0
0
Os pesquisadores de segurança que relatam vulnerabilidades correm o risco de serem punidos com sanções legais para suprimir a divulgação ou serem pegos em uma batalha legal punindo-os por encontrar as falhas em primeiro lugar.
Embora o Departamento de Justiça dos EUA tenha anunciado no ano passado que não processará pesquisadores de segurança cibernética envolvidos em pesquisa e divulgação de vulnerabilidades de “boa fé” por violarem a Lei de Fraude e Abuso de Computadores (CFAA), os pesquisadores ainda correm o risco de ações criminais e civis de estados, governos estrangeiros e corporações. A organização sem fins lucrativos Center for Cybersecurity Policy & Law está recuando com duas iniciativas coordenadas – o Hacking Policy Council e o Security Legal Research Fund – para proteger indivíduos que descobrem vulnerabilidades que poderiam potencialmente prejudicar os usuários se exploradas.
A formação do Hacking Policy Council e do Security Legal Defense Fund ressalta o quão crítico é identificar e divulgar vulnerabilidades para impedir que agentes mal-intencionados obtenham acesso a software, infraestrutura e dados, diz Krista Macomber, analista sênior da Futurum Research.
“A intenção é criar um clima que incentive a colaboração e o compartilhamento de informações e proteja as pessoas que trabalham diligentemente para expor ameaças potenciais”, diz Macomber.
O Hacking Policy Council planeja defender e fazer lobby por melhores regulamentos de divulgação de vulnerabilidades e remoção de leis desatualizadas. As organizações membros fundadoras incluem Google, Bugcrowd, HackerOne, Intel, Intigriti e Luta Security. O Fundo de Pesquisa Jurídica de Segurança, a partir de agora, fornecerá apenas financiamento.
“O fundo de defesa não planeja fornecer representação legal direta aos pesquisadores neste momento”, disse Harley Geiger, advogada da Venable e coordenadora dos dois novos grupos, durante a coletiva de imprensa que anunciou as duas iniciativas. “Em vez disso, ajudará a fornecer financiamento a indivíduos que estão enfrentando ameaças legais devido à pesquisa de segurança de boa fé e à divulgação de vulnerabilidades”.
Situação dos hackers éticos
James Dempsey, um dos membros do conselho do Security Legal Research Fund e professor da Universidade da Califórnia em Berkeley Law e da Universidade de Stanford, observou que os pesquisadores independentes há muito enfrentam riscos legais por seus esforços. Por exemplo, Dempsey apontou para um caso bem conhecido em 2008, quando um juiz emitiu uma liminar que impediu uma equipe de estudantes do MIT de se apresentar na conferência de segurança DEF CON sobre vulnerabilidades que descobriram no sistema de cartões de tarifa da Autoridade de Trânsito da Baía de Massachusetts.
Dempsey apontou para um caso mais recente em 2021, quando o governador do Missouri, Mike Parson, ameaçou processar repórteres no St. Louis Post-Dispatch depois que o jornal publicou um artigo expondo vulnerabilidades no site de uma agência estadual. Mas os promotores do Missouri se recusaram a apresentar acusações.
“Colocar essa carta no papel timbrado ameaçando uma ação legal pode ser muito intimidante, e é isso que queremos ajudar as pessoas a superar”, disse Dempsey.
“Essa questão tem tanto impacto que acho que realmente merece um grupo que esteja fortemente focado nessa questão e possa trazer essa experiência aos formuladores de políticas para ajudá-los a fazer políticas mais informadas”, disse Charley Snyder, chefe de política de segurança do Google.
O Hacking Policy Council inicialmente trabalhará para fazer lobby por mudanças nas leis e regulamentos nos EUA e, em última análise, em todo o mundo. A fundadora e CEO da Luta Security, Katie Moussouris, enfatizou que muitos regulamentos estão desatualizados.
“Neste momento, temos muitos regulamentos que foram, francamente, escritos em uma época diferente, quando não havia uma compreensão diferenciada da relação de mãos dadas entre a descoberta de vulnerabilidades e a prevenção de hackers maliciosos”, disse ela.
Para complicar as coisas, está a disparidade global nos regulamentos e políticas, que às vezes exigem a divulgação a um governo, seja em conjunto ou antes de notificar os usuários afetados e o público, observou Moussouris. Uma disposição da Lei de Resiliência Cibernética, proposta pela Comissão Europeia, exigiria que qualquer pessoa na UE que descobrisse uma vulnerabilidade a divulgasse dentro de 24 horas.
“Conforme escrito, será tão eficaz para a segurança quanto o GDPR foi para a privacidade; terá tanto impacto”, disse Geiger, da Venable.
Aumentando a complexidade, Geiger observou que a definição atual não distingue entre pesquisa de segurança de boa-fé e criminosos mal-intencionados.
“Atualmente, não há nenhuma disposição para garantir que a vulnerabilidade, antes de ser divulgada, seja corrigida”, disse ele. “Parte da preocupação com o CRA é que você acabe em toda a UE com uma lista contínua de software e vulnerabilidades que ainda podem não ser mitigadas, compartilhadas com talvez dezenas de agências governamentais da UE.”
Apoio Judiciário para Investigadores de Segurança
O Security Legal Research Fund ajudará pesquisadores de segurança de boa fé e testadores de penetração que enfrentam cartas de cessação e desistência, ações judiciais, multas e processos por divulgar vulnerabilidades, disse Tim Willis, chefe da equipe do Projeto Zero do Google, durante a coletiva de imprensa.
“Minha esperança a longo prazo para este fundo é que o efeito assustador que atualmente é sentido pelos pesquisadores de segurança seja revertido ao longo do tempo. Uma coisa com a qual todas essas partes podem concordar é que os usuários perdem quando as coisas não são corrigidas rapidamente”, disse Willis.
Geiger enfatizou que o esforço se concentraria em proteger hackers éticos que só usam suas pesquisas para proteger os usuários.
“O fundo não está procurando ajudar pesquisadores de segurança de boa fé que são processados por algo como extorsão se, de fato, cometeram extorsão”, disse Geiger. “Será para o ato de pesquisa de segurança de boa-fé ou o ato de divulgação de vulnerabilidade relacionada com essa pesquisa de segurança de boa-fé.”
Amie Stepanovich, vice-presidente de política dos EUA no Future of Privacy Forum e membro do conselho do Security Research Legal Defense Fund, disse que cada solicitação será considerada com base no escopo e mérito do caso e nos recursos financeiros do requerente.
“Vamos direcionar os fundos para onde eles são mais necessários”, disse Stepanovich. “Queremos ser capazes de ajudar o maior número possível de pessoas em tão extrema necessidade quanto possível, e por isso estaremos tomando decisões sobre valores com base no caso e na necessidade e quais são as circunstâncias factuais reais.”
O Google está semeando o Fundo de Pesquisa Legal de Segurança com um valor não revelado, mas o fundo seria operado pelo Centro de Política e Lei de Segurança Cibernética para garantir que nenhuma empresa tenha influência ou receba favores sobre como os fundos são usados. Willis pediu que outras empresas também contribuam para o fundo.
O analista da Omdia, Curtis Franklin, acredita que o fundo e o conselho validam e apoiam ainda mais o papel de pesquisadores independentes na descoberta de vulnerabilidades.
“Pesquisadores independentes são uma parte necessária de nossa infraestrutura de segurança no momento, e acho que é bom que isso esteja sendo reconhecido e que essas empresas queiram tomar as medidas de ter um reconhecimento legal mais formal disso”, diz Franklin. “Nossos sistemas agora são suficientemente complexos para que nenhuma empresa possa encontrar todas as vulnerabilidades que existem e todas as interações que existem em seus sistemas, antes ou depois de serem lançadas.”
FONTE: DARK READING