Af Charlie Osborne til Zero Day | 24. juni 2021 – 10:48 GMT (11:48 BST) | Emne: Sikkerhed
En kohorte af cybersikkerhedsfirmaer har underskrevet et åbent brev med anmodning om reformer af eksisterende DMCA-regler for at beskytte forskere.
Digital Millennium Copyright Act (DMCA), underskrevet i amerikansk lov for årtier siden, sigter mod at beskytte intellektuelle ejendomsrettigheder.
Imidlertid kan IP-love misbruges af leverandører for at undertrykke forskning, der offentliggøres, der kan være skadeligt eller pinligt for et brand – og et område, især afsnit 1201, har længe forårsaget problemer inden for cybersikkerhed, når det kommer til forskning og afsløring.
Afsnit 1201 indeholder et antal mandater mod omgåelse, herunder “omgåelse af teknologiske foranstaltninger” til “afkodning af et krypteret værk, til at dekryptere et krypteret værk eller på anden måde for at undgå, omgå, fjerne, deaktivere eller forringe en teknologisk foranstaltning, uden autoritet fra ophavsretsejeren. ”
Som forklaret af Bishop Fox-forsker Dan Petro, kunne kryptering placeres på en app, enhed eller inden for anden software, der testes, og det betyder derefter, at en “teknologisk foranstaltning” er blevet brudt for adgang en leverandørs kode.
“Så DMCA 1201 kan hurtigt misbruges som en tryllestav, som du kan vifte for at gøre enhver app eller enhed ulovlig til at inspicere, reverse engineer eller finde sårbarheder i, hvis du er sælger,” tilføjede Petro.
Et eksempel nævnt af biskop Fox er eksemplet med George “Geohot” Hotz, der blev ramt af et krav om krænkelse af ophavsretten i 2011 efter offentliggørelse af en metode til homebrew-hacking af PlayStation 3-konsoller. Sagen blev afgjort, og Hotz modtog et påbud.
“Desværre gemmer nogle virksomheder sig bag sektion 1201 for at gøre deres kode, software og andre tjenester ulovlige for at vurdere ud fra et sikkerhedsperspektiv,” bemærkede sikkerhedsfirmaet. “Ved utilsigtet (eller med vilje) at blokere sikkerhedsforskere og gøre disse aktiviteter ulovlige, forhindrer disse virksomheder at teste bestræbelser, der kan gavne offentligheden ved at beskytte deres rettigheder og deres privatliv.”
Som et igangværende emne inden for cybersikkerhed har Electronic Frontier Foundation (EFF) offentliggjort et åbent brev underskrevet af 23 organisationer – i skrivende stund – der anmoder om en gennemgang af eksisterende regler.
Erklæringen siger, at eksisterende DMCA-bestemmelser underminerer og undertrykker “god tro cybersikkerhedsforskning”, hvor uafhængige forskere ofte befinder sig i en lovlig skydelinje for ansvarligt at afsløre svagheder eller sårbarheder i software – og sagt , vi har brug for denne forskning for at fortsætte.
“Nogle af de mest kritiske cybersikkerhedsfejl i det sidste årti, som Heartbleed, Shellshock og DROWN, er blevet opdaget af uafhængige sikkerhedsforskere,” lyder det i brevet.
Et andet problem med afsnit 1201 bemærkes i EFF-erklæringen – det, der forbyder “at levere teknologier, værktøjer eller tjenester til offentligheden, der omgår teknologiske beskyttelsesforanstaltninger” for at få adgang til ophavsretligt beskyttet ejendom.
Tredjepartsværktøjer bruges ofte i sikkerhedsundersøgelser, og denne vage bestemmelse kan også forårsage juridiske problemer. Mens der er en undtagelse i DMCA-lovgivningen til softwareanalyse, hævder virksomhederne, at den er “for snæver og for vag” og ikke går langt nok til at beskytte forskning i god tro, da de anvendte værktøjer skal være til det “eneste formål” med testning .
Underskriverne inkluderer Bishop Fox, Rapid7, McAfee, iFixIt, HackerOne og Cybereason.
“Vi opfordrer politiske beslutningstagere og lovgivere til at reformere afsnit 1201 for at tillade sikkerhedsforskningsværktøjer, der skal leveres og bruges til sikkerhedsundersøgelser i god tro,” lyder brevet. “Derudover opfordrer vi virksomheder og anklagere til at afstå fra at bruge sektion 1201 til unødigt at målrette værktøjer, der bruges til sikkerhedsforskning.”
Tidligere og relateret dækning
Australsk retshåndhævelse har problemer med dataødelæggelse – IT-ledere siger, at cybersikkerhedsfinansiering spildes på fjernsupport til arbejde: undersøgelse
Et dybt dykke ned i operationerne af LockBit-ransomwaregruppen
Har du et tip? Kontakt sikkert via WhatsApp | Signal ved +447713 025 499, eller derover ved Keybase: charlie0
Relaterede emner:
Juridisk sikkerhed TV-datastyring CXO-datacentre 