На прошлой неделе Министерство юстиции США объявило, что больше не будет преследовать и предъявлять обвинения так называемым этичным, или «белым», хакерам. Так называют хакеров, которые без злого умысла ищут уязвимости в системах безопасности различных компаний и организаций. Этим решением Минюст, по сути, разъясняет, как применять на практике Закон о компьютерном мошенничестве и злоупотреблениях.
Принятый в 1986 году закон, по мнению его критиков, чрезмерно расширял полномочия федеральных властей в том, что касалось преследования любых случаев «неавторизованного доступа» в компьютерную систему, не дифференцируя причины такого рода действий. Теперь эта ситуация меняется кардинально.
«Новые принципы впервые провозглашают, что за проверку безопасности без злого умысла не должно предъявляться обвинение», — говорится в заявлении министерства, в котором объясняются и критерии оценки «проверок безопасности без злого умысла». Это «получение доступа к компьютерным системам исключительно из добросовестных соображений тестирования, изучения и/или исправления пробелов в безопасности или уязвимостей, если такая деятельность осуществляется так, чтобы избежать какого-либо ущерба частным лицам или обществу, и если информация, полученная в результате этого, используется в первую очередь для улучшения безопасности того вида устройств, машин или онлайн-сервисов, к которому принадлежит этот компьютер».
Долгожданная амнистия для «белых» хакеров имеет одну важную оговорку.
Рекомендации Минюста не распространяются на частные компании и правоохранительные органы штатов.
Первые продолжат своим правом преследовать «белых» хакеров в суде, вторые — бороться с ними, используя законодательство своего штата. Однако именно федеральное преследование представляет для «белых» хакеров наибольшую опасность в том, что касается потенциальных штрафов и тюремных сроков. Кроме того, местные власти обычно следуют в делах такого рода за федеральными практиками, поэтому число дел, скорее всего, снизится. Эксперты считают нововведение очень важным, потому что самый простой способ найти уязвимости и другие проблемы с безопасностью — думать и действовать как хакер, то есть попытаться взломать систему.
Как преследовали и защищали «белых» хакеров
Еще одно важное следствие рекомендаций Министерства юстиции заключается в том, что закон 1986 года более не сможет использоваться компаниями для того, чтобы скрыть собственные проблемы, выявленные «белыми» хакерами. А таких случаев было много. Один из типичных — история технологической компании Blackboard, сотрудничающей со многими образовательными учреждениями. В 2003 году она добилась судебного запрета на обсуждение уязвимостей в ее системе. Выявлены они были двумя студентами, взломавшими ее систему безопасности, что позволяло бесплатно пользоваться прачечной кампуса, бесплатно брать напитки в автоматах и т. д. Вместо того чтобы нажиться на собственном открытии, они опубликовали статью об этой уязвимости в хакерском журнале «2600» — и через некоторое время Blackboard обратилась в суд.
Еще более вопиющим примером корпоративного использования федерального закона о хакерстве стала история сотрудника почтового сервиса Tornado Development Брета Макданела. В 2000 году он обнаружил в системе серьезную уязвимость, позволявшую злоумышленникам читать письма пользователей сервиса, и обратил на нее внимание руководства компании. Его предупреждение проигнорировали, а уязвимость устранена не была. Тогда господин Макданел разослал более чем 5 тыс. клиентов Tornado Development письмо, в котором рассказал им об этой уязвимости. Компания подала на него в суд. Господин Макданел был приговорен к 16 месяцам тюрьмы в соответствии с тем самым законом 1986 года — и отсидел этот срок. Тем не менее он не переставал подавать апелляции, считая приговор несправедливым. И неожиданно получил поддержку со стороны федеральной прокуратуры Лос-Анджелеса. По ее мнению, при вынесении приговора закон был прочитан «ошибочно» и, кроме того, «простое раскрытие факта уязвимости» не является вредоносным. Прокуратура внесла в суд предложение о снятии судимости с господина Макданела, которое и было принято. Считается, что это был первый случай, когда власти вступились за «белого» хакера. Но, разумеется, не последний.
В 2019 году в ФБР обратилась компания Voatz — разработчик приложения для выборов (при его помощи голосовали военнослужащие и граждане США, находящиеся за рубежом). В 2018 году оно было использовано в тестовом режиме во время выборов в Палату представителей в Западной Виргинии. Тогда приложение попытались взломать. Случился скандал. К расследованию были подключены специалисты Федерального бюро расследований. Они и выяснили, что попытка взлома системы была предпринята студентами Мичиганского университета, изучавшими компьютерную безопасность и пытавшимися выяснить, возможно ли в принципе взломать Voatz и поменять данные о поданных голосах. ФБР отказалось предъявлять обвинение студентам.
А в прошлом году действия газеты St. Louis Post-Dispatch не понравились губернатору штата Миссури Майку Парсону, обвинившему ее в нарушении законов о борьбе с хакерством и потребовавшему расследовать ее действия. А все из-за того, что газета провела собственное расследование безопасности баз данных управления начального и среднего образования штата. Оказалось, что злоумышленники могут легко украсть личные данные 100 тыс. учителей и других сотрудников местных школ. Газета сообщила об этом властям, дав им время на исправление уязвимости, и только после этого опубликовала свой материал. И в этом случае федеральные власти воздержались от участия в преследовании газеты, сочтя ее действия типичным «белым» хакерством.
«Белые» хакеры как «иммунная система интернета»
Впрочем, «белых» хакеров не только преследуют. Очень многие компании и организации стремятся привлечь их на свою сторону и даже нанимают их для поиска уязвимостей. Так, за 12 месяцев к августу 2020 года Microsoft, по собственным данным компании, заплатила таким хакерам $13,7 млн за их услуги по выявлению проблем.
Проводятся и разные соревнования для «честных» хакеров. Хакерские слеты и соревнования проходят при поддержке ведущих технологических компаний мира.
Так, соревнование хакеров Pwn2Own Vancouver 2022 спонсировали Microsoft, Zoom и другие технологические компании, а его победители получили в общей сложности $800 тыс. Есть и компании, которые специализируются на поиске уязвимостей, например Bugcrowd и HackerOne — такие платформы, по сути, связывают технологические корпорации с этичными хакерами.
Власти тоже пытались изменить отношение к «белым» хакерам. В 2020 году Агентство по информационной безопасности и безопасности инфраструктуры США (CISA) выпустило распоряжение, в котором рекомендовало правительственным учреждениям не преследовать этичных хакеров, а, наоборот, облегчать им работу. В прошлом году CISA даже запустило собственную платформу для сотрудничества с этичными хакерами. Однако до нынешнего разъяснения от Минюста риски для хакеров оставались высокими.
«Уже больше десяти лет лидеры отрасли кибербезопасности признают важную роль хакеров как иммунной системы интернета. Мы с восторгом приветствуем Министерство юстиции за то, что оно закрепило то, что мы уже давно знаем: проверки безопасности без злого умысла — не преступление», — прокомментировал решение основатель HackerOne Алекс Райс.
По мнению Эндрю Крокера, юриста из некоммерческой правозащитной организации Electronic Frontier Foundation, многие уязвимости не были найдены именно из-за преследования этичных хакеров. Тем не менее, по его мнению, нововведение Министерства юстиции не решает проблему полностью. Во-первых, у компаний и штатов сохраняются другие, пусть и менее эффективные, способы их преследования. Во-вторых, по его мнению, чрезмерная размытость формулировок сохраняется и может в некоторых случаях играть против «белых» хакеров.