联邦政府为入侵物联网设备提供了法律漏洞

联邦监管机构批准了现有版权法的豁免权,允许独立研究人员侵入大多数物联网设备的软件。但这有严格的限制,而且豁免期限只有两年

贡献的作家,方案 |

吉尔勒莫费尔南德斯

对于安全研究人员来说,这是一个特别快乐的感恩节,多亏了他们所说的《数字千年版权法案》(DMCA)的长期豁免

这些豁免于10月28日生效,提供了一个为期两年的窗口期,允许“有诚意”的研究人员侵入控制大多数消费者和商业物联网设备的软件“智能”家庭智能手机、汽车、医疗设备、投票机等等,而且没有违反版权法。

它保护研究人员免受根据DCMA 1201条款可能施加的惩罚,该条款禁止在未经制造商和版权所有者同意的情况下解锁软件。

不过,两年后他们和政府监管机构究竟会有多高兴,还有待观察。现在似乎不是物联网软件的开放季节。

豁免中也有一些例外——它们不包括关键基础设施、飞机和主要医院设备等——而且它们都有严格的限制。其中包括:

  • 有关研究只可作保安或维修用途;
  • 被调查产品必须是合法取得的;
  • 这项研究必须在一个安全的环境中进行,这样用来攻击或破坏产品的技术才不会被释放到野外;
  • 这项研究不能违反其他法律。

在电子自由基金会(EFF)看来,两年的窗口期相当于一个面包的三分之二。在豁免生效当天的一篇博客文章中,EFF的律师Kit Walsh指出,如果不是美国版权局和国会图书管理员,他们本可以提前一年开始并持续三年。“非法地、毫无意义地拖延了它们的实施。”

她写道,延迟是因为反对者声称,即使是暂时取消限制,也会导致“大量非法和不受欢迎的行为,从汽车盗窃、间谍活动,到违反安全规定和破坏环境。”

沃尔什辩称,这些投诉不可信,甚至不在图书管理员或版权局负责人的权限之内。她写道:“推迟一年不仅违反了法律,不仅毫无意义,而且适得其反。”

kitwalsh

装备沃尔什他是电子自由基金会的律师

虽然她没有提到这些官员的名字,但她指出,他们最近都已经“离开”了。最近的一位国会图书馆代理馆员是大卫·s·毛(David S. Mao),他在刚刚过去的9月14日新馆员卡拉·海登(Carla Hayden)上任时离职。原版权登记人是玛丽亚·帕兰特(Maria Pallante),她于10月21日离职。

尽管有延迟和限制,但乐观的看法是,这两年的窗口期将有利于所有相关方——研究人员、开发商、制造商,尤其是消费者。

Rapid7的产品开发总监Harley Geiger说,对产品进行更多的安全测试,“在理想情况下,将促进研究人员和供应商之间的合作,最终保护个人和商业用户。”

Cybereason首席产品官萨姆•柯里(Sam Curry)表示,在涉及这一问题时,豁免措施尤其重要——而且早就应该豁免了汽车安全

他说:“安全的基本原则之一是,秘密的方法不起作用。”“从安全角度看,我们所做的机制越公开和透明,就越好。”

samcurry

山姆咖喱他是Cybereason的首席产品官

与现代汽车已经成为一个大型复杂的连接组装的电脑和网络和协议极其迅速,具有潜在的巨大影响和潜在的危害,“咖喱认为需要,”一个社区的专家在默认情况下将会有更多的人,更多的深度比任何单个公司能给熊,“找到并修复软件缺陷和漏洞,可能会威胁到司机的人身安全以及方便。

他说,汽车制造商应该鼓励而不是试图阻止这类研究。微软吸取了这个教训。甲骨文吸取了这个教训。EMC吸取了这一教训。为什么不是福特、宝马和丰田呢?”他问道。

沃尔什虽然没有为推迟实施找到任何借口,但她告诉CSO,新的豁免最积极的一点是,就汽车而言,它们既包括对软件安全漏洞的研究,也包括“诊断、修复或合法修改”。

她补充说,这并不意味着研究人员可以对汽车软件进行修改,然后在公开市场上销售。“豁免权不允许任何技术的‘贩运’,”她说。“他们不允许共享绕过访问控制的安全研究工具,也不允许共享越狱工具进行改装。”

但是,她说,车主现在能够调整他们的汽车的元素,例如,使他们能够有效地运行在极端气候下,如阿拉斯加北部。

[关于CSO:安全和物联网——我们在重复历史吗?]

为了使豁免生效——而且有可能成为永久性的——专家们同意,研究人员和开发者/制造商一方的人员必须进行合作。

如果研究人员实际上是在和制造商玩“捉人游戏”,在没有给制造商时间去纠正它们的情况下公开缺陷,这显然会引起反对继续豁免的声音。

盖格说,他相信大多数研究人员会出于善意行事,但他也同意,“总是会有异常值。”我们鼓励安全研究界作为一个整体,以最好的方式来表现自己,部分原因是不负责任的行为可能引发反弹。

harleygeiger

哈雷盖革,产品开发总监

盖格表示,他的公司的政策是,首先通知供应商存在漏洞,然后在15天之后通知美国CERT(计算机应急准备小组),再过45天之后才将其公开。

库里说,即使有少数流氓,对物联网行业的整体利益,特别是汽车制造商,将是积极的。他说:“汽车公司应该抓住这个机会,提高安全性和实用性。”“他们的知识产权不会受到安全研究人员的威胁。从事知识产权盗窃逆向工程的人已经准备这么做了,而他们不是安全研究人员。”

沃尔什说,无论未来两年的结果如何,EFF都准备为保持豁免权而斗争。她表示,1201条款的“规则制定”周期为三年,因此下一次审议将在2017年至2018年进行,最终规则将在最后发布。

她说:“现有的豁免权不会被续期。”“支持者必须为它们而战,并重新证明每个周期的必要性。”

盖格说,他希望这项豁免将成为永久性的。即使有一些滥用,“我们不认为版权法下的广泛的规避禁令是约束可疑行为的正确机制,”他说。

这篇文章,“联邦政府提供法律漏洞入侵物联网设备”最初发表于方案

加入网络世界社区足球竞猜app软件脸谱网LinkedIn对最重要的话题发表评论。
相关:

版权©2016足球竞彩网下载

工资调查:结果在