Klagen bedrohen die Informationssicherheitsforschung – genau dann, wenn wir sie am meisten brauchen

NEW YORK, NY – Dieses Jahr werden zwei Sicherheitsreporter und ein Forscher vor Gericht um ihr Berufsleben kämpfen.

Steve Ragan, leitender Redakteur bei der Tech-News-Site CSO, und Dan Goodin, Sicherheitsredakteur bei Ars Technica, wurden letztes Jahr in zwei getrennten Klagen als Angeklagte benannt. Die Fälle sind unterschiedlich, aber sie haben ein gemeinsames Thema: Sie werden von den Unternehmen verklagt, die in den von ihnen verfassten Artikeln behandelt werden.

Obwohl Klagen gegen Reporter, insbesondere im Sicherheitsbereich, selten sind, stellen rechtliche Drohungen ein Berufsrisiko dar Journalisten sind sich dessen nur allzu bewusst – von Unternehmen, die drohen, einen Redakteur anzurufen, um eine Korrektur zu fordern – andernfalls – bis hin zu einer vollständigen Meldung Klage.

Aber die unvermeidlichen Folgen seien eine „abschreckende Wirkung“. White-Hat-Hacker und Sicherheitsforscher zögern, Technologieunternehmen Schwachstellen und Schwächen zu melden, aus Angst vor rechtlichen Konsequenzen Vergeltung.

Da nationalstaatliche Angreifer fast täglich Wahlen und wichtige nationale Sicherheitsinfrastrukturen angreifen, ist Sicherheitsforschung mehr denn je erforderlich.

Der jüngste Akt rechtlicher Aggression geht von Keeper Security aus, der Klage eingereicht hat eine zivilrechtliche Verleumdungsklage im Dezember gegen Goodin wegen angeblicher „falscher und irreführender Aussagen“ über die Flaggschiff-Passwort-Manager-Software des Sicherheitsunternehmens. Laut Angaben des Unternehmens enthielt die Software eine Schwachstelle, die es „jeder Website ermöglichte, jedes beliebige Passwort zu stehlen“. an Tavis Ormandy, einen Sicherheitsforscher bei Googles Project Zero, der ursprünglich den Fehlerbericht eingereicht und Keeper darüber informiert hat Mangel. Ormandy sagte, der Käfer stelle die gleiche Bedrohung dar wie einer er berichtete etwa 16 Monate zuvor und veröffentlichte Einzelheiten seines Berichts erst, nachdem Keeper den Fehler behoben hatte.

Goodin war einer der ersten, der über die Geschichte berichtete. Nach der Veröffentlichung seine Geschichte wurde überarbeitet um klarzustellen, dass der Fehler nur die Browsererweiterung des Unternehmens betraf – die standardmäßig mit der herunterladbaren App gebündelt ist – und nicht die App selbst.

Aber Keeper bestritt diese besonderen Behauptungen in seiner Beschwerde, eingereicht wenige Tage nach der Veröffentlichung von Goodins Artikel.

Als Goodins Anwälte auf die Beschwerde reagierten früher in diesem MonatSie argumentierten, dass der Artikel „im Wesentlichen wahr“ sei, da in dem Artikel festgestellt wurde, dass das Unternehmen „eine Sicherheitslücke“ habe dass es behoben werden musste“, und es handelte sich um „die gleiche (oder praktisch identische) Art von Fehler“ wie der Fehler, den Ormandy vor 16 Monaten entdeckte früher.

Goodins Anwälte beantragten beim Gericht die Abweisung der Klage mit der Begründung, dass sie „genau die Art von technischer Haarspalterei darstellt, die sich die Gerichte bei der Beurteilung wesentlicher Wahrheiten nicht erlauben“.

Glücklicherweise fehlte auf der Liste der Beklagten der Klage Ormandy, der als Erster die Behauptungen vorbrachte, die Goodin in seinem ursprünglichen Fehlerbericht wiederholte.

Chris Vickery, ein bekannter Sicherheitsforscher und Jäger von DatenschutzverletzungenEr hatte nicht so viel Glück.

Er wurde auch nebenbei genannt CSO's Ragan in einer separaten Verleumdungsklage.

Letztes Jahr wandte sich Vickery mit einer Geschichte an Ragan: Ein wenig bekanntes Unternehmen, River City Media (RCM), hat seine Server online gelassen ohne Passwort geöffnet und offengelegt, was einen „massiven, illegalen Spam-Vorgang“ aufdeckt. Vickery arbeitete mit Ragan zusammen, einem hoch angesehenen erfahrenen Sicherheitsreporter. übermittelte die Daten an Spamhaus, eine Spam-Intelligence-Organisation, die „zu dem Schluss kam, dass RCM bei einigen ihrer Aktivitäten illegale IP-Hijacking-Techniken eingesetzt hat.“ Kampagnen.“

Es war eine gewaltige Geschichte. Was jedoch nicht allgemein bekannt ist, ist, dass RCM nur zwei Wochen später stattfand eine Zivilklage eingereicht sowohl gegen Ragan als auch gegen seinen Arbeitgeber IDG, der Eigentümer ist CSOsowie Vickery und sein damaliger Arbeitgeber Kromtech nannten Vickery einen „selbstbewussten Black-Hat-Hacker“.

Die Fälle sind noch anhängig. Sowohl Keeper als auch RCM fordern im Falle eines Sieges Schadensersatz.

Vickery, jetzt Leiter der Cyber-Risikoforschung bei UpGuard, verteidigte seine Arbeit und sagte: ZDNet In ein Interview Einige Wochen später sagte RCM: „Ich bin mir sicher, dass sie viele Dinge erfunden haben, die sie nicht beweisen können.“

Auf die Frage, ob es negative Auswirkungen auf die Veröffentlichung von Sicherheitsforschung hätte, wenn die Klage erfolgreich sei, sagte Vickery: „Wenn sie es schaffen und …“ Ereignisse fabrizieren und eine Jury dazu bringen, ihnen zu glauben – nun, das wird eine weitaus größere Wirkung haben, als Forscher abzuschrecken und Datenschutzverletzungen zu verursachen Berichterstattung."

Diese „abschreckende Wirkung“ wurde von Goodins Anwälten in ihrem Antrag auf Abweisung seines Falles ausdrücklich erwähnt.

„Die Technologiegemeinschaft ist bei der Überwachung solcher Schwachstellen wachsam und lässt zu, dass dieser Fall eingestellt wird.“ „Die Zukunft würde eine zutiefst abschreckende Wirkung auf die Cybersicherheitsforschung und -berichterstattung im Allgemeinen haben“, sagte er Anwälte sagten.

Mit anderen Worten: Hacker und Sicherheitsforscher auf der rechten Seite des Gesetzes neigen eher zur Selbstzensur, wenn sie glauben, dass sie verklagt werden könnten, oder wenn andere erfolgreich verklagt werden – weil sie ihre Arbeit getan haben.

Allein im letzten Jahr haben mehrere Sicherheitsforscher aufgedeckt, dass sie Ziel rechtlicher Drohungen waren.

PwC gesendet Unterlassungserklärungen an einen Forscher, der einen kritischen Fehler in einem seiner Sicherheitsprodukte entdeckte. Ein leitender Angestellter der gehackten Dating-Seite Ashley Madison drohte damit, einen Reporter zu verklagen Veröffentlichung geleakter E-Mails das behauptete, das Unternehmen habe Konkurrenten gehackt. Ein Sicherheitsforscher reichte über das Bug-Bounty-Programm des Drohnenherstellers DJI einen Bericht über einen Fehler ein, der seine Verschlüsselungsschlüssel online offenlegte, aber stattdessen das Unternehmen drohte mit Klage unter US-Hacking-Gesetzen. Und ein Hersteller intelligenter Schlösser drohte damit, einen IOActive-Sicherheitsforscher wegen Verstoßes gegen die Gesetze zum Schutz des geistigen Eigentums zu verklagen, weil er einen schwerwiegenden Fehler in einem seiner Flaggschiffprodukte gefunden hatte.

Dies stellt nur einen Bruchteil der Fälle dar, in denen rechtliche Bedrohungen aus Sicherheitsforschung resultierten.

Doch in manchen Fällen haben sich Forscher aus Angst vor rechtlichen Konsequenzen dafür entschieden, ihre Arbeit lieber selbst zu zensieren als zu veröffentlichen. Im letzten Jahr, ZDNet veröffentlichte drei Sicherheitsmeldungen nicht, nachdem die Forscher ihre Arbeit aus Angst vor rechtlichen Bedrohungen aufgegeben hatten.

Wir wollten sehen, wie die Sicherheitslandschaft heute aussieht. Wir haben letzte Woche mit elf White-Hat-Hackern und Sicherheitsforschern gesprochen. Nicht eine Person gab an, dass sie keine Bedenken wegen drohender Klagen oder rechtlicher Schritte habe.

„Ich denke, dass diese Sorge mit dem Territorium der Sicherheitsforschung einhergeht“, sagte er Will Strafach, ein Sicherheitsforscher mit Schwerpunkt auf mobiler Sicherheit, der in den letzten Jahren Dutzende Schwachstellen aufgedeckt hat.

Emily Crose, ein ehemaliger NSA-Hacker, sagte, es gebe eine „Verzögerung“ zwischen dem Gesetz und der Technologie.

„Wir haben großartige Leute, die auf diesem Gebiet arbeiten, um das Gesetz mitzugestalten, aber ja, es ist für viele von uns immer noch ein tückisches Thema“, sagte Crose.

„Technologie verändert die Art und Weise, wie wir unser Leben leben, grundlegend und es werden neue Türen geöffnet, die die Hürde für den Zugang zu Arbeiten wie der Infosec-Forschung senken“, sagte sie. „Wenn man das mit Dingen wie dem Recht des geistigen Eigentums kombiniert, kommt man in eine Situation, in der viele Leute, die seriöse Forschung betreiben, in einer Art rechtlicher Grauzone landen.“

Sie sagte jedoch, dass die Legalitätslücke zwischen dem, was als rechtmäßig gilt und dem, was nicht, „immer größer“ werde, und dass sie dies auch tun werde Sie müsse „viele Faktoren“ abwägen, ob sie ein Projekt annehmen würde, wenn möglicherweise rechtliche Risiken drohen Aktion.

„Es ist alles eine Berechnung, weißt du?“ Sie sagte.

Einige haben sich aktiv aus dem Bereich der Offenlegung von Sicherheitslücken zurückgezogen und sind völlig erschöpft vom Druck möglicher Klagen in andere Bereiche der Informationssicherheit übergegangen.

Sarah Jamie Lewis, eine Anonymitäts- und Datenschutzforscherin, sagte, sie sei „ziemlich ständig“ besorgt über rechtliche Bedrohungen und habe die Fehlersuche zugunsten der Entwicklung neuer Technologien eingestellt.

„Ich war dieses Jahr viel konservativer“, sagte sie mit Blick auf ihr Arbeitspensum. „Ich habe kein weiteres Projekt übernommen, bei dem es um die Suche nach Schwachstellen in Produkten geht, weil mir der Gedanke an weitere rechtliche Bedrohungen nicht gefällt.“

„Die Hauptausrichtung, in die ich meine Forschung jetzt einschlage, ist konstruktiv – Projekte aufbauen und Zuschüsse zur Finanzierung neuer Technologien beantragen, anstatt bestehende Systeme zu reparieren, weil sie existieren.“ „Systeme sind oft mit Unternehmensgepäck verbunden und der Versuch, Schwachstellen zu melden und mit diesen Systemen zu arbeiten – es geht nicht nur um das rechtliche Risiko, sondern auch um den erforderlichen Aufwand“, sagt sie sagte.

„Rechtliche Schritte sind eines der Dinge, bei denen es sich einfach nicht mehr lohnt“, sagte sie.

Sicherheitsforscher BlackRoomSec sagte, sie würde ihre Forschung „zurückhalten“, weil sie sich weigere, „die Arbeit zu erledigen und mich dann vor Gericht verteidigen zu müssen“.

„Ich würde es auch vorziehen, wenn Unternehmen die Verantwortung für ihr Handeln übernehmen und nicht versuchen, es zu verbergen“, nannte sie dies Equifax Und Uber als aktuelle Beispiele. „Es ist lächerlich, nachträglich die Schuld auf Außenstehende zu schieben, obwohl ihre eigenen Mitarbeiter dafür verantwortlich waren, Benutzerdaten nicht ordnungsgemäß zu bereinigen oder ihre Produkte nicht ordnungsgemäß zu sichern.“

„Ich habe das Gefühl, dass wir noch einen Schritt weiter gehen, um Unternehmen dabei zu helfen, Fehler zu finden, die während des Programms nicht gefunden wurden „Es ist unfair, sich umzudrehen und uns mit rechtlichen Schritten zu drohen“, sagte sie hinzugefügt.

Aber sie sagte, sie würde eine schwerwiegende Sicherheitslücke melden – selbst wenn das bedeuten würde, dass sie sich einer Klage stellen müsste.

„Ich müsste mich mit den Folgen auseinandersetzen“, sagte sie unverblümt.

Daniel Gallagher macht sich auch Sorgen wegen rechtlicher Bedrohungen. Er sagte, dass kleinere Unternehmen ohne dedizierte Sicherheitsressourcen oft „defensiv“ reagieren könnten.

Gallagher macht sich mit der Analyse von Malware einen Namen. Er hat mit mehreren anderen prominenten Sicherheitsforschern zusammengearbeitet, um Botnets und Malware-Infektionen zu bekämpfen, und er hat ein Repertoire an Kontakten zur Strafverfolgung aufgebaut, die für seine Arbeit bürgen können. Am meisten Sorgen bereitet ihm jedoch die Privatwirtschaft.

„Die Erfahrung der Vergangenheit hat gezeigt, dass es aus heiterem Himmel möglich ist, sich an ein kleines Unternehmen zu wenden, das wahrscheinlich keine Person im Bereich Informationssicherheit auf der Gehaltsliste hat Dies führt dazu, dass sie defensiv werden.“ In solchen Fällen, sagte er, entscheide er sich dafür, die zuständige Strafverfolgungsbehörde zu alarmieren, „das Problem liegt also nicht vor.“ ignoriert."

Ein unabhängiger Forscher, der nicht namentlich genannt werden wollte, sagte, dass sie „Details eines Fehlers einfach anonym online veröffentlichen würden“.

„Das passiert ziemlich oft“, sagte er enttäuscht. „Ich habe mehrere Schwachstellen gemeldet und wurde per E-Mail bedroht“, sagte er. Solche Erfahrungen führten dazu, dass er auf „ungünstigere Wege der Offenlegung“ zurückgriff, „aus Angst, das Unternehmen könnte verklagen, wenn es eine schwierige Vergangenheit mit Leuten hatte oder hatte, die versuchten, mit ihnen in Kontakt zu treten.“

Ein anderer ehemaliger unabhängiger Forscher berichtete von zwei Fällen, in denen er in seiner frühen Karriere Sicherheitsforschung betrieben hatte – beides erregte juristische Aufmerksamkeit.

„Die meisten Fälle lösen sich ohne ernste Folgen, wenn man erst einmal erklärt, wer man ist und warum man tut, was man tut“, sagte er. „In manchen Fällen geht es ja bis zu einer Klage und der Ausgang hängt größtenteils vom Land und dem politischen Einfluss des Ziels ab.“

Er sagte, er habe es „nie wegen des Geldes getan“, aber er sei jetzt dankbar, dass es Bug-Bounty-Programme gebe, die eine klarere „Unterscheidung zwischen einer Sicherheitsverletzung und einem kostenlosen Pentest“ ermöglichen.

Obwohl die Zahl der Hobby-Hacker und unabhängigen Forscher wohl zunimmt, haben viele, die für größere Sicherheitsunternehmen arbeiten, einen internen Anwalt, der ihre Arbeit unterstützt.

Aber Amit Serper, Hauptsicherheitsforscher bei Cybereason und Jake Williams, Gründer von Rendition Infosec, sagt, dass die Risiken auch für sie immer noch bestehen.

„Solange ich dort arbeite, habe ich die Rechtsabteilung auf meiner Seite“, sagte Serper. Nur zwei Monate zuvor erhielt er mehrere Unterlassungsschreiben von TargetingEdge ein Versuch, ihn daran zu hindern aus der Veröffentlichung von Forschungsergebnissen zu Adware, die vom Unternehmen entwickelt wurde.

„Wir haben uns trotzdem für die Veröffentlichung entschieden, weil wir die zwielichtigen Adware-Firmen und ihre Bedrohungen satt haben“, sagte er erzählt ZDNet zu der Zeit.

Jake Williams leitet sein eigenes Cybersicherheitsunternehmen und wird dafür bezahlt, Penetrationstests durchzuführen und reale Angriffe zu emulieren, um die Netzwerkverteidigung für Unternehmenskunden zu testen. Als wir uns unterhielten, sagte er, dass sein Unternehmen „im Laufe der Jahre mehrfach mit rechtlichen Drohungen von Anbietern konfrontiert“ worden sei.

„Wir betrachten tatsächliche Klagen auf jeden Fall als Bedrohung und berücksichtigen dies in unserer Arbeit“, sagte er.

„In den meisten Fällen sind meine Kunden Eigentümer der Schwachstellen, die wir in ihren Produkten entdecken“, erklärte er. „Aber in den wenigen Fällen, in denen wir sie besitzen, achten wir sehr darauf, wie wir sie offenlegen, insbesondere angesichts von Klagen wie dem von Keeper.“

Leigh Honeywell, Eine Technologie-Stipendiatin bei der American Civil Liberties Union sagte, auch sie befürchte eine abschreckende Wirkung im Zuge der jüngsten Klagen.

„Deshalb ist es so wichtig, darauf hinzuweisen, wie unverantwortlich, erbärmlich und amateurhaft Klagen wie die von Keeper sind, und das auch.“ Machen Sie die Führungskräfte, Mitarbeiter und Investoren von Unternehmen, die solche Tricks begehen, für ihren Unsinn zur Rechenschaft“, sagte sie sagte.

Angesichts des rechtlichen Risikos für Forscher ist es keine Überraschung, dass nur wenige öffentlich über die Bedrohungen sprechen wollten, denen sie ausgesetzt waren. Aber ein Forscher tat es – und sprach offen darüber, als er wegen Verleumdung aufgrund von Erkenntnissen aus seiner frühen Sicherheitsarbeit angeklagt wurde.

Johnny Xmas ist vielleicht am bekanntesten für Freigabe des Hauptschlüssels für Gepäckschlösser vor zwei Jahren von der Transportation Security Administration verwendet. In seinen frühen Tagen entdeckte er aufgrund seines Hobby-Hackings einen Fehler im Magnetstreifen, der in den Studentenausweisen seiner Universität gefunden wurde. Die Informationen jedes Studenten waren leicht zugänglich – einschließlich seiner Sozialversicherungsnummer – und alles, was er brauchte, war ein Studentenausweis, „den jeder einmal im Monat verlor“, sagte er.

„Ich dachte, ich würde jeden in der Schule auf die gleiche Weise über das Problem informieren, wie ich sie über die Auftritte meiner Band informiert habe: indem ich die Flure mit Flyern tapezierte“, erklärte er in einer E-Mail.

„Die Schule bekam natürlich Wind davon, überprüfte das Problem und versuchte, ihren Vertrag mit der ID zu kündigen.“ Das Unternehmen berief sich auf einen Verstoß gegen eine Klausel, in der das Unternehmen zugestimmt hatte, die personenbezogenen Daten zu sichern. er sagte.

Das Unternehmen, dessen Namen er nicht nannte, war „wütend über den Verlust eines großen Kunden“ und verklagte ihn direkt wegen Verleumdung – eine Behauptung, die er bestreitet, „da meine Behauptungen nachweislich wahr waren“, sagte er.

Auch Xmas wurde von seiner Schule verwiesen.

Später musste er sich außergerichtlich einigen, nachdem das Unternehmen, wie er es ausdrückte, „den Fall in die Länge gezogen hatte, bis mir die Mittel für die Bezahlung meines Rechtsbeistands ausgegangen waren“. Er bestritt, jemals eine Verleumdung begangen zu haben.

„Ich habe die Strafe erst mit Anfang 30 vollständig abbezahlt bekommen, was wahrscheinlich meine Chancen auf einen komfortablen Ruhestand ruiniert hat“, sagte er.

Xmas sagte, er könne seine Geschichte auf einer Hotelparty erzählen und es sei „garantiert, die übliche Schleife von Kriegsgeschichten in Gang zu setzen, die so lange dauern würde, bis die Sonne aufgeht.“

„So wie man sich vor 2010 nicht als ‚Hacker‘ bezeichnen konnte, es sei denn, man hatte ein polizeiliches Führungszeugnis, das dies beweisen konnte, kann man sich auch nicht als ‚Hacker‘ bezeichnen „Sicherheitsforscher“, ohne die mit dem Ozean des Unsinns verbundenen Anwaltskosten nachzuweisen, müssen Sie jetzt an Ihrem Anwalt vorbeilaufen“, sagte er erklärt.

Sicherheitsforscher machen ebenso wie Reporter die Mächtigen – Menschen, Unternehmen und Regierungen – für ihr Versagen verantwortlich, sei es vorsätzlich oder unabsichtlich.

Aber wenn sie das tun, wird ihnen eine Zielscheibe auf den Rücken gelegt.

„Der egoistische Teil von mir hat natürlich Angst davor, ins Gefängnis zu gehen oder erneut in Vergessenheit geraten zu lassen“, sagte er. „Aber dann ist der altruistische Teil von mir immer noch irgendwo da drin und schreit Spocks berühmten Satz: ‚Die Bedürfnisse der Vielen überwiegen die Bedürfnisse der Wenigen!‘“

„Es gibt etwas in uns, das uns dazu bringt, das zu tun, was wir für richtig halten, egal, was es kostet“, sagte er.

Der Trick, sagte er, bestehe darin, „immer daran zu denken, dass das, was ‚richtig‘ ist, immer subjektiv ist und die Kosten Ihre anfänglichen Schätzungen erheblich übersteigen können.“

Aber angesichts der drohenden Gerichtsverfahren könnte diese Vorstellung davon, was „richtig“ ist, bald von den Gerichten neu definiert werden. Im Moment können Reporter und Forscher nur zusehen, wie sich die Fälle ihrer Kollegen entwickeln.