. Você pode realmente jogar o livro contra você."
Lei de Privacidade das Comunicações Eletrônicas
"A ECPA data de 1986 e é importante", disse Bankston. "A ACLU a usa para proteger a privacidade dos cidadãos. Mas é ampla e vaga o suficiente para causar problemas aos pesquisadores. São três minas terrestres em uma". Ele detalhou os componentes de escutas telefônicas, comunicações armazenadas e "caneta registradora". O terceiro, "caneta registradora", refere-se à coleta dos números para os quais você liga ou dos que ligam para você. "O próprio manual do departamento de justiça observa que rastrear o telefone de alguém pode violar esse estatuto", disse Bankston, "então a política deles é obter um mandado".
"A escuta telefônica é a maior", continuou ele. "Pode ser um crime, mas você também está sujeito a uma ação civil por danos reais e legais. Você pode ser multado em US $ 100 por dia por pessoa afetada ou US $ 10.000 por pessoa, o que for maior. Lembre-se da vez em que Batman ligou o microfones em todos os telefones celulares de Gotham City? Até Bruce Wayne pode não ser capaz de pagar bilhões de dólares em multas ".
Vamos jogar um jogo?
Depois de analisar os detalhes legais reconhecidamente secos, o painel mudou para um formato de game show. Não mesmo! Projetada na tela, havia uma grande grade listando vários componentes possíveis de um evento de segurança: o ator, a atividade, o alvo, o motivo e um curinga. Esta última categoria incluía itens como "vítima não tem danos monetários" e "parece um hacker!"
Usando números aleatórios para selecionar itens de cada categoria, eles criaram cenários. Por exemplo, "um pesquisador acadêmico de segurança acessa o e-mail de seu empregador atual para pesquisa de segurança, sem ganho monetário". É uma pesquisa legítima ou é um crime? Os participantes do painel convidaram a platéia a considerar qual estátua poderia ter sido violada e quais poderiam ser as consequências. Que maneira excelente de dar vida a esses estatutos! O público estava definitivamente envolvido.
Como podemos corrigir isso?
Parece claro que muitas ações dos pesquisadores de segurança podem causar problemas. Como podemos consertar as leis? "As empresas podem fazer coisas para diminuir o frio", disse Hoffman. "A Microsoft, o Google e outros têm programas de anistia. Eles querem saber sobre vulnerabilidades, então trabalham para diminuir as preocupações com leituras agressivas da lei".
Ela apontou a "Lei de Aaron", uma proposta de mudança na CFAA introduzida pela representante da Califórnia Zoe Lofgren. "A lei de Aaron melhoraria a CFAA, explicitando exatamente o que significa acesso não autorizado". "A lei de Aaron evitaria a cobrança dupla e quádrupla que pode ocorrer no atual CFAA", observou Bankston. "Mas mais pode ser feito. Assim como temos aprimoramentos criminais por má-fé, talvez possamos adicionar 'aprimoramentos' para pesquisadores que trabalham de boa-fé. Talvez possamos tirar danos estatutários da mesa".
Os participantes deixaram a sessão com uma ideia muito melhor do que é atualmente ilegal e como a lei deve mudar. E eu me perguntei… quantos dos apresentadores da Black Hat são tecnicamente criminosos, apenas pela pesquisa que estão apresentando?