Una coorte di società di sicurezza informatica ha firmato una lettera aperta chiedendo riforme delle regole DMCA esistenti al fine di proteggere i ricercatori.
Il Digital Millennium Copyright Act (DMCA), firmato decenni fa negli Stati Uniti, mira a proteggere i diritti di proprietà intellettuale.
Tuttavia, le leggi sulla PI possono essere abusate dai fornitori per sopprimere la ricerca pubblica che potrebbe essere dannosa o imbarazzante per un marchio – e un'area, in particolare, la Sezione 1201, ha causato a lungo problemi ai professionisti della sicurezza informatica quando si tratta di ricerca e divulgazione.
La sezione 1201 contiene una serie di mandati anti-elusione, tra cui “l'elusione delle misure tecnologiche” per “decodificare un'opera criptata, per decifrare un'opera crittografata o altrimenti, per evitare, aggirare, rimuovere, disattivare o compromettere una misura tecnologica, senza l'autorizzazione del titolare del copyright.”
Come spiegato dal ricercatore di Bishop Fox Dan Petro, la crittografia potrebbe essere posizionata su un'app, un dispositivo o all'interno di un altro software che viene testato, e questo significa che una “misura tecnologica” è stata violata per accedere il codice di un venditore.
“Quindi DMCA 1201 può essere rapidamente abusato come una bacchetta magica che puoi agitare per rendere illegale qualsiasi app o dispositivo da ispezionare, decodificare o trovare vulnerabilità se sei un fornitore”, ha aggiunto Petro.
Un esempio citato da Bishop Fox è quello di George “Geohot” Hotz, che nel 2011 è stato denunciato per violazione del copyright dopo aver pubblicato un metodo per hackerare in casa le console PlayStation 3. Il caso è stato risolto e Hotz ha ricevuto un'ingiunzione.
“Sfortunatamente, alcune aziende si nascondono dietro la Sezione 1201 per rendere illegale il loro codice, software e altri servizi da valutare dal punto di vista della sicurezza”, ha osservato la società di sicurezza. “Bloccando involontariamente (o intenzionalmente) i ricercatori sulla sicurezza e rendendo illegali queste attività, queste aziende ostacolano gli sforzi di test che potrebbero avvantaggiare il pubblico proteggendo i loro diritti e la privacy dei loro dati”.
Come problema in corso nel regno della sicurezza informatica, la Electronic Frontier Foundation (EFF) ha pubblicato una lettera aperta firmata da 23 organizzazioni – al momento della stesura – che richiede una revisione delle regole esistenti.
La dichiarazione afferma che le disposizioni DMCA esistenti minano e sopprimono la “ricerca in buona fede sulla sicurezza informatica”, con ricercatori indipendenti che spesso si trovano in una linea di tiro legale per aver divulgato responsabilmente debolezze o vulnerabilità nel software – e, in poche parole , abbiamo bisogno che questa ricerca continui.
“Alcuni dei difetti di sicurezza informatica più critici dell'ultimo decennio, come Heartbleed, Shellshock e DROWN, sono stati scoperti da ricercatori di sicurezza indipendenti”, si legge nella lettera.
Un altro problema con la Sezione 1201 è notato nella dichiarazione EFF, quello che proibisce di “fornire tecnologie, strumenti o servizi al pubblico che eludono le misure di protezione tecnologica” per accedere a proprietà protette da copyright.
Nella ricerca sulla sicurezza vengono spesso utilizzati strumenti di terze parti e questa disposizione vaga può anche causare problemi legali. Sebbene vi sia un'esenzione nella legge DMCA per l'analisi del software, le società sostengono che è “troppo ristretta e troppo vaga” e non va abbastanza lontano per proteggere la ricerca in buona fede poiché gli strumenti utilizzati devono essere per “l'unico scopo” di test .
I firmatari includono Bishop Fox, Rapid7, McAfee, iFixIt, HackerOne e Cybereason.
“Esortiamo i responsabili delle politiche e i legislatori a riformare la Sezione 1201 per consentire la fornitura e l'utilizzo di strumenti di ricerca sulla sicurezza per ricerche sulla sicurezza in buona fede”, si legge nella lettera. “Inoltre, esortiamo le aziende e i pubblici ministeri ad astenersi dall'utilizzare la Sezione 1201 per prendere di mira inutilmente gli strumenti utilizzati per la ricerca sulla sicurezza”.
Copertura precedente e correlata
Le forze dell'ordine australiane hanno riscontrato problemi con la distruzione dei dati
I leader IT affermano che i fondi per la sicurezza informatica vengono sprecati per il supporto del lavoro a distanza: sondaggio
Un approfondimento sulle operazioni del gruppo ransomware LockBit
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499, o tramite Keybase: charlie0
Argomenti correlati:
Sicurezza legale Gestione dei dati TV CXO Data Center 