¿Qué hace que sea ilegal usar la información aprendida al explotar un error?

La pregunta fundamental aquí es autorización , no access.

Si entras en la casa de tu vecino, claramente estás violando la ley. Pero si él te deja entrar, entonces no lo estás.

Entonces, ¿qué pasa si tienes una clave? Si le dio la clave junto con el permiso para ingresar (para alimentar a su perro mientras él está fuera), entonces usted tiene autorización para ingresar. No hay transgresión allí.

Por otra parte, si encuentra la llave debajo de su alfombrilla, eso no implica no autorización , aunque le otorga acceso . Puedes entrar fácilmente, pero está invadiendo.

Ahora, digamos que va de una puerta a otra para ver si alguien dejó una llave debajo del tapete. Simplemente entra en las casas vulnerables y echa un vistazo alrededor; no robas nada, solo estás buscando. Eso es lo que está pasando aquí con el problema de Heartbleed. Alguien está utilizando su conocimiento de una vulnerabilidad (por ejemplo, la clave a veces aparece debajo del tapete) para obtener acceso, pero no están autorizados para tener acceso.

Sí, las claves que recuperan son accesibles para cualquier persona que comprenda la vulnerabilidad, al igual que una clave debajo de un felpudo también es técnicamente accesible al público. Pero eso no hace que su uso sea legal.

Primero, esta pregunta debe responderse en un contexto específico del país, ya que cada país tiene sus propias leyes y regulaciones con respecto a delitos informáticos, intrusiones, manipulación de datos, etc.

También es importante tener en cuenta que las personas que juzgarán esos casos no son personas con conocimientos técnicos. Por lo general, no tienen una idea clara de qué es una base de datos, qué es un datagrama UDP o, a veces, qué es Google. Entonces, incluso si un tribunal oye a un experto en TI, la decisión se basará principalmente en el sentido común.

No soy un especialista en derecho canadiense, pero aquí están mis pensamientos:

• Enviando un solo paquete con conocimiento previo que puede alterar Los datos almacenados en un servidor pueden considerarse un delito en algunos países, sin importar por qué se ha hecho (por ejemplo, un investigador que intenta reproducir un error) y ¿Cuál es el impacto al final?
• La línea entre el pirateo ilegal y el uso de información que es públicamente visible generalmente es considerada de esta manera por las autoridades (por ejemplo, un fiscal o juez): ¿La organización hizo pública y visible la información a propósito? ¿O el "atacante" utilizó un truco para acceder a él? Al final, esto llega a la intención de que el usuario acceda a la información.
• No importa si los datos filtrados contienen bits aleatorios inútiles o información sensible explícita, el acceso todavía se realizó sin Autorización adecuada. Aunque, por supuesto, el nivel de sensibilidad probablemente se considerará como un factor agravante.

Un ejemplo real de esta situación es el condena reciente en Francia de un usuario de Internet que encontró información de la empresa a través de Google que no debía estar allí (fue indexada por el motor de búsqueda debido a un error de la empresa). Incluso si la integridad de los datos o la disponibilidad no estaban en riesgo, y no hubo intrusión real, este usuario de Internet ha sido condenado por " acceso no autorizado a un Sistema de información " y " robo de datos ". Una explicación legal muy detallada está disponible aquí (en francés).

Al final, hubo dos cosas principales que las autoridades consideraron:

• Sin tener en cuenta cómo se realizó el acceso, los datos no estaban destinados para ser público , punto. Y en el caso del error Heartbleed, nadie puede fingir seriamente que los datos de texto claro utilizados por un programa responsable de cifrar las comunicaciones de Internet debían estar disponibles públicamente.
• El usuario no accedió a los datos por accidente , sino que usó algunos Métodos técnicos que un usuario regular no hubiera podido. Eso incluye piratería de Google, creación de datagramas UDP, etc.

Entonces, para responder a su pregunta, la línea entre la piratería ilegal y el acceso autorizado es básicamente: ¿la organización afectada le ordenó o le autorizó a acceder a cualquiera de sus datos (por ejemplo, a través de Bug Bounty program o un servicio de pruebas de penetración)?

  

Lo que me confunde es dónde está la línea entre la piratería ilegal y el uso de información que es públicamente visible.

La pregunta es si esta información se considera pública, incluso si es públicamente visible. En este caso particular, es 100% claro que este no es el caso. Incluso cuando un administrador del servidor deja este error sin parchear, no significa que sea libre de usarlo.

Desde un punto de vista puramente técnico, se podría decir que cualquier información a la que se pueda acceder de alguna manera es pública, porque la tecnología no hace una diferencia entre características y errores. Pero las leyes rara vez son tan técnicas.

Legislación sobre qué es ilegal el pirateo y qué no varía mucho en todo el mundo. No soy abogado, pero por lo que sé, muchas legislaciones consideran que los datos son privados cuando el propietario del sistema tomó medidas para impedir el acceso público. Si estos pasos resultan insuficientes debido a un error de software, acceder a ellos sigue siendo ilegal cuando la persona que los accede no tiene motivos para creer que se supone que los datos son públicos.

Cuando alguien escribe en su página de inicio "Configuré una base de datos MySQL pública para que todos puedan experimentar, el nombre de usuario es user y la contraseña es pass " , es razonable suponer que cualquiera La información en esa base de datos es pública. Cuando tiene que explotar una vulnerabilidad de seguridad en un software que utilizan para obtener la información de inicio de sesión, es razonable suponer que la información no pretende ser pública.

En el caso de Heartbleed, uno debe recordar que una empresa / administrador del sistema ha tomado medidas proactivas para proteger los datos. Han utilizado OpenSSL para asegurar un portal web. El hecho de que hubiera un error que no se descubrió no fue culpa de la empresa. Han intentado proteger los datos. Cualquier tribunal / jurado, utilizando el sentido común, buscaría para la empresa, no para la persona que obtuvo los datos a través del exploit.

Para modificar la analogía dada anteriormente: la analogía de una puerta que se deja abierta permitiendo el acceso no es igual al permiso para ingresar, así como la analogía de la llave que queda debajo del tapete que permite el acceso, pero no la autorización, son ambas incorrectas. caso.

Tengo la puerta de mi casa cerrada. La cerradura que uso es una cerradura de combinación. Establecí el número de 4 dígitos, y aseguré el bloqueo. Soy el único que conoce esa combinación, y el creador de cerraduras dice que nadie más puede conocer esa combinación, sin marcar minuciosamente cada secuencia de 4 números posibles. Mi casa ahora está a salvo.

Desafortunadamente, desconocido para mí (y ni siquiera descubierto por el fabricante de la cerradura) la placa frontal es removible, lo que revela mis números.

Un ladrón viene y se quita la tapa, obtiene mi código y lo vuelve a poner. Ahora ese ladrón tiene la habilidad de entrar a mi casa a voluntad. Incluso si cambio mi código (SSL Cert), no importa, el ladrón aún tiene la capacidad de determinar mi nuevo código.

Escuchó el hecho de que la placa frontal es removible y viene a mi casa para verificarla. Usted descubre que, por qué SÍ, lo es, y descubre mi código. Entras, desbloqueas la puerta de mi casa y entras. No tomas nada. (Al menos en los EE. UU.) Ahora se ha comprometido a romper e ingresar, pero no al robo. Cualquier jurado en los EE. UU. Lo condenaría, porque hice todo lo posible por proteger mis cosas; sin embargo, a través de un exploit desconocido para mí, pudo ingresar.

El uso no autorizado del mejor análogo de una computadora en términos del mundo real es una violación. A pesar del hecho de que un servidor web está públicamente conectado a Internet, técnicamente, es propiedad privada. Alguien posee ese servidor y el software y los datos que contiene. Deben tener Términos de uso para el sitio que indiquen qué se permite el uso de su servidor. Si se desvía de esos Términos de uso, efectivamente está invadiendo su sistema y puede ser criminalmente responsable por el mal uso.

No soy abogado y creo que tiene que haber una intención de uso indebido, como si no fuera posible hacer un reclamo de entrada ilegal si alguien no supiera que estaba en una propiedad privada. Por lo tanto, es algo ambiguo, pero sí, en general, a sabiendas, explotar un error está en contra de los términos del servicio y, por lo tanto, es ilegal en sí mismo. Además, una vez que captura las credenciales de otra persona y las utiliza, es claramente ilegal, ya que ahora está accediendo a la cuenta de otra persona, lo que está en contra de los términos de servicio y muestra una clara intención de "traspasar" el sistema.

No estoy tan familiarizado con la "travesura en relación con los datos", pero supongo que tiene que ver con el hecho de que accedieron a los datos privados de otra persona al ingresar al sistema. Aunque es una suposición, ya que no estoy tan familiarizado con eso.

Con la seguridad de la información, a menudo se hacen analogías con la seguridad del mundo físico. Por ejemplo, un edificio está asegurado con una puerta que está cerrada con llave, alrededor de eso, una cerca con una puerta y un guardia de seguridad, etc.

La violación de la (s) capa (s) de seguridad de un edificio sería un delito penal en la mayoría (¿todas?) las legislaciones. Apuesto a que en su mayoría se llama romper e ingresar .

Supongo que supongo que la legislación canadiense se basa en esta analogía. Parece lógico que si husmear en un servidor mediante la explotación del error Heartbleed depende de la legislación del país. Supongo que el país en el que se encuentra el servidor o el país en el que el propietario del servidor tiene su sede en.

Y el nombre de la ofensa sugiere, por "uso no autorizado de una computadora" es significativo si se otorgó el permiso.

Se presume que se otorga permiso, por ejemplo, para visitar un sitio web utilizando un navegador. No necesitas tenerlo por escrito. No se presume que se otorga permiso para usar una característica no intencional como el defecto del corazón. Entonces, sí, podría considerarse criminal explotar una falla en algún servidor web sin el conocimiento del propietario del servidor. No importa necesariamente qué (si acaso) haces con cualquier información recuperada.

Esto significa que, en determinadas circunstancias, el uso de un sitio web en violación de su T & Cs podría puede considerarse criminal. Por lo que sé, aún no hay muchos casos de prueba, y sospecho que va a variar significativamente según la jurisdicción, lo que se considera "usar" una computadora, lo que se considera "no autorizado" y hasta qué punto el se espera que los usuarios de sitios / servidores entiendan qué está permitido y qué no. También es probable que varíe si los investigadores de seguridad tienen alguna protección legal y, en caso afirmativo, hasta dónde llega.

Por supuesto, no puedo darle consejos legales, pero mi observación es que muy pocos investigadores de seguridad son procesados cuando realizan pruebas o buscan fallas sin un permiso explícito. Sin embargo, no estoy seguro de que eso sea porque lo que están haciendo es legal por ley, o simplemente porque nadie tiene ningún interés en procesarlos.

Hay un caso entre Craigslist y 3Taps (en los EE. UU., no en Canadá) en el que ni siquiera hay una vulnerabilidad de una falla. Se determinó que Craigslist negó correctamente la autorización de 3Taps para visitar el sitio con el fin de eliminarlo, pero AFAIK aún no decide si las acciones de 3Taps fueron ilegales según la Ley de abuso y fraude informático.

La línea divisoria no es una línea. Es confuso y decidido no solo por lógica sino por persuasión. Persuasión de un jurado por un fiscal.

Lo que es legal o ilegal no lo deciden quienes trabajamos con tecnología. Primero es decidido por unos pocos expertos y luego bendecido por el gobierno como ley y luego interpretado por jueces abogados y algunas personas "afortunadas" en jurados.

La legislación, el derecho consuetudinario sobre el robo, combinados con los jueces y los jurados del sistema judicial hacen que la intrusión informática sea ilegal.

Asumir que un fiscal puede probar los hechos de quién, qué, dónde, cuándo, cómo llegar al jurado a través de los archivos de registro y un experto, ¿qué defensa tiene el explotador de errores?

En los EE. UU. está el concepto de Mens Rea, es decir, tener una mente culpable Los locos pueden ser declarados inocentes porque realmente no saben lo que es correcto o lo que está mal, pero esto simplemente traslada el lugar de prisión a un centro psiquiátrico.

Pero si alguien explota un error para obtener ganancias y en detrimento de otra persona, creo que como miembro del jurado sería difícil convencerme de que la persona no sabía que estaba mal. Si se demuestra que lo hicieron, y sabían o deberían haber sabido que estaba mal, eso es suficiente para un voto culpable para que pueda volver a la vida y dejar de ser jurado.

Según tengo entendido, hay tres elementos del crimen.

1. Obtuvo información "no autorizada".
2. Obtuvo esta información usando procedimientos de "navegación" que son intrusivos.
3. No estaba autorizado a entrar en áreas privadas, o rompió una barrera, etc., y lo hace y ve algo, eso sería un delito.

Entonces, si la información no autorizada se publicó incorrectamente en la página de inicio y usted la leyó, ese sería su problema, no el suyo. Si de alguna manera "se metió en" el sistema y leyó algo no autorizado, sería un delito.

Imagina una casa rodeada por una cerca. Si viera algo "no autorizado" mirando a través, alrededor o por encima de la cerca, eso no sería ilegal. Si subiste a la cerca (sin autorización) y "viste algo" como resultado, eso sería ilegal. Si subiste a la cerca porque el propietario te contrató para limpiarla y viste algo, eso no sería ilegal.

Para obtener asesoramiento legal, consulte a un abogado con licencia.

P: ¿Es ilegal enviar una solicitud de latido a un servidor sabiendo que la solicitud provocará una fuga de datos?

A: Claro. Búsqueda [cfaa]. La mejor pregunta es: ¿Es probable que sea procesado y puesto en una prisión federal? Si el servidor está en el Pentágono, muy posiblemente.

P: Si esos datos no contienen más que bits aleatorios, ¿seguirían siendo ilegales o deberían contener datos confidenciales para convertirse en ilegales?

A: Teóricamente, si los datos y el valor del uso de la computadora están por debajo de un cierto umbral, no estaría sujeto a leyes severas de delitos informáticos, como la ley CFAA. ¿Quiere apostar los próximos años de su vida a su interpretación de la ley frente a la de las autoridades? ¿Y crees que creerían tu afirmación de que los datos son "bits aleatorios"? ¿Qué pasa si el abogado de la acusación afirma que están encriptados códigos de bombas nucleares? ¿A quién crees que creerían el juez no técnico y el jurado?

P: Diga que las contraseñas u otra información de este tipo estaban presentes, ¿es ilegal haberlo hecho? ¿O se vuelve ilegal tomar esas credenciales e iniciar sesión en la interfaz de administración pública de la base de datos?

A: sigue leyendo el CFAA.

P: Lo que me confunde es ¿dónde está la línea entre la piratería ilegal y el uso de información que es públicamente visible? Si un sitio web deja sus credenciales de base de datos en su página de inicio con un enlace a la interfaz de usuario de phpMyAdmin en esa base de datos, ¿es ilegal iniciar sesión y mirar alrededor?

A: Posiblemente. Podría pagarle a un abogado $ 25,000 para argumentar que dejar visibles las credenciales de DB constituye un consentimiento y, por lo tanto, es inocente. Si no tiene $ 25,000, podría terminar teniendo que declararse culpable.

P: A riesgo de hacer preguntas múltiples y amplias que lleven a que esta pregunta se cierre, ¿hay alguna regla práctica que cumplir cuando curiosear curiosamente para ver cómo funciona algo cruza la línea para convertirse en ilegal?

R: Una vez más, asumir que tu "regla de oro" es la misma que la de las autoridades puede ser un juego arriesgado.

Históricamente, tenía que haber una intención criminal para que algo sea un delito.

Hoy en día, dado que el incremento en uno en un script contra un servidor web público y el registro de la salida puede llevarlo a prisión, casi cualquier cosa puede ser ilegal si se trata de una computadora y ha molestado a alguien.

Conozco a algunas personas que ponen en línea Burp (por ejemplo) y continúan con su navegación habitual. Ellos encuentran más errores de los que usted podría pensar de esta manera y, como mencioné que cualquier cosa relacionada con una computadora puede ser ilegal, no recomendaría hablar con la gente sobre los errores que usted ve en esto si no está 100% seguro de cómo será su información. ser recibido.

Yo, personalmente, hago cero manipulación y descubrimiento de cualquier cosa sin un acuerdo contractual para el trabajo en el lugar y recomendaría que todos los lectores hagan lo mismo.

Entonces, si no puede divulgar a los propietarios del error sin ser enviado a un gulag, y no puede vender éticamente el error a una casa de explotación, ni puede publicarlo en un foro de divulgación completa, ¿qué puede hacer? haces exactamente?

Bienvenido al estado de la industria. La legalidad está en el ojo de quienes tienen una agenda política.

En primer lugar, explotar cualquier cosa suele estar en contra de los términos de servidor de un sitio, si no lo está, sería ilegal utilizar ese conocimiento para explotar cualquier otro servidor a menos que lo permitan explícitamente.