Che cosa rende illegale l'uso delle informazioni apprese sfruttando un bug?

La domanda fondamentale qui è autorizzazione , non accesso .

Se irrompi nella casa dei tuoi vicini, chiaramente stai violando la legge. Ma se ti lascia entrare, allora non lo sei.

Quindi cosa succede se hai una chiave? Se lui ti ha dato la chiave insieme al permesso di entrare (per dar da mangiare al suo cane mentre è via), allora hai l'autorizzazione per entrare. Non c'è violazione là.

D'altra parte, se trovi la chiave sotto il suo zerbino, questo non implica autorizzazione , anche se ti concede accesso . Puoi entrare abbastanza facilmente, ma è sconfinare.

Ora, dì che vai al controllo porta a porta per vedere se qualcuno ha lasciato una chiave sotto il loro zerbino. Vai nelle case vulnerabili e dai un'occhiata in giro; non rubi nulla, stai solo guardando. Questo è ciò che sta accadendo qui con il problema Heartbleed. Qualcuno sta usando la propria conoscenza di una vulnerabilità (ad esempio la chiave a volte appare sotto lo zerbino) per ottenere l'accesso, ma non è autorizzato ad avere accesso.

Sì, le chiavi che recuperano sono accessibili a chiunque comprenda la vulnerabilità, proprio come una chiave sotto uno zerbino è anche tecnicamente accessibile al pubblico. Ma non è legale utilizzarlo.

In primo luogo, questa domanda deve essere risolta in un contesto specifico per ogni paese, perché ogni paese ha le sue leggi e regolamenti in materia di crimini informatici, intrusioni, manipolazione dei dati ecc.

Una cosa importante da considerare è che le persone che giudicheranno questi casi non saranno persone a conoscenza tecnica. Di solito non hanno un'idea chiara di cosa sia un database, che sia un datagramma UDP o, a volte, di cosa sia Google. Quindi, anche se un esperto informatico viene ascoltato dal tribunale, la decisione sarà principalmente basata sul buon senso.

Non sono uno specialista in diritto canadese, ma ecco i miei pensieri:

• Invio di un singolo pacchetto con un knwoledge precedente che può / cambierà i dati memorizzati su un server possono essere considerati un crimine in alcuni paesi, non importa perché è stato fatto (ad esempio un ricercatore che sta tentando di riprodurre un bug) e quale è l'impatto alla fine;
• Il confine tra l'hacking illegale e l'uso solo di informazioni che sono pubblicamente visibili viene solitamente considerato dalle autorità in questo modo (ad esempio, un pubblico ministero o un giudice): L'organizzazione ha reso pubblica e visibile le informazioni di proposito? O l'"attaccante" ha usato un trucco per accedervi? Alla fine, questo arriva all'intenzione dell'utente di accedere alle informazioni.
• Non importa se i dati trapelati contengono bit casuali inutili o informazioni esplicite sensibili, l'accesso è stato ancora eseguito senza corretta autorizzazione Sebbene, naturalmente, il livello di sensibilità sarà probabilmente considerato un fattore aggravante.

Un esempio di vita reale di questa situazione è condanna recente in Francia di un utente di Internet che ha trovato alcune informazioni aziendali tramite Google che non doveva essere presente (è stato indicizzato dal motore di ricerca a causa di un errore dell'azienda). Anche se l'integrità o la disponibilità dei dati non era a rischio e non vi era alcuna intrusione effettiva, questo utente di Internet è stato condannato per " accesso non autorizzato a un sistema informativo " e " furto di dati ". Una spiegazione legale molto dettagliata è disponibile qui (in francese).

Alla fine, c'erano due aspetti principali che le autorità consideravano:

• Ignorando il modo in cui è stato eseguito l'accesso, i dati non erano pensati essere pubblico , periodo. E nel caso dell'episodio Heartbleed, nessuno può seriamente pretendere che i dati in chiaro usati da un programma responsabile della crittografia delle comunicazioni via Internet fossero pubblicamente disponibili.
• L'utente non ha acceduto ai dati per errore , ma utilizzando alcuni metodi tecnici di cui un utente normale non sarebbe stato capace. Ciò include l'hacking di Google, la creazione di datagrammi UDP, ecc.

Quindi, per rispondere alla tua domanda, il confine tra hacking illegale e accesso autorizzato è fondamentalmente: l'organizzazione interessata ha mandato o autorizza l'utente ad accedere a uno qualsiasi dei suoi dati (ad esempio tramite un Bug Bounty program o un servizio di penetration testing)?

What I'm confused about is where is the line between illegal hacking and just using information which is publicly visible?

La domanda è se questa informazione è considerata pubblica, anche se è pubblicamente visibile. In questo caso particolare è del tutto chiaro al 100% che questo non è il caso. Anche quando un amministratore del server lascia questo bug senza patch, non significa che sei libero di usarlo.

Da un punto di vista puramente tecnico si potrebbe dire che tutti i dati a cui si può accedere in qualche modo sono pubblici, perché la tecnologia non fa differenza tra funzionalità e bug. Ma le leggi raramente sono tecniche.

La legislazione su ciò che è illegale l'hacking e ciò che non è molto varia nel mondo. Non sono un avvocato, ma per quanto ne so, molte legislazioni considerano i dati privati quando il proprietario del sistema ha adottato misure per impedire l'accesso pubblico. Se questi passaggi risultano insufficienti a causa di un bug del software, l'accesso è ancora illegale quando la persona che li accede non ha motivo di ritenere che i dati debbano essere pubblici.

Quando qualcuno scrive nella loro home page "Ho creato un database MySQL pubblico con cui tutti possono sperimentare, username è user e password è pass " , è ragionevole presumere che qualsiasi le informazioni in quel database sono pubbliche. Quando si deve sfruttare una vulnerabilità di sicurezza in un software che utilizzano per ottenere le informazioni di accesso, è ragionevole presumere che le informazioni non siano destinate a essere pubbliche.

Nel caso di Heartbleed, si dovrebbe ricordare che un'azienda / amministratore di sistema ha adottato le misure proattive per proteggere i dati. Hanno usato OpenSSL per proteggere un portale web. Il fatto che ci fosse un bug che non era stato scoperto non era colpa della compagnia. Hanno tentato di proteggere i dati. Qualsiasi giuria / giuria, usando il buon senso, troverà per l'azienda, non la persona che ha acquisito i dati tramite l'exploit.

Per modificare l'analogia di cui sopra: l'analogia di una porta lasciata aperta che consente l'accesso non equivalente all'accesso, così come l'analogia della chiave lasciata sotto il tappetino che consente l'accesso, ma non l'autorizzazione, sono entrambi sbagliati, in questo caso.

Ho la porta di casa mia chiusa a chiave. Il lucchetto che uso è un lucchetto a combinazione. Ho impostato il numero a 4 cifre e ho fissato il lucchetto. Sono l'unico a conoscere questa combinazione, e il produttore di serrature dice che nessun altro può conoscere questa combinazione, senza scrupolosamente dare un pugno in ogni possibile sequenza di 4 numeri. La mia casa è ora al sicuro.

Sfortunatamente, a me sconosciuto (e nemmeno scoperto dal creatore della serratura) il frontalino è rimovibile che rivela i miei numeri.

Arriva un ladro e toglie la copertina, prende il mio codice e lo rimette su. Ora quel ladro ha la possibilità di entrare nella mia casa a volontà. Anche se cambio il mio codice (SSL Cert), non importa, il ladro ha ancora la possibilità di determinare il mio nuovo codice.

Hai sentito che il frontalino è rimovibile e vieni a casa mia per controllarlo. Lo scopri, perché SÌ, lo è, e scopri il mio codice. Lo inserisci, sblocca la mia porta e entra. Non prendi niente. (Almeno negli Stati Uniti) ora hai commesso l'infrazione e l'ingresso, ma non il furto. Qualunque giuria negli Stati Uniti ti condannerebbe, perché ho fatto del mio meglio per proteggere la mia roba, ma tramite un exploit a me sconosciuto, sei stato in grado di entrare.

L'uso non autorizzato dei migliori termini analogici di un computer in termini reali sta sconfinando. Nonostante il fatto che un server web sia pubblicamente connesso a Internet, tecnicamente, è una proprietà privata. Qualcuno possiede quel server e il software e i dati su di esso. Dovrebbero avere un Condizioni d'uso per il sito che indica l'uso consentito del loro server. Se ti discosti da questi Termini d'uso, stai violando in modo efficace il loro sistema e potresti essere perseguibile penalmente per abuso.

Non sono un avvocato e credo che ci sia l'intenzione di abusare, proprio come non sarebbe possibile fare una richiesta sconveniente se qualcuno non sapeva che erano in proprietà privata. Quindi, è un po 'ambiguo, ma sì, generalmente sfruttando consapevolmente un bug è contro i termini di servizio e quindi è illegale di per sé. Inoltre, una volta catturate le credenziali di qualcun altro e usandole, questo è chiaramente illegale poiché ora state accedendo all'account di qualcun altro che è praticamente sempre contrario ai termini di servizio e mostra chiaramente l'intenzione di "intromettersi" nel sistema.

Non ho familiarità con il "danno in relazione ai dati", ma la mia ipotesi è che abbia a che fare con il fatto che accedono ai dati privati di qualcun altro entrando nel sistema. Questa è una supposizione anche se non sono così familiare con quello.

Con Information Security, spesso vengono fatte analogie con la sicurezza del mondo fisico. Ad esempio, un edificio è protetto da una porta chiusa a chiave, una recinzione con un cancello e una guardia di sicurezza, e così via.

La violazione di uno o più livelli di sicurezza di un edificio sarebbe un reato nella maggior parte delle leggi (tutte?). Scommetto che per lo più si chiama rompendo e inserendo .

I guess la legislazione canadese si basa su questa analogia. Sembra logico che se curiosare intorno un server sfruttando il bug Heartbleed dipende dalla legislazione del paese. Suppongo che sia il paese in cui si trova il server o il paese in cui ha sede il proprietario del server.

E il nome del reato suggerisce che, per "uso non autorizzato di un computer", è significativo che sia stato dato il permesso.

Si presume che venga dato il permesso, ad esempio, di visitare un sito Web utilizzando un browser. Non è necessario averlo per iscritto. Non si presume che venga concesso il permesso di utilizzare una funzione non intenzionale come il difetto del cuore. Quindi sì, potrebbe essere ritenuto criminale sfruttare un difetto su qualche server web senza la conoscenza del proprietario del server. Non importa necessariamente cosa (se non altro) fai con qualsiasi informazione recuperata.

Ciò significa che in determinate circostanze, l'utilizzo di un sito Web in violazione del suo T & potrebbe essere considerato criminale. Non c'è ancora molto da fare nei casi di test per quanto ne so, e sospetto che cambierà significativamente per giurisdizione, che cosa si intende per "usare" un computer, cosa è considerato "non autorizzato" e in che misura ci si aspetta che gli utenti di siti / server comprendano cosa è permesso e cosa no. Probabilmente cambierà anche se i ricercatori di sicurezza hanno una protezione legale e, in caso affermativo, quanto lontano.

Naturalmente non posso darti una consulenza legale, ma la mia osservazione è che pochissimi ricercatori di sicurezza vengono perseguiti quando testano o scansionano i difetti senza un permesso esplicito. Non sono affatto sicuro che sia perché ciò che stanno facendo è legale per statuto, però, o semplicemente che nessuno ha alcun interesse a perseguirli.

C'è un caso tra Craigslist e 3Taps (negli Stati Uniti, non in Canada) in cui non c'è nemmeno un exploit di un difetto. Craigslist è stata autorizzata a negare correttamente l'autorizzazione a 3Taps di visitare il sito a scopo di scraping, ma AFAIK non ha ancora deciso se le azioni di 3Taps fossero illegali ai sensi della legge sulle frodi e gli abusi informatici.

La linea di demarcazione non è una linea. È sfocato e deciso non solo per logica ma per persuasione. Persuasione di una giuria da parte di un pubblico ministero.

Ciò che è legale o illegale non è deciso da quelli di noi che lavorano con la tecnologia. Viene deciso per la prima volta da alcuni esperti e poi benedetto dal governo come legge e poi interpretato da giuristi e da alcuni "fortunati" giurati.

La legislazione, la legge comune sul furto, combinata con i giudici e le giurie del sistema giudiziario, rende illegale l'accesso al computer.

Supponendo che un pubblico ministero possa provare i fatti di chi, cosa, dove, quando, come la giuria attraverso i file di log e un esperto, quale difesa ha lo sfruttatore di bug?

Negli Stati Uniti c'è il concetto di Mens Rea, vale a dire. avere una mente colpevole. I pazzi possono essere giudicati non colpevoli perché in realtà non conoscono il bene dal male, ma questo si limita a spostare la sede della prigione in una struttura psichiatrica.

Ma se qualcuno sfrutta un bug per guadagno e a detrimento di un'altra persona, penso che come giurato sarebbe difficile convincermi che la persona non sapeva che era sbagliato. Se è provato che l'hanno fatto, e sapeva o avrebbe dovuto sapere che era sbagliato, questo è sufficiente per un voto colpevole, così posso tornare in vita e smettere di essere un giurato.

A quanto ho capito, ci sono tre elementi del crimine.

1. Hai ottenuto informazioni "non autorizzate".
2. Hai ottenuto queste informazioni utilizzando procedure di "navigazione" che sono invadenti.
3. Non sei stato autorizzato a entrare in aree private, a violare una barriera, ecc., e lo fai e vedi qualcosa, sarebbe un crimine.

Quindi se le informazioni non autorizzate sono state erroneamente pubblicate sulla home page e le hai lette, sarebbe il loro problema non il tuo. Se in qualche modo "fai irruzione" nel sistema e leggi qualcosa di non autorizzato, sarebbe un crimine.

Immagina una casa circondata da una recinzione. Se hai visto qualcosa di "non autorizzato" guardando attraverso, intorno o sopra la recinzione, non sarebbe illegale. Se avessi scalato la recinzione (senza autorizzazione) e "visto qualcosa" come risultato, sarebbe stato illegale. Se hai scalato la recinzione perché il proprietario ti ha ingaggiato per pulirlo e hai visto qualcosa, non sarebbe illegale.

Per consulenza legale, consultare un avvocato autorizzato.

D: È illegale inviare una richiesta heartbeat a un server sapendo che la richiesta causerà una perdita di dati?

A: Sicuro. Cerca [cfaa]. La domanda migliore è: è probabile che tu venga processato e messo in prigione federale? Se il server è al Pentagono, molto probabilmente.

D: Se quei dati non contenessero nient'altro che bit casuali, sarebbero comunque illegali o contenere dati sensibili per diventare illegali?

A: In teoria, se i dati e il valore dell'uso del computer sono al di sotto di una certa soglia, non sarete soggetti a severe leggi sul crimine informatico come CFAA. Vuoi scommettere i prossimi anni della tua vita sulla tua interpretazione della legge rispetto a quella delle autorità? E pensi che crederebbero alla tua affermazione che i dati siano "pezzi casuali"? Che cosa succede se l'avvocato che proclama dichiara di essere cifrato codici bomba nucleare? Chi pensi che il giudice e la giuria non tecnici possano credere?

D: Le password o altre informazioni di questo tipo erano presenti, è quindi illegale averlo fatto? O diventa illegale quindi prendere quelle credenziali e accedere a un'interfaccia di amministrazione pubblica al database?

A: Continua a leggere il CFAA.

D: Ciò di cui sono confuso è dove si trova la linea tra hacking illegale e semplicemente usando le informazioni che sono pubblicamente visibili? Se un sito Web lascia le sue credenziali DB sulla sua homepage con un collegamento a un frontend phpMyAdmin a tale DB, è illegale accedere e guardarsi intorno?

A: Forse. Potresti pagare un avvocato $ 25.000 per rendere l'argomento che lascia le credenziali del DB visibili costituisce un consenso e sei quindi innocente. Se non hai $ 25.000, potresti finire per dovermi dichiarare colpevole.

D: A rischio di porre domande multiple e ampie che porteranno a questa domanda a essere chiusa, ci sono delle regole per rispettare quando curiosamente curiosare per vedere come qualcosa attraversa la linea per diventare illegale?

A: Di nuovo, assumendo che la tua "regola generale" sia la stessa di quella delle autorità può essere un gioco rischioso.

Storicamente, c'era bisogno di un intento criminale perché qualcosa fosse un crimine.

Al giorno d'oggi, dal momento che incrementare di uno in uno script contro un server web pubblico e registrare l'output può portarti in prigione, praticamente tutto può essere illegale se coinvolge un computer e hai infastidito qualcuno.

Conosco alcune persone che inseriscono Burp (ad esempio) in linea e fanno la loro solita navigazione. Trovano più bug di quanto tu possa pensare in questo modo e, come ho detto che tutto ciò che riguarda un computer può essere illegale, non consiglierei di parlare alle persone dei bug che vedi in questo caso se non sei al 100% positivo come le tue informazioni saranno essere ricevuto.

Personalmente, faccio zero manipolazione e scoperta di qualsiasi cosa senza un accordo contrattuale per il lavoro in atto e raccomanderei che tutti i lettori facciano lo stesso.

Quindi, se non puoi rivelare ai proprietari del bug senza essere mandato in un gulag, e non puoi vendere in modo etico il bug a una casa degli exploit, né puoi postarlo su un forum completo di divulgazione, cosa può fare fai esattamente?

Benvenuti nello stato del settore. La legalità è negli occhi di coloro che hanno un programma politico.

In primo luogo, sfruttare qualsiasi cosa è di solito contro i termini di un server di un sito, se non lo è, sarebbe illegale usare quella conoscenza per sfruttare qualsiasi altro server a meno che non lo consenta esplicitamente.