En una medida que podría tener un gran impacto en las pruebas de penetración empresarial y otras tácticas de seguridad cibernética, el jueves pasado el Departamento de Justicia de EE. UU. revirtió una de sus propias políticas al decirle a los fiscales No a enjuiciar a cualquier personality involucrada en una “investigación de seguridad de buena fe”.
Esta es una de esas decisiones de sentido común que hace que me interese mucho más explorar l. a. política authentic del Departamento de Justicia (establecida en 2014, durante l. a. technology de Obama).
L. a. ley subyacente en cuestión es l. a. Ley de Abuso y Fraude Informático, que hizo ilegal acceder a una computadora sin l. a. debida autorización. Fue aprobada en 1986 y ha sido actualizada varias veces desde entonces.
También se ha abusado de él, y muchos consideran que “exceder el acceso autorizado” significa casi cualquier cosa que no le guste al propietario de una empresa. Esto ha causado problemas a los investigadores de seguridad legítimos y específicamente a los evaluadores de penetración que temen necesitar l. a. aprobación del propietario de un sitio antes de realizar una prueba de penetración de lo que está disponible públicamente.
En su declaración, DOJ ofreció algunos ejemplos excelentes de conducta que ya no ameritarían enjuiciamiento: “Embellecimiento de un perfil de citas en línea contrario a los términos de servicio del sitio internet de citas; crear cuentas ficticias en sitios internet de contratación, vivienda o alquiler; usar un seudónimo en un sitio de redes sociales que los prohíba; comprobar los resultados deportivos en el trabajo; pagar facturas en el trabajo; o violar una restricción de acceso contenida en un término de servicio no son suficientes para justificar cargos penales federales. L. a. política enfoca los recursos del departamento en casos en los que un acusado no está autorizado para acceder a una computadora o estaba autorizado a acceder a una parte de una computadora, como una cuenta de correo electrónico, y, a pesar de conocer esa restricción, accedió a una parte de l. a. computadora. l. a. computadora a l. a. que no se extendió su acceso autorizado, como los correos electrónicos de otros usuarios”.
L. a. declaración también dijo que l. a. “buena fe” tiene sus límites. “L. a. nueva política reconoce que afirmar que se está realizando una investigación de seguridad no es un pase libre para aquellos que actúan de mala fe. Por ejemplo, descubrir vulnerabilidades en dispositivos para extorsionar a sus dueños, incluso si se afirma que es una investigación, no es de buena fe”.
L. a. cuestión práctica es que siempre habrá áreas grises. Consideremos el propio ejemplo de Justice de “descubrir vulnerabilidades en dispositivos para extorsionar a sus propietarios”.
L. a. verdadera extorsión no es gris: “Encontramos estos 19 agujeros de seguridad en su sistema. Danos $5 millones antes de l. a. medianoche de esta noche o publicaremos los detalles para que el mundo los vea”.
Sin embargo, esto no es tan claro: “Encontramos estos 19 agujeros de seguridad en su sistema. Somos muy buenos para encontrar agujeros. ¿Quiere hablar sobre contratar a mi empresa para los servicios de seguridad cibernética?” Eso es más un argumento de venta, sin amenazas explícitas. Por otra parte, los “investigadores” guardan silencio sobre lo que harían si el argumento fuera rechazado o ignorado.
¿Qué pasa con los programas de recompensas? ¿Qué pasa si los investigadores de seguridad encuentran estos agujeros y quieren un pago de un programa de recompensas anunciado, y dicen que si se niega l. a. solicitud de recompensas, le dirán a todos los detalles de los agujeros?
Mark Rasch es un abogado especializado en cuestiones de seguridad cibernética y exfiscal del Departamento de Justicia que procesó el primer caso relacionado con l. a. Ley de Abuso y Fraude Informático. (Nota: ese caso, en el que el acusado technology Robert Tappan Morris, ocurrió en 1989. Cubrí ese juicio todos los días durante casi un mes en un tribunal federal de Syracuse, por lo que este no es un tema nuevo).
A Rasch le gusta l. a. nueva política del Departamento de Justicia, pero dijo que todo vuelve a l. a. discreción del fiscal y al manejo de detalles y circunstancias elaborados en cada caso. “El verdadero problema ha sido que, a falta de algo por escrito, se trata de confiar en l. a. buena naturaleza de un fiscal person. Dos personas pueden ver exactamente el mismo informe de actividad y llegar a conclusiones legales diferentes. Hay cien juicios de valor diferentes en juego”.
Una gran diferencia, dijo Rasch, entre 1989 y hoy es l. a. comunidad. A fines de los años 80, el delito cibernético se consideraba más individualista, con analogías con el mundo físico más comunes. Ofreció el ejemplo de un ladrón que irrumpe en las casas para demostrar que su seguridad technology insuficiente y tal vez robar algo pequeño para demostrar que entraron con éxito. Eso se consideró abominable.
Pero hoy, dijo, hay un mejor sentido de comunidad, lo que significa que se acepta que l. a. investigación en seguridad puede beneficiar a toda l. a. comunidad.
Incluso dentro de l. a. comunidad de ciberseguridad, existen diferencias entre lo que un whitehat puede hacer (encontrar formas de entrar, a menudo a través de l. a. fuerza bruta de alta tecnología) y lo que pueden hacer los investigadores y los pentesters. A los pentesters les gusta quedarse con documentos de acceso público y ver hasta dónde pueden llegar con esa limitación.
De cualquier manera, esta nueva guía debería ayudar a que esas decisiones de enjuiciamiento sean más apropiadas. Cualquier cosa que permita a los investigadores de seguridad hacer su trabajo con menos miedo es algo bueno,
Derechos de autor © 2022 IDG Communications, Inc.
Pasaporte En Linea