Nieuws

Cybercrimewetgeving VS gebruikt tegen onderzoekers

vrijdag 30 mei 2014, 11:38 door Redactie, 4 reacties

De wetgeving in de Verenigde Staten die cybercrime moet bestrijden wordt ook gebruikt voor het dwarsbomen van hackers en beveiligingsonderzoekers die het internet juist veiliger willen maken. De Computer Fraud and Abuse Act (CFAA) is veel onderzoekers dan ook een doorn in het oog.

Beveiligingsonderzoeker HD Moore, bedenker van de populaire hackingtool Metasploit en chief research officer bij beveiligingsbedrijf Rapid7, werd vorig jaar door de Amerikaanse overheid gewaarschuwd vanwege een onderzoek dat hij uitvoerde. Het ging om een scanproject genaamd Critical.IO, waarbij hij naar veelvoorkomende kwetsbaarheden op het internet zocht.

Tijdens het onderzoek werden verschillende problemen ontdekt, zoals kwetsbaarheden in het Universal Plug and Play (UPnP) protocol, waardoor tientallen miljoenen apparaten risico liepen. Hoewel hij duidelijk was over zijn rol en reden voor het onderzoek, zegt Moore tegenover de Guardian dat hij toch door een Amerikaanse overheidsinstantie op de huid werd gezeten. Welke overheidsinstantie het is wil Moore niet zeggen, maar het incident zorgde ervoor dat hij zich tijdelijk uit de beveiligingsindustrie trok.

Onderzoek

Ook Zach Lanier, onderzoeker bij Duo Security, zegt dat zijn team vaak met CFAA-problemen te maken krijgt. In veel gevallen gebruiken de partijen van wie de onderzoekers de spullen onderzoeken, juist zodat ze veiliger kunnen worden gemaakt, de CFAA om te claimen dat de onderzoekers op de systemen inbreken.

Zo ontdekte Lanier ernstige kwetsbaarheden in een ingebed apparaat dat op kinderen is gericht. Hij rapporteerde de lekken aan de fabrikant, maar werd vervolgens door de advocaat van het bedrijf met juridische stappen bedreigd. Uiteindelijk besloot Lanier en zijn team het onderzoek dan ook te laten liggen.

Hervorming

Op dit moment wordt geprobeerd om de CFAA te hervormen, die volgens onderzoekers te zware straffen met zich meedraagt, te vaag is en geen rekening met de context houdt. Het is echter de vraag of het Amerikaanse Congres hiermee zal instemmen. Vanwege vermeende Chinese cyberspionage zouden veel congresleden juiste strengere straffen willen zien.

Ook bestaat de angst dat als de wet wordt aangepast, cybercriminelen straks zullen zeggen dat ze eigenlijk beveiligingsonderzoek uitvoerden. Moore merkt op dat er betere manieren zijn om te definiëren of te bewijzen wat legitiem onderzoek is, maar erkent ook dat de problematiek niet eenvoudig is op te lossen. "Maar het is belangrijk en de moeite waard om te doen als we onszelf willen beschermen."

Valse Facebookprofielen gebruikt voor cyberspionage

Marktplaats deelt persoonsgegevens door menselijke fout

Reacties (4)

30-05-2014, 13:35 door Anoniem

Vertel me dat het raar is dat als je jezelf tooit met leuke "edgy" termen als "hacker" en dat dan de sensatieoproepende betekenis meegeeft van "hoeddragende cyberboeman" zodat je mooi kan schitteren in de hollywoodfilm in je eigen hoofd, wellicht zelfs de marketingmaterialen van je al dan niet legale beveiligingsbedrijfje, dat mensen die eigenlijk gewoon gebruik willen maken van al die kompjoeters en geen polonaise aan hun fiets willen, dan willen dat er wat tegen gedaan wordt. Bijvoorbeeld de bedrijven die je oh-zo vriendelijk hebt "geholpen" door ongevraagd actief gaten in hun systemen te zoeken en ze vervolgens publiekelijk aan de schandpaal te nagelen.

En dat dan bijvoorbeeld politici er wetten tegen aannemen die vervolgens de nuance tussen witte en zwarte hoedjes niet maken kan. Laat staan dat rechters of de veroordelingsproductiemachine genaamd Unites States Department of Justice ook maar zin hebben in fijngenuanceerde aanklachten beoordelen of zelfs maar bedenken. Ze hebben wel wat beters te doen.

Namelijk, er moet wat gedaan worden, veroordelingen zien eruit alsof er wat gedaan wordt, dus hameren we wel een stapeltje veroordelingen erdoor. Hoe moeilijk kan het zijn?

Wat dat betreft heeft de beveiligingsindustrie voor zichzelf (en de rest van de wereld) best een groot probleem geschapen. Het ethos is gejat en zo vaag dat ze het zelf nauwlijks snappen, er is veelteveel sensatie, en ondertussen zijn de belangen zo groot gegroeid dat grote partijen als overheden en grootbedrijven het zich niet meer kunnen veroorloven er niet bovenop te zitten.

Het had ook anders gekund, maar dat was constructiever dan sensatiebelust geweest. En daar had de industrie geen zin in. Snel geld was belangrijker. Structurele veranderingen heb ik daar nog niet gezien.

30-05-2014, 20:16 door Anoniem

Dit is dus precies waarom ik de kritieke infrastructuur passage die meteen met 5 jaar dreigt in de wet CC3 zo gevaarlijk acht....

30-05-2014, 20:30 door Anoniem

Als je nou auto's met falende remmen maakt dan ben je als fabrikant aansprakelijk maar blijkbaar mag je bij het maken van software de grootst mogelijk stront op de markt gooien en als iemand daar iets over zegt mag deze de bak in... Idem voor slecht beveiligde en dom geconfigureerde software door "consultants" die de laatste tijd blijkbaar ingehuurd moeten worden voor 45 euro per uur door de bezuinigingen. En dan zeuren dat de IT projecten falen. Gut gut....

Waarbij de overheid het "goede" voorbeeld geeft met het uitbesteden aan partijen die zelf ook weer uitbesteden aan landen. Met een beetje pech landen waar het woord democratie je 3 tot 10 jaar cel oplevert... Maar we gaan ervoor met het bezuinigen... Misschien toch eens wat minder beknibbelen op de IT mensen. Probeer je leveranciers eens te vragen of ze wel eens van Secure Software Development hebben gehoord. Iets met code reviews en fuzzing...

Oh ja die wetgeving daar hebben ze maling aan in de rest van de wereld waar de mensen zitten die echt hacken met kwade bedoelingen... Maar laten we vooral bijna niet te handhaven wetgeving opstellen... Tenminste ten opzichte van de echte boeven...

30-05-2014, 20:58 door Eric-Jan H te D - Bijgewerkt: 30-05-2014, 21:00

Misschien heeft dit wel met dat https://www.security.nl/posting/389885/Onderzoek+naar+werking+TrueCrypt+gaat+gewoon+door
te maken

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer