Die grundlegende Frage hier ist Autorisierung , nicht Zugriff .

Wenn Sie in das Haus Ihres Nachbarn einbrechen, klar Sie verstoßen gegen das Gesetz. Aber wenn er Sie hereinlässt, sind Sie es nicht.

Und wenn Sie einen Schlüssel haben? Wenn er Ihnen den Schlüssel zusammen mit der Erlaubnis zum Betreten gegeben hat (um seinen Hund zu füttern, während er weg ist), haben Sie die Berechtigung zum Betreten. Keine Übertretung dort.

Wenn Sie andererseits den Schlüssel unter seiner Fußmatte finden, bedeutet dies nicht Autorisierung , obwohl Sie dadurch Zugriff erhalten . Sie können leicht genug hineinkommen, aber es ist unbefugt.

Angenommen, Sie gehen von Tür zu Tür und prüfen, ob jemand einen Schlüssel unter seiner Fußmatte gelassen hat. Sie gehen einfach in die verwundbaren Häuser und sehen sich um. Sie stehlen nichts, Sie suchen nur. Genau das passiert hier mit dem Heartbleed-Problem. Jemand nutzt sein Wissen über eine Sicherheitsanfälligkeit (z. B. wird der Schlüssel manchmal unter der Fußmatte angezeigt), um Zugriff zu erhalten, aber er ist nicht autorisiert berechtigt, Zugriff zu haben.

Ja, die Schlüssel, die er abruft sind für jeden zugänglich, der die Sicherheitslücke versteht, ebenso wie ein Schlüssel unter einer Fußmatte für die Öffentlichkeit technisch zugänglich ist. Aber das macht es nicht legal, es zu benutzen.

Zunächst muss diese Frage in einem länderspezifischen Kontext beantwortet werden, da jedes Land seine eigenen Gesetze und Vorschriften in Bezug auf Computerkriminalität, Eindringlinge, Datenmanipulation usw. hat.

Eine wichtige Sache, die ebenfalls berücksichtigt werden muss ist, dass die Personen, die diese Fälle beurteilen, keine technisch bewussten Personen sind. Sie haben normalerweise keine klare Vorstellung davon, was eine Datenbank ist, was ein UDP-Datagramm ist oder manchmal sogar, was Google ist. Selbst wenn ein IT-Experte vom Gericht angehört wird, basiert die Entscheidung hauptsächlich auf gesundem Menschenverstand.

Ich bin kein Spezialist für kanadisches Recht, aber hier sind meine Gedanken:

• Das Senden eines einzelnen Pakets mit vorheriger Kenntnis, dass es die auf einem Server gespeicherten Daten ändern kann / wird, kann in einigen Ländern als Straftat angesehen werden, unabhängig davon, warum dies getan wurde (z. B. ein Forscher, der versucht, einen Fehler zu reproduzieren) und was das ist Auswirkungen sind am Ende;
• Die Grenze zwischen illegalem Hacken und der bloßen Verwendung öffentlich zugänglicher Informationen wird von den Behörden (z. B. einem Staatsanwalt oder Richter) normalerweise so gesehen: Hat die Organisation die Informationen öffentlich und absichtlich sichtbar? Oder hat der "Angreifer" einen Trick angewendet, um darauf zuzugreifen? Am Ende kommt dies zu der Absicht des Benutzers, auf die Informationen zuzugreifen.
• Es spielt keine Rolle, ob die durchgesickerten Daten nutzlose Zufallsbits oder explizite sinnvolle Informationen enthalten, der Zugriff wurde immer noch ohne ordnungsgemäße Autorisierung durchgeführt. Natürlich wird das Empfindlichkeitsniveau wahrscheinlich als erschwerender Faktor angesehen.

Ein reales Beispiel für diese Situation ist die jüngste Verurteilung in Frankreich eines Internetnutzers, der über Google einige Unternehmensinformationen gefunden hat, die eigentlich nicht vorhanden sein sollten (sie wurden von der Suchmaschine indiziert) aufgrund eines Fehlers der Firma). Selbst wenn die Datenintegrität oder -verfügbarkeit nicht gefährdet war und es keinen tatsächlichen Eingriff gab, wurde dieser Internetbenutzer wegen " nicht autorisiertem Zugriff auf ein Informationssystem " und " Datendiebstahl verurteilt. em> ". Eine sehr detaillierte rechtliche Erklärung finden Sie hier (auf Französisch).

Am Ende haben die Behörden zwei wichtige Punkte berücksichtigt:

• Unabhängig davon, wie der Zugriff durchgeführt wurde, sollten die Daten nicht öffentlich sein. Und im Fall des Heartbleed-Fehlers kann niemand ernsthaft so tun, als ob die Klartextdaten, die von einem Programm verwendet werden, das für die Verschlüsselung der Internetkommunikation verantwortlich ist, öffentlich verfügbar sein sollten.
• Der Benutzer hat nicht auf das zugegriffen Daten versehentlich , aber stattdessen mithilfe technischer Methoden, zu denen ein normaler Benutzer nicht in der Lage gewesen wäre. Dazu gehören Google-Hacking, das Erstellen von UDP-Datagrammen usw.

Um Ihre Frage zu beantworten, lautet die Grenze zwischen illegalem Hacking und autorisiertem Zugriff im Wesentlichen: Hat die betroffene Organisation Sie zum Zugriff beauftragt oder autorisiert? irgendwelche seiner Daten (z. B. über ein Bug Bounty-Programm oder einen Penetrationstestdienst)?

Ich bin verwirrt darüber, wo die Grenze zwischen illegalem Hacken und der Verwendung von Informationen liegt, die öffentlich sichtbar sind.

Die Frage ist, ob diese Informationen als öffentlich angesehen werden. auch wenn es öffentlich sichtbar ist. In diesem speziellen Fall ist zu 100% klar, dass dies nicht der Fall ist. Selbst wenn ein Serveradministrator diesen Fehler ungepatcht lässt, bedeutet dies nicht, dass Sie ihn verwenden können.

Aus rein technischer Sicht könnte man sagen, dass alle Daten, auf die auf irgendeine Weise zugegriffen werden kann, öffentlich sind, da die Technologie keinen Unterschied zwischen Funktionen und Fehlern macht. Aber Gesetze sind selten so technisch.

Die Gesetzgebung darüber, was illegales Hacken ist und was nicht, ist weltweit sehr unterschiedlich. Ich bin kein Anwalt, aber meines Wissens betrachten viele Gesetze Daten als privat, als der Eigentümer des Systems Schritte unternahm, um den öffentlichen Zugang zu verhindern. Sollten sich diese Schritte aufgrund eines Softwarefehlers als unzureichend herausstellen, ist der Zugriff darauf immer noch illegal, wenn die Person, die auf sie zugreift, keinen Grund zu der Annahme hat, dass die Daten öffentlich sein sollen.

Wenn jemand darüber schreibt ihre Homepage "Ich habe eine öffentliche MySQL-Datenbank eingerichtet, mit der jeder experimentieren kann. Der Benutzername lautet user und das Passwort lautet pass " Angenommen, alle Informationen in dieser Datenbank sind öffentlich. Wenn Sie eine Sicherheitslücke in einer Software ausnutzen müssen, die zum Abrufen der Anmeldeinformationen verwendet wird, können Sie davon ausgehen, dass die Informationen nicht öffentlich sind.

Im Fall von Heartbleed sollte man bedenken, dass ein Unternehmen / Systemadministrator die proaktiven Schritte zum Schutz von Daten unternommen hat. Sie haben OpenSSL verwendet, um ein Webportal zu sichern. Die Tatsache, dass es einen Fehler gab, der unentdeckt blieb, war nicht die Schuld des Unternehmens. Sie haben versucht, Daten zu schützen. Jedes Gericht / jede Jury, das den gesunden Menschenverstand verwendet, würde für das Unternehmen herausfinden, nicht für die Person, die die Daten über den Exploit erhalten hat.

Um die oben angegebene Analogie zu ändern: Die Analogie einer Tür, die offen gelassen wird und keinen Zugang gewährt In diesem Fall sind beide gleich falsch, wenn Sie die Erlaubnis zum Betreten gleichsetzen, sowie die Analogie des Schlüssels, der unter der Matte verbleibt und den Zugang, aber nicht die Erlaubnis ermöglicht.

Ich habe die Tür zu meinem Haus verschlossen. Das Schloss, das ich benutze, ist ein Zahlenschloss. Ich stellte die 4-stellige Nummer ein und sicherte das Schloss. Ich bin der einzige, der diese Kombination kennt, und der Schlosshersteller sagt, dass niemand sonst diese Kombination kennen kann, ohne jede mögliche 4-Zahlen-Sequenz sorgfältig einzugeben. Mein Haus ist jetzt sicher.

Leider ist die Frontplatte, die mir unbekannt ist (und vom Hersteller des Schlosses noch nicht einmal entdeckt wurde), abnehmbar und zeigt meine Nummern.

Ein Dieb kommt vorbei und nimmt die Abdeckung ab. holt meinen Code und setzt ihn wieder auf. Jetzt hat dieser Dieb die Möglichkeit, mein Haus nach Belieben zu betreten. Selbst wenn ich meinen Code ändere (SSL-Zertifikat), spielt es keine Rolle, der Dieb hat immer noch die Möglichkeit, meinen neuen Code zu bestimmen.

Sie hören von der Tatsache, dass die Frontplatte abnehmbar ist und kommen zu mir Haus, um es zu überprüfen. Sie finden heraus, warum JA, und entdecken meinen Code. Sie betreten es, schließen meine Haustür auf und treten ein. Sie nehmen nichts mit. (Zumindest in den USA) Sie haben jetzt das Brechen und Betreten begangen, aber nicht den Diebstahl. Jede Jury in den USA würde Sie verurteilen, weil ich mein Bestes getan habe, um meine Sachen zu schützen, aber durch einen mir unbekannten Exploit konnten Sie eintreten.

Die unbefugte Verwendung des besten Analogs eines Computers in der realen Welt ist ein Verstoß. Trotz der Tatsache, dass ein Webserver öffentlich mit dem Internet verbunden ist, handelt es sich technisch gesehen um Privateigentum. Jemand besitzt diesen Server und die Software und Daten darauf. Sie sollten über Nutzungsbedingungen für die Website verfügen, die angeben, welche Nutzung ihres Servers zulässig ist. Wenn Sie von diesen Nutzungsbedingungen abweichen, verletzen Sie effektiv ihr System und können strafrechtlich für Missbrauch haftbar gemacht werden.

Ich bin kein Anwalt und glaube, dass es die Absicht geben muss, nur zu missbrauchen als ob es nicht möglich wäre, einen unbefugten Anspruch geltend zu machen, wenn jemand nicht wüsste, dass er sich in Privatbesitz befindet. Daher ist es etwas mehrdeutig, aber ja, im Allgemeinen ist das wissentliche Ausnutzen eines Fehlers gegen die Nutzungsbedingungen und daher an und für sich illegal. Sobald Sie die Anmeldeinformationen einer anderen Person erfasst und verwendet haben, ist dies eindeutig illegal, da Sie jetzt auf das Konto einer anderen Person zugreifen, was so gut wie immer gegen die Nutzungsbedingungen verstößt und die klare Absicht zeigt, das System zu "betreten".

Ich bin nicht so vertraut mit dem "Unfug in Bezug auf Daten", aber ich vermute, dass es damit zu tun hat, dass sie auf die privaten Daten anderer zugegriffen haben, indem sie in das System eingebrochen sind. Das ist allerdings eine Vermutung, da ich mit dieser nicht so vertraut bin.

Bei der Informationssicherheit werden häufig Analogien zur Sicherheit der physischen Welt hergestellt. Zum Beispiel ist ein Gebäude mit einer verschlossenen Tür, einem Zaun mit einem Tor und einem Wachmann usw. gesichert.

Das Durchbrechen der Sicherheitsschicht (en) eines Gebäudes wäre eine Straftat die meisten (alle?) Gesetze. Ich wette, das wird meistens Brechen und Betreten genannt.

Ich denke, die kanadische Gesetzgebung basiert auf dieser Analogie. Es scheint logisch, dass es von der Gesetzgebung des Landes abhängt, ob ein Server durch Ausnutzen des Heartbleed-Fehlers herumschnüffelt. Ich nehme an, entweder das Land, in dem sich der Server befindet, oder das Land, in dem der Eigentümer des Servers seinen Hauptsitz hat.

Und der Name der Straftat legt nahe, dass für die "nicht autorisierte Verwendung eines Computers" von Bedeutung ist, ob eine Erlaubnis erteilt wurde.

Es wird davon ausgegangen, dass beispielsweise die Erlaubnis erteilt wurde, eine Website mit einem Browser zu besuchen . Sie müssen es nicht schriftlich haben. Es wird nicht davon ausgegangen, dass die Erlaubnis erteilt wird, ein unbeabsichtigtes Merkmal wie den Herzblutfehler zu verwenden. Ja, es könnte als kriminell angesehen werden, einen Fehler auf einem Webserver auszunutzen, ohne dass der Eigentümer des Servers davon Kenntnis hat. Es spielt nicht unbedingt eine Rolle, was (wenn überhaupt) Sie mit den abgerufenen Informationen tun.

Dies bedeutet, dass die Verwendung einer Website unter bestimmten Umständen unter Verstoß gegen ihre T&Cs möglicherweise sein kann als kriminell angesehen. Soweit ich weiß, gibt es noch nicht viel in Bezug auf Testfälle, und ich vermute, dass dies je nach Rechtsprechung erheblich variieren wird, was als "Verwendung" eines Computers angesehen wird, was als "nicht autorisiert" gilt und in welchem ​​Umfang Von Benutzern von Websites / Servern wird erwartet, dass sie verstehen, was zulässig ist und was nicht. Es wird wahrscheinlich auch variieren, ob und wie weit Sicherheitsforscher rechtlich geschützt sind.

Ich kann Ihnen natürlich keine Rechtsberatung geben, aber meine Beobachtung ist, dass nur sehr wenige Sicherheitsforscher strafrechtlich verfolgt werden, wenn Sie testen oder scannen ohne ausdrückliche Genehmigung nach Fehlern. Ich bin mir überhaupt nicht sicher, ob das daran liegt, dass das, was sie tun, gesetzlich erlaubt ist oder dass niemand Interesse daran hat, sie strafrechtlich zu verfolgen.

Es gibt einen Fall zwischen Craigslist und 3Taps (in den USA) , nicht Kanada), in dem es nicht einmal einen Fehler ausnutzt. Es wurde entschieden, dass Craigslist 3Taps die Berechtigung zum Besuch der Website zum Zwecke des Scrapings ordnungsgemäß verweigert hat. AFAIK gibt jedoch noch keine Entscheidung darüber, ob 3Taps-Aktionen nach dem Computer Fraud and Abuse Act illegal waren.

Die Trennlinie ist keine Linie. Es ist verschwommen und wird nicht nur durch Logik, sondern durch Überzeugung entschieden. Überzeugung einer Jury durch einen Staatsanwalt.

Was legal oder illegal ist, entscheiden diejenigen von uns, die mit Technik arbeiten, nicht. Es wird zuerst von einigen Experten entschieden und dann von der Regierung als Gesetz gesegnet und dann von Richtern, Anwälten und einigen „glücklichen“ Jurymitgliedern interpretiert.

Gesetzgebung, Gewohnheitsrecht über Diebstahl, kombiniert mit dem Richter und Jurys des Gerichtssystems machen das Betreten von Computern illegal.

Angenommen, ein Staatsanwalt kann der Jury anhand von Akten und einem Sachverständigen nachweisen, wer, was, wo, wann, wie die Verteidigung das tut Bug Exploiter haben?

In den USA gibt es das Konzept von Mens Rea, dh. einen schuldigen Verstand haben. Verrückte Menschen können für nicht schuldig befunden werden, weil sie wirklich nicht richtig von falsch wissen, aber dies verschiebt lediglich den Ort der Inhaftierung in eine psychiatrische Einrichtung.

Aber wenn jemand einen Fehler ausnutzt, um Gewinn zu erzielen, und zu dem einer anderen Person Nachteil, ich denke, als Juror wäre es schwierig, mich davon zu überzeugen, dass die Person nicht wusste, dass es falsch war. Wenn bewiesen ist, dass sie es getan haben und wussten oder hätten wissen müssen, dass es falsch ist, reicht das für eine schuldige Abstimmung, damit ich wieder zum Leben zurückkehren und aufhören kann, Juror zu sein.

Soweit ich weiß, gibt es drei Elemente des Verbrechens.

1. Sie haben "nicht autorisierte" Informationen erhalten.
2. Sie haben diese Informationen mithilfe von "Navigations" -Verfahren erhalten, die sind aufdringlich.
3. Sie wurden nicht autorisiert, in private Bereiche einzudringen oder eine Barriere usw. zu durchbrechen, und Sie tun dies und sehen etwas, das ein Verbrechen wäre.
ol>

Wenn also die nicht autorisierten Informationen falsch auf der Homepage veröffentlicht wurden und Sie sie lesen, wäre dies ihr Problem, nicht Ihr Problem. Wenn Sie irgendwie in das System "eingebrochen" sind und etwas Unbefugtes gelesen haben, wäre dies ein Verbrechen.

Stellen Sie sich ein Haus vor, das von einem Zaun umgeben ist. Wenn Sie etwas "Unbefugtes" gesehen haben, indem Sie durch, um oder über den Zaun geschaut haben, wäre das nicht illegal. Wenn Sie (ohne Genehmigung) auf den Zaun geklettert sind und dadurch "etwas gesehen" haben, wäre das illegal. Wenn Sie auf den Zaun geklettert sind, weil der Eigentümer Sie beauftragt hat, ihn zu reinigen, und Sie etwas gesehen haben, wäre das nicht illegal.

Für Rechtsberatung wenden Sie sich an einen zugelassenen Anwalt.

F: Ist es illegal, eine Heartbeat-Anfrage an einen Server zu senden, wenn Sie wissen, dass die Anfrage zu Datenlecks führt?

A: Sicher. Suche [cfaa]. Die bessere Frage ist: Werden Sie wahrscheinlich strafrechtlich verfolgt und ins Bundesgefängnis gebracht? Wenn sich der Server möglicherweise im Pentagon befindet.

F: Wenn diese Daten nur zufällige Bits enthalten würden, wären sie immer noch illegal oder müssen sie vertrauliche Daten enthalten, um illegal zu werden?

A: Wenn die Daten und der Wert der Computernutzung theoretisch unter einem bestimmten Schwellenwert liegen, unterliegen Sie theoretisch keinen strengen Gesetzen zur Computerkriminalität wie der CFAA. Möchten Sie in den nächsten Jahren Ihres Lebens auf Ihre Auslegung des Gesetzes im Vergleich zu der der Behörden wetten? Und glauben Sie, sie würden Ihrer Behauptung glauben, dass die Daten "zufällige Bits" sind? Was ist, wenn der Staatsanwalt behauptet, sie seien verschlüsselte Atombombencodes? Wem würden der nichttechnische Richter und die Jury Ihrer Meinung nach glauben?

F: Sagen Sie, dass Passwörter oder andere solche Informationen vorhanden waren. Wird es dann illegal, dies getan zu haben? Oder ist es illegal, diese Anmeldeinformationen zu verwenden und sich bei einer öffentlich zugänglichen Administrationsoberfläche in der Datenbank anzumelden?

A: Lesen Sie die CFAA weiter.

F: Was ich bin verwirrt darüber, wo die Grenze zwischen illegalem Hacken und der Verwendung von Informationen liegt, die öffentlich sichtbar sind? Wenn eine Website ihre DB-Anmeldeinformationen auf ihrer Homepage mit einem Link zu einem phpMyAdmin-Frontend zu dieser DB belässt, ist es illegal, sich anzumelden und sich umzuschauen?

A: Möglicherweise. Sie könnten einem Anwalt 25.000 US-Dollar zahlen, um das Argument vorzubringen, dass das Anzeigen der DB-Anmeldeinformationen eine Zustimmung darstellt, und Sie sind daher unschuldig. Wenn Sie nicht über 25.000 US-Dollar verfügen, müssen Sie sich möglicherweise schuldig bekennen.

F: Wenn Sie das Risiko haben, mehrere und umfassende Fragen zu stellen, die dazu führen, dass diese Frage geschlossen wird, gibt es Faustregeln Halten Sie sich daran, wenn Sie neugierig herumschnüffeln, um zu sehen, wie etwas funktioniert, und überschreiten Sie die Grenze, um illegal zu werden?

A: Auch hier kann es ein riskantes Spiel sein, wenn Sie davon ausgehen, dass Ihre "Faustregel" mit der der Behörden übereinstimmt.

Historisch gesehen musste es kriminelle Absichten geben, damit etwas ein Verbrechen ist.

Heutzutage kann das Inkrementieren um eins in einem Skript gegen einen öffentlichen Webserver und das Protokollieren der Ausgabe Sie so ziemlich ins Gefängnis bringen Alles kann illegal sein, wenn es sich um einen Computer handelt und Sie jemanden verärgert haben.

Ich kenne einige Leute, die Burp (zum Beispiel) inline setzen und ihre üblichen Browsing-Aktionen ausführen. Sie finden mehr Fehler, als Sie vielleicht denken, und da ich erwähnt habe, dass alles, was einen Computer betrifft, illegal sein kann, würde ich nicht empfehlen, mit Leuten über Fehler zu sprechen, die Sie darin sehen, wenn Sie nicht 100% sicher sind, wie Ihre Informationen aussehen erhalten.

Ich persönlich mache keine Manipulation und Entdeckung von irgendetwas ohne eine vertragliche Vereinbarung für die Arbeit an Ort und Stelle und würde empfehlen, dass alle Leser das Gleiche tun.

Wenn Sie also nichts preisgeben können an die Besitzer des Fehlers, ohne an einen Gulag gesendet zu werden, und Sie können den Fehler weder ethisch an ein Exploit-Haus verkaufen noch in einem vollständigen Offenlegungsforum veröffentlichen. Was können Sie genau tun?

Willkommen in der Branche. Die Legalität liegt im Auge derjenigen mit einer politischen Agenda.

Erstens verstößt das Ausnutzen von Objekten normalerweise gegen die Serverbedingungen einer Site. Wenn dies nicht der Fall ist, ist es illegal, dieses Wissen zum Ausnutzen eines anderen Servers zu verwenden, es sei denn, dies wird ausdrücklich zugelassen.