Een cohort cyberbeveiligingsbedrijven heeft een open brief ondertekend waarin wordt gevraagd om hervormingen van de bestaande DMCA-regels om onderzoekers te beschermen.
De Digital Millennium Copyright Act (DMCA), tientallen jaren geleden ondertekend in de Amerikaanse wet, heeft tot doel intellectuele eigendomsrechten te beschermen.
De IE-wetten kunnen echter door leveranciers worden misbruikt om openbaar onderzoek te onderdrukken dat schadelijk of beschamend zou kunnen zijn voor een merk — en een gebied, in het bijzonder, Sectie 1201 heeft lange tijd problemen veroorzaakt bij cyberbeveiligingsprofessionals komt tot onderzoek en onthulling.
Sectie 1201 bevat een aantal antiontwijkingsmandaten, waaronder de “omzeiling van technologische maatregelen” om “een vervormd werk te ontcijferen, een versleuteld werk te decoderen of anderszins een technologische maatregel te vermijden, te omzeilen, te verwijderen, te deactiveren of aan te tasten, zonder de toestemming van de eigenaar van het auteursrecht.”
Zoals uitgelegd door bisschop Fox-onderzoeker Dan Petro, kan codering worden geplaatst op een app, apparaat of in andere software die wordt getest, en dit betekent dan dat een “technologische maatregel” is verbroken om toegang te krijgen een leverancierscode.
“Dus DMCA 1201 kan snel worden misbruikt als een toverstaf waarmee je kunt zwaaien om elke app of elk apparaat illegaal te maken om te inspecteren, reverse-engineeren of kwetsbaarheden te vinden als je een leverancier bent”, voegde Petro eraan toe.
Een voorbeeld dat door Bishop Fox wordt aangehaald, is dat van George “Geohot” Hotz, die in 2011 werd getroffen door een claim wegens inbreuk op het auteursrecht nadat hij een methode had gepubliceerd om PlayStation 3-consoles zelf te hacken. De zaak werd afgedaan en Hotz kreeg een verbod.
“Helaas verschuilen sommige bedrijven zich achter Section 1201 om hun code, software en andere diensten illegaal te maken om te beoordelen vanuit een beveiligingsperspectief”, merkte het beveiligingsbedrijf op. “Door onbedoeld (of opzettelijk) beveiligingsonderzoekers te blokkeren en deze activiteiten illegaal te maken, belemmeren deze bedrijven testinspanningen die het publiek ten goede kunnen komen door hun rechten en de privacy van hun gegevens te beschermen.”
Als een doorlopend probleem op het gebied van cyberbeveiliging heeft de Electronic Frontier Foundation (EFF) een open brief gepubliceerd die op het moment van schrijven door 23 organisaties is ondertekend en waarin wordt verzocht om een herziening van de bestaande regels.
De verklaring zegt dat bestaande DMCA-bepalingen “te goeder trouw cyberbeveiligingsonderzoek” ondermijnen en onderdrukken, waarbij onafhankelijke onderzoekers vaak in een juridische vuurlinie terechtkomen voor het op verantwoorde wijze onthullen van zwakke punten of kwetsbaarheden in software — en simpel gezegd , hebben we dit onderzoek nodig om door te gaan.
“Sommige van de meest kritieke cyberbeveiligingsfouten van het afgelopen decennium, zoals Heartbleed, Shellshock en DROWN, zijn ontdekt door onafhankelijke beveiligingsonderzoekers”, staat in de brief.
Een ander probleem met Sectie 1201 wordt opgemerkt in de EFF-verklaring — die verbiedt “het leveren van technologieën, tools of diensten aan het publiek die technologische beschermingsmaatregelen omzeilen” om toegang te krijgen tot auteursrechtelijk beschermd eigendom.
Bij veiligheidsonderzoek worden vaak tools van derden gebruikt en deze vage bepaling kan ook voor juridische problemen zorgen. Hoewel er een uitzondering is in de DMCA-wet voor software-analyse, stellen de bedrijven dat deze “te beperkt en te vaag” is en niet ver genoeg gaat om te goeder trouw onderzoek te beschermen, aangezien de gebruikte tools uitsluitend voor het “enige doel” van testen moeten zijn .
Ondertekenaars zijn onder meer Bishop Fox, Rapid7, McAfee, iFixIt, HackerOne en Cybereason.
“We dringen er bij beleidsmakers en wetgevers op aan om Sectie 1201 te hervormen zodat tools voor beveiligingsonderzoek kunnen worden verstrekt en gebruikt voor te goeder trouw beveiligingsonderzoek”, staat in de brief. “Bovendien dringen we er bij bedrijven en openbare aanklagers op aan om Sectie 1201 niet te gebruiken voor het onnodig richten van tools die worden gebruikt voor veiligheidsonderzoek.”
Eerdere en gerelateerde berichtgeving
Australische wetshandhavers hebben problemen met gegevensvernietiging gevonden
IT-leiders zeggen dat geld voor cyberbeveiliging wordt verspild aan ondersteuning voor werken op afstand: enquête
Een diepe duik in de operaties van de LockBit ransomware-groep
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Juridische beveiliging TV-gegevensbeheer CXO-datacenters 