Nieuws

Cybercrimewetgeving VS gebruikt tegen onderzoekers

vrijdag 30 mei 2014, 11:38 door Redactie, 4 reacties

De wetgeving in de Verenigde Staten die cybercrime moet bestrijden wordt ook gebruikt voor het dwarsbomen van hackers en beveiligingsonderzoekers die het internet juist veiliger willen maken. De Computer Fraud and Abuse Act (CFAA) is veel onderzoekers dan ook een doorn in het oog.

Beveiligingsonderzoeker HD Moore, bedenker van de populaire hackingtool Metasploit en chief research officer bij beveiligingsbedrijf Rapid7, werd vorig jaar door de Amerikaanse overheid gewaarschuwd vanwege een onderzoek dat hij uitvoerde. Het ging om een scanproject genaamd Critical.IO, waarbij hij naar veelvoorkomende kwetsbaarheden op het internet zocht.

Tijdens het onderzoek werden verschillende problemen ontdekt, zoals kwetsbaarheden in het Universal Plug and Play (UPnP) protocol, waardoor tientallen miljoenen apparaten risico liepen. Hoewel hij duidelijk was over zijn rol en reden voor het onderzoek, zegt Moore tegenover de Guardian dat hij toch door een Amerikaanse overheidsinstantie op de huid werd gezeten. Welke overheidsinstantie het is wil Moore niet zeggen, maar het incident zorgde ervoor dat hij zich tijdelijk uit de beveiligingsindustrie trok.

Onderzoek

Ook Zach Lanier, onderzoeker bij Duo Security, zegt dat zijn team vaak met CFAA-problemen te maken krijgt. In veel gevallen gebruiken de partijen van wie de onderzoekers de spullen onderzoeken, juist zodat ze veiliger kunnen worden gemaakt, de CFAA om te claimen dat de onderzoekers op de systemen inbreken.

Zo ontdekte Lanier ernstige kwetsbaarheden in een ingebed apparaat dat op kinderen is gericht. Hij rapporteerde de lekken aan de fabrikant, maar werd vervolgens door de advocaat van het bedrijf met juridische stappen bedreigd. Uiteindelijk besloot Lanier en zijn team het onderzoek dan ook te laten liggen.

Hervorming

Op dit moment wordt geprobeerd om de CFAA te hervormen, die volgens onderzoekers te zware straffen met zich meedraagt, te vaag is en geen rekening met de context houdt. Het is echter de vraag of het Amerikaanse Congres hiermee zal instemmen. Vanwege vermeende Chinese cyberspionage zouden veel congresleden juiste strengere straffen willen zien.

Ook bestaat de angst dat als de wet wordt aangepast, cybercriminelen straks zullen zeggen dat ze eigenlijk beveiligingsonderzoek uitvoerden. Moore merkt op dat er betere manieren zijn om te definiëren of te bewijzen wat legitiem onderzoek is, maar erkent ook dat de problematiek niet eenvoudig is op te lossen. "Maar het is belangrijk en de moeite waard om te doen als we onszelf willen beschermen."

Valse Facebookprofielen gebruikt voor cyberspionage

Marktplaats deelt persoonsgegevens door menselijke fout

Reacties (4)

30-05-2014, 13:35 door Anoniem

Vertel me dat het raar is dat als je jezelf tooit met leuke "edgy" termen als "hacker" en dat dan de sensatieoproepende betekenis meegeeft van "hoeddragende cyberboeman" zodat je mooi kan schitteren in de hollywoodfilm in je eigen hoofd, wellicht zelfs de marketingmaterialen van je al dan niet legale beveiligingsbedrijfje, dat mensen die eigenlijk gewoon gebruik willen maken van al die kompjoeters en geen polonaise aan hun fiets willen, dan willen dat er wat tegen gedaan wordt. Bijvoorbeeld de bedrijven die je oh-zo vriendelijk hebt "geholpen" door ongevraagd actief gaten in hun systemen te zoeken en ze vervolgens publiekelijk aan de schandpaal te nagelen.

En dat dan bijvoorbeeld politici er wetten tegen aannemen die vervolgens de nuance tussen witte en zwarte hoedjes niet maken kan. Laat staan dat rechters of de veroordelingsproductiemachine genaamd Unites States Department of Justice ook maar zin hebben in fijngenuanceerde aanklachten beoordelen of zelfs maar bedenken. Ze hebben wel wat beters te doen.

Namelijk, er moet wat gedaan worden, veroordelingen zien eruit alsof er wat gedaan wordt, dus hameren we wel een stapeltje veroordelingen erdoor. Hoe moeilijk kan het zijn?

Wat dat betreft heeft de beveiligingsindustrie voor zichzelf (en de rest van de wereld) best een groot probleem geschapen. Het ethos is gejat en zo vaag dat ze het zelf nauwlijks snappen, er is veelteveel sensatie, en ondertussen zijn de belangen zo groot gegroeid dat grote partijen als overheden en grootbedrijven het zich niet meer kunnen veroorloven er niet bovenop te zitten.

Het had ook anders gekund, maar dat was constructiever dan sensatiebelust geweest. En daar had de industrie geen zin in. Snel geld was belangrijker. Structurele veranderingen heb ik daar nog niet gezien.

30-05-2014, 20:16 door Anoniem

Dit is dus precies waarom ik de kritieke infrastructuur passage die meteen met 5 jaar dreigt in de wet CC3 zo gevaarlijk acht....

30-05-2014, 20:30 door Anoniem

Als je nou auto's met falende remmen maakt dan ben je als fabrikant aansprakelijk maar blijkbaar mag je bij het maken van software de grootst mogelijk stront op de markt gooien en als iemand daar iets over zegt mag deze de bak in... Idem voor slecht beveiligde en dom geconfigureerde software door "consultants" die de laatste tijd blijkbaar ingehuurd moeten worden voor 45 euro per uur door de bezuinigingen. En dan zeuren dat de IT projecten falen. Gut gut....

Waarbij de overheid het "goede" voorbeeld geeft met het uitbesteden aan partijen die zelf ook weer uitbesteden aan landen. Met een beetje pech landen waar het woord democratie je 3 tot 10 jaar cel oplevert... Maar we gaan ervoor met het bezuinigen... Misschien toch eens wat minder beknibbelen op de IT mensen. Probeer je leveranciers eens te vragen of ze wel eens van Secure Software Development hebben gehoord. Iets met code reviews en fuzzing...

Oh ja die wetgeving daar hebben ze maling aan in de rest van de wereld waar de mensen zitten die echt hacken met kwade bedoelingen... Maar laten we vooral bijna niet te handhaven wetgeving opstellen... Tenminste ten opzichte van de echte boeven...

30-05-2014, 20:58 door Eric-Jan H te D - Bijgewerkt: 30-05-2014, 21:00

Misschien heeft dit wel met dat https://www.security.nl/posting/389885/Onderzoek+naar+werking+TrueCrypt+gaat+gewoon+door
te maken

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Vacature

Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime

Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!

Lees meer

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Cybercrimewetgeving VS gebruikt tegen onderzoekers

Onderzoek

Hervorming

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Wachtwoord Vergeten

Password Reset

Registreren