В США решили облегчить работу так называемым этичным, или «белым» хакерам, которые взламывают системы безопасности исключительно для обнаружения уязвимостей и без злого умысла. Теперь они фактически освобождены от преследования на федеральном уровне. По мнению экспертов, эта мера давно назрела, поскольку деятельность «белых» важна для поддержания безопасности компьютерных систем на должном уровне. Правда, говорят эксперты, до окончательной легализации «белого» хакерства еще далеко.
Фото: Влад Некрасов, Коммерсантъ
Амнистия для хакеров
На прошлой неделе Министерство юстиции США объявило, что больше не будет преследовать и предъявлять обвинения так называемым этичным, или «белым», хакерам. Так называют хакеров, которые без злого умысла ищут уязвимости в системах безопасности различных компаний и организаций. Этим решением Минюст, по сути, разъясняет, как применять на практике Закон о компьютерном мошенничестве и злоупотреблениях.
Принятый в 1986 году закон, по мнению его критиков, чрезмерно расширял полномочия федеральных властей в том, что касалось преследования любых случаев «неавторизованного доступа» в компьютерную систему, не дифференцируя причины такого рода действий. Теперь эта ситуация меняется кардинально.
«Новые принципы впервые провозглашают, что за проверку безопасности без злого умысла не должно предъявляться обвинение»,— говорится в заявлении министерства, в котором объясняются и критерии оценки «проверок безопасности без злого умысла». Это «получение доступа к компьютерным системам исключительно из добросовестных соображений тестирования, изучения и/или исправления пробелов в безопасности или уязвимостей, если такая деятельность осуществляется так, чтобы избежать какого-либо ущерба частным лицам или обществу, и если информация, полученная в результате этого, используется в первую очередь для улучшения безопасности того вида устройств, машин или онлайн-сервисов, к которому принадлежит этот компьютер».
Долгожданная амнистия для «белых» хакеров имеет одну важную оговорку. Рекомендации Минюста не распространяются на частные компании и правоохранительные органы штатов.
Первые продолжат своим правом преследовать «белых» хакеров в суде, вторые — бороться с ними, используя законодательство своего штата. Однако именно федеральное преследование представляет для «белых» хакеров наибольшую опасность в том, что касается потенциальных штрафов и тюремных сроков. Кроме того, местные власти обычно следуют в делах такого рода за федеральными практиками, поэтому число дел, скорее всего, снизится. Эксперты считают нововведение очень важным, потому что самый простой способ найти уязвимости и другие проблемы с безопасностью — думать и действовать как хакер, то есть попытаться взломать систему.
Как преследовали и защищали «белых» хакеров
Еще одно важное следствие рекомендаций Министерства юстиции заключается в том, что закон 1986 года более не сможет использоваться компаниями для того, чтобы скрыть собственные проблемы, выявленные «белыми» хакерами. А таких случаев было много. Один из типичных — история технологической компании Blackboard, сотрудничающей со многими образовательными учреждениями. В 2003 году она добилась судебного запрета на обсуждение уязвимостей в ее системе. Выявлены они были двумя студентами, взломавшими ее систему безопасности, что позволяло бесплатно пользоваться прачечной кампуса, бесплатно брать напитки в автоматах и т. д. Вместо того чтобы нажиться на собственном открытии, они опубликовали статью об этой уязвимости в хакерском журнале «2600» — и через некоторое время Blackboard обратилась в суд.
Еще более вопиющим примером корпоративного использования федерального закона о хакерстве стала история сотрудника почтового сервиса Tornado Development Брета Макданела. В 2000 году он обнаружил в системе серьезную уязвимость, позволявшую злоумышленникам читать письма пользователей сервиса, и обратил на нее внимание руководства компании. Его предупреждение проигнорировали, а уязвимость устранена не была. Тогда господин Макданел разослал более чем 5 тыс. клиентов Tornado Development письмо, в котором рассказал им об этой уязвимости. Компания подала на него в суд. Господин Макданел был приговорен к 16 месяцам тюрьмы в соответствии с тем самым законом 1986 года — и отсидел этот срок. Тем не менее он не переставал подавать апелляции, считая приговор несправедливым. И неожиданно получил поддержку со стороны федеральной прокуратуры Лос-Анджелеса. По ее мнению, при вынесении приговора закон был прочитан «ошибочно» и, кроме того, «простое раскрытие факта уязвимости» не является вредоносным. Прокуратура внесла в суд предложение о снятии судимости с господина Макданела, которое и было принято. Считается, что это был первый случай, когда власти вступились за «белого» хакера. Но, разумеется, не последний.
В 2019 году в ФБР обратилась компания Voatz — разработчик приложения для выборов (при его помощи голосовали военнослужащие и граждане США, находящиеся за рубежом). В 2018 году оно было использовано в тестовом режиме во время выборов в Палату представителей в Западной Виргинии. Тогда приложение попытались взломать. Случился скандал. К расследованию были подключены специалисты Федерального бюро расследований. Они и выяснили, что попытка взлома системы была предпринята студентами Мичиганского университета, изучавшими компьютерную безопасность и пытавшимися выяснить, возможно ли в принципе взломать Voatz и поменять данные о поданных голосах. ФБР отказалось предъявлять обвинение студентам.
А в прошлом году действия газеты St. Louis Post-Dispatch не понравились губернатору штата Миссури Майку Парсону, обвинившему ее в нарушении законов о борьбе с хакерством и потребовавшему расследовать ее действия. А все из-за того, что газета провела собственное расследование безопасности баз данных управления начального и среднего образования штата. Оказалось, что злоумышленники могут легко украсть личные данные 100 тыс. учителей и других сотрудников местных школ. Газета сообщила об этом властям, дав им время на исправление уязвимости, и только после этого опубликовала свой материал. И в этом случае федеральные власти воздержались от участия в преследовании газеты, сочтя ее действия типичным «белым» хакерством.
«Белые» хакеры как «иммунная система интернета»
Впрочем, «белых» хакеров не только преследуют. Очень многие компании и организации стремятся привлечь их на свою сторону и даже нанимают их для поиска уязвимостей. Так, за 12 месяцев к августу 2020 года Microsoft, по собственным данным компании, заплатила таким хакерам $13,7 млн за их услуги по выявлению проблем.
Проводятся и разные соревнования для «честных» хакеров. Хакерские слеты и соревнования проходят при поддержке ведущих технологических компаний мира.
Так, соревнование хакеров Pwn2Own Vancouver 2022 спонсировали Microsoft, Zoom и другие технологические компании, а его победители получили в общей сложности $800 тыс. Есть и компании, которые специализируются на поиске уязвимостей, например Bugcrowd и HackerOne — такие платформы, по сути, связывают технологические корпорации с этичными хакерами.
Власти тоже пытались изменить отношение к «белым» хакерам. В 2020 году Агентство по информационной безопасности и безопасности инфраструктуры США (CISA) выпустило распоряжение, в котором рекомендовало правительственным учреждениям не преследовать этичных хакеров, а, наоборот, облегчать им работу. В прошлом году CISA даже запустило собственную платформу для сотрудничества с этичными хакерами. Однако до нынешнего разъяснения от Минюста риски для хакеров оставались высокими.
«Уже больше десяти лет лидеры отрасли кибербезопасности признают важную роль хакеров как иммунной системы интернета.
Мы с восторгом приветствуем Министерство юстиции за то, что оно закрепило то, что мы уже давно знаем: проверки безопасности без злого умысла — не преступление»,— прокомментировал решение основатель HackerOne Алекс Райс.
По мнению Эндрю Крокера, юриста из некоммерческой правозащитной организации Electronic Frontier Foundation, многие уязвимости не были найдены именно из-за преследования этичных хакеров. Тем не менее, по его мнению, нововведение Министерства юстиции не решает проблему полностью. Во-первых, у компаний и штатов сохраняются другие, пусть и менее эффективные, способы их преследования. Во-вторых, по его мнению, чрезмерная размытость формулировок сохраняется и может в некоторых случаях играть против «белых» хакеров.