ABD Adalet Bakanlığı (DOJ), federal savcıların Bilgisayar Sahtekarlığı ve İstismar Yasası'nı (CFAA) ihlal etmesi gerektiğine dair politikasının bir revizyonunu açıkladı ve "iyi niyetli" güvenlik araştırmalarının kovuşturulmasını sağladı.
Bu politika güncellemesi ile DOJ, iyi niyetli güvenlik araştırması vakalarını daha önce sorunlu, gri bir yasal alana sık sık bulanık bir çizgi ile ayırt edilen kötü niyetli hacklemeden ayırıyor.
Bu yeni politikalar, yazılım testi, araştırma, güvenlik kusuru analizi ve hedef cihazların veya hizmetlerin güvenliğini ve güvenliğini teşvik etmeyi amaçlayan ağ ihlalleri federal savcılar tarafından kovuşturulmamalıdır.
Başsavcı Yardımcısı Lisa O. Monaco, "Bilgisayar güvenliği araştırması, siber güvenliğin gelişmiş bir itici gücüdür." Dedi.
Diyerek şöyle devam etti: "Departman hiçbir zaman iyi inançlı bilgisayar güvenlik araştırmalarını bir suç olarak kovuşturmakla ilgilenmedi ve bugünkü duyuru, ortak mal için güvenlik açıklarını ortadan kaldıran iyi niyetli güvenlik araştırmacılarına netlik sağlayarak siber güvenliği teşvik ediyor."
İyi niyet güvenliği araştırması, "bir bilgisayara yalnızca iyi niyet testleri, araştırılması ve/veya bir güvenlik kusuru veya güvenlik açığının düzeltilmesi amacıyla erişmek olarak tanımlanır; Halk ve etkinlikten elde edilen bilgilerin, öncelikle erişilen bilgisayarın ait olduğu cihazların, makinelerin veya çevrimiçi hizmetlerin güvenliğini veya güvenliğini teşvik etmek için kullanıldığı veya bu tür cihazları, makineleri veya çevrimiçi hizmetleri kullananların kullanıldığı durumlarda kullanılır. . "
Yeni politika, özellikle bilgisayarlar ve ağlardaki veya hatta diğer kullanıcıların çevrimiçi hesaplarındaki erişim sınırlamalarının kasıtlı olarak ihlallerine odaklanmaktadır.
Bununla birlikte, söz konusu araştırmayı şirketlere kullanırken, güvenlik araştırmaları yürütme bahanesi altında hacklemeye geçiş yapmaz. Bu nedenle, federal savcılar aktörün niyetlerini belirlemek için tüm vakaları etik bir lens altına göreceklerdir.
Diyerek şöyle devam etti: "Mevcut kanıtlar davalının davranışından ve sanığın iyi niyetli güvenlik araştırmasından oluştuğunu gösteriyorsa, hükümetin avukatı kovuşturmayı reddetmelidir." - ABD DOJ.
Örneğin, birisi bir ürün üzerinde kritik bir güvenlik açığı bulursa ve daha sonra yazılım satıcısını, halka açıklamamak için bir miktar ödemeye zorlarsa, bu hala bir CFAA ihlali olarak kabul edilir ve buna göre tahsil edilir.
Benzer şekilde, maruz kalan bir veritabanında bulunan verileri kamuya açıklamak veya başkalarına satmak, sahibi tepkisiz olsa bile haklı çıkarılamaz, bu nedenle yine de yargılanır.
Bu güvenlik araştırmacıları için iyi bir haber olsa da, bir araştırmacının iyi niyetle hareket edip etmediği federal savcılar tarafından hala belirlenecektir. Bu nedenle, araştırmacıların Bata Bounty programlarına katılmaları ve şirketlere sahip olabilecekleri güvenlik açığı araştırma yönergeleri için iletişim şirketlerine katılmaları hala şiddetle tavsiye edilmektedir.
CFAA uygulamasının amacı, gizlilik ve siber güvenliği teşvik etmek için devam etmektedir, bu nedenle buradaki durum, güvenlik araştırmacılarını etik raporlar ve agresif ihlaller arasında ayrım yapmayan firmalar tarafından başlatılan yasal işlemlerden korumaktır.
Yakın tarihli bir örnek, İngiltere merkezli bir kar amacı gütmeyen kuruluşa bir veri sızıntısı bildiren ve yerel polisten "bilgisayar kötüye kullanımı" ile ilgili bir soruşturma ile karşılaştıktan kısa bir süre sonra bir bulut güvenlik mühendisi Rob Dyke'dir.
İngiltere'deki Bilgisayar Kötüye Kullanımı Yasası, Infosec topluluğuna karşı korkutucu bir güç olarak hareket etti ve hikaye ABD'deki CFAA'ya çok benziyor.
DOJ ayrıca yeni politikalarda hizmet şartlarını kırma, bir platformda birden fazla takma ad hesap oluşturma ve kişisel amaçlarla iş bilgisayarları kullanma konusunda ek açıklamalar yaptı.
Bu davalar sözleşmeye dayalı bir ihlal olsa da, ABD hükümeti bunları CFAA'nın "yetkili erişimi aşıyor" yasağının ihlali olarak görmeyecektir. Bununla birlikte, bir kullanıcının bu hizmetlere erişme izni, Şirket tarafından durdurma ve vazgeçme mektubu gibi yasal bir yolla açıkça iptal edilirse, federal siber suç yasalarına girebilir.
Buna dayanarak savcılık yapamayabilecek bir davanın önemli bir örneği, MIT'in JSTOR kağıt barındırma portalının şartlarını milyonlarca belgeyi indirerek ihlal eden Aaron Schwartz'dır.
Schwartz, CFAA'nın "yetkili erişimi aştı" ihlalleriyle suçlandı ve sonunda intihar ederek hapishane zamanıyla karşılaşma baskısına yenik düştü.
Windows 11, Pwn2own yarışmasının son gününde üç kez daha hacklendi
Windows 11 tekrar PWN2OWN'de hacklendi, Tesla Model 3 de düşüyor
Kuzey Koreli geliştiriciler, DRPK Govt Hacker'larına yardım etmek için serbest çalışanlar olarak poz veriyor
ABD Thanos ve Jigsaw Fidye Yazılımlarını 55 yaşındaki doktora bağlar
Snapchat aracılığıyla kurbanları çeken ve £ 34.000 hapishane çalan kripto soyguncusu
Kaynak: Bleeping Computer