En kohort av cybersäkerhetsföretag har undertecknat ett öppet brev som ber om reformer av befintliga DMCA-regler för att skydda forskare.
Digital Millennium Copyright Act (DMCA), undertecknad i amerikansk lag för årtionden sedan, syftar till att skydda immateriella rättigheter.
IP-lagar kan dock missbrukas av leverantörer för att undertrycka forskning som offentliggörs som kan vara skadligt eller pinsamt för ett varumärke – och ett område, i synnerhet avsnitt 1201, har länge orsakat cybersäkerhetsproffs när det kommer till forskning och avslöjande.
Avsnitt 1201 innehåller ett antal mandat mot kringgående, inklusive “kringgående av tekniska åtgärder” för att “avkoda ett krypterat verk, att dekryptera ett krypterat verk, eller på annat sätt, för att undvika, kringgå, ta bort, avaktivera eller försämra en teknisk åtgärd, utan upphovsrättsinnehavarens auktoritet. ”
Som förklarats av forskaren Bishop Fox, Dan Petro, skulle kryptering kunna placeras på en app, enhet eller i annan programvara som testas, och detta innebär att en “teknisk åtgärd” har brutits för åtkomst en leverantörskod.
“Så DMCA 1201 kan snabbt missbrukas som en trollstav som du kan vinka för att göra alla appar eller enheter olagliga för att inspektera, reverse engineer eller hitta sårbarheter i om du är en leverantör,” tillade Petro.
Ett exempel som citeras av biskop Fox är George “Geohot” Hotz, som drabbades av ett upphovsrättsintrång 2011 efter att ha publicerat en metod för hembryggning av PlayStation 3-konsoler. Ärendet avgjordes och Hotz fick ett föreläggande.
“Tyvärr gömmer sig vissa företag bakom avsnitt 1201 för att göra sin kod, programvara och andra tjänster olagliga för att bedöma ur ett säkerhetsperspektiv,” noterade säkerhetsföretaget. “Genom att oavsiktligt (eller avsiktligt) blockera säkerhetsforskare och göra dessa aktiviteter olagliga, hindrar dessa företag att testa insatser som kan gynna allmänheten genom att skydda deras rättigheter och integriteten för deras data.”
Som en pågående fråga inom cybersäkerhetsområdet har Electronic Frontier Foundation (EFF) publicerat ett öppet brev undertecknat av 23 organisationer – i skrivande stund – och begär en översyn av befintliga regler.
Uttalandet säger att befintliga DMCA-bestämmelser undergräver och undertrycker “god tro cybersäkerhetsforskning”, med oberoende forskare som ofta befinner sig i en laglig skjutlinje för att ansvarsfullt avslöja svagheter eller sårbarheter i programvara – och, helt enkelt uttryckt , vi behöver den här forskningen för att fortsätta.
“Några av de mest kritiska cybersäkerhetsbristerna under det senaste decenniet, som Heartbleed, Shellshock och DROWN, har upptäckts av oberoende säkerhetsforskare,” skriver brevet.
En annan fråga med avsnitt 1201 noteras i EFF: s uttalande – det som förbjuder “tillhandahållande av teknik, verktyg eller tjänster till allmänheten som kringgår tekniska skyddsåtgärder” för att få tillgång till upphovsrättsskyddad egendom.
Verktyg från tredje part används ofta i säkerhetsundersökningar, och denna vaga bestämmelse kan också orsaka juridiska problem. Även om det finns ett undantag i DMCA-lagstiftningen för programvaruanalys, hävdar företagen att det är “för smalt och för vagt” och inte går tillräckligt långt för att skydda forskning i god tro, eftersom verktyg som används måste vara för “enda syfte” att testa .
Undertecknarna inkluderar Bishop Fox, Rapid7, McAfee, iFixIt, HackerOne och Cybereason.
”Vi uppmanar politiker och lagstiftare att reformera avsnitt 1201 så att säkerhetsforskningsverktyg kan tillhandahållas och användas för säkerhetsundersökningar i god tro,” står det i brevet. “Dessutom uppmanar vi företag och åklagare att avstå från att använda avsnitt 1201 för att onödigt rikta in sig på verktyg som används för säkerhetsforskning.”
Tidigare och relaterad täckning
Australiens brottsbekämpande befunnit sig ha problem med dataförstöring – IT-ledare säger att cybersäkerhetsfinansiering slösas bort på fjärrstöd: undersökning
Ett djupdyk i verksamheten från LockBit-ransomwaregruppen
Har du ett tips? Ta kontakt säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
Legal Security TV Data Management CXO Data Centers 