Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Hackowanie hackujących będzie legalne w USA?
Ktoś włamuje się do Twojego domu podczas Twojej obecności. Nie będziesz się grzecznie uśmiechał i czekał aż dom będzie obrabowany – „bo nie można nic zrobić chronionemu prawnie napastnikowi”.
Oczywiście to absurd i na taką sytuację zwraca m.in. propozycja wprowadzenia do prawa USA możliwości aktywnej obrony przed cyberatakami (roboczo: Active Cyber Defense Certainty Act).
Oczywiście pojawia się tu dużo problemów – co jeśli atak jest sfałszowany (np. IP spoofing), albo atakujący jest na terenie innego kraju? Albo jest na terenie USA tylko proksuje się przez inny kraj? Jakie były ramy takiej „dozwolonej obrony” ?
Co o tym myślicie?
–ms
Trudno użyć IP spoofing do znalezienia się w kategorii spełniającej warunek „source of the persistent unauthorized intrusion into the victim’s computer”.
Umiejscowienie napastnika za granicą niczego nie zmieni, bo atakujący działający w samoobronie będzie na terenie USA i obowiązuje go prawo USA. Teoretycznie kraj napastnika może się zezłościć, ale w przypadku Stanów Zjednoczonych tę złość może wyładować co najwyżej tupiąc nogą.
Ważniejsze jest to, co wskazano w linkowanym artykule, czyli botnet. Ale tutaj sytuację widzę trochę tak, jak w przypadku posłużenia się kradzionym samochodem w celu rozjechania ciebie. Masz unikać uszkodzenia samochodu, kierujący którym aktywnie próbuje cię rozjechać, bo nie jest on jego właścicielem? W tym konkretnym przypadku atak na przejęty komputer
z jednej strony jest przysługą wobec jego właściciela, z drugiej… ten właściciel zwykle stał się ofiarą ataku w wyniku własnej ignorancji i/lub lenistwa. Zauważcie, że projekt ustawy wyraźnie używa słowa „persistent” — czyli to nie jest rzecz o ofierze 0-daya, która po prostu miała pecha.
Z tym IP spoofingiem to ja wiem? Tu masz np. coś bazującego na UDP, którego spoofowanie (w sensie adresu IP) jest banalnie proste: https://sekurak.pl/cisco-asa-zdalne-nieuwierzytelnione-wykonanie-kodu-na-urzadzeniu-poprzez-dziure-w-obsludze-ipsec/
Nadal nie ma tutaj mowy o „source of the persistent unauthorized intrusion”. To są pojedyncze pakiety. Dla mnie wszelkie wątpiwości dotyczące tej kwestii rozwiązuje właśnie sposób sformułowania tego zdania w ustawie. Oczywiście nie przeczę przy tym, że mogą istnieć jakieś marginalne przypadki, w których to zawiedzie (taka już natura prawa, że zawsze da się znaleźć dziurę). Ale nie całe połacie takich przypadków.
Wiesz, pojedynczy pakiet dostaje roota, a później pojedyncze pakiety komunikują się z C2 ;-)
Myślę, że porównanie jest mało sensowne, głównie przez przytoczone właśnie przez was argumenty. Prawo pozwalające atakować włamujących się będzie złe, ale wejdzie. Bruce Schneier wspomniał o tym problemie jakiś czas temu: https://www.schneier.com/blog/archives/2017/02/hacking_back.html
Skąd wiesz że będzie złe? Jak nawet jeszcze nie weszło? ;)
W USA ogólnie też mają większe poszanowanie do własności niż w EU. Typu w niektórych stanach sytuacja jak dostaniesz z dwururki bo wtargnąłeś na czyjąś posesję nie budzi jakiegoś wielkiego zdziwienia (nie oceniam czy to dobrze czy źle).
Pytanie tylko, czy atak na włamywacza w jego domu jest uzasadniony.
http://www.ted.com/talks/caleb_barlow_where_is_cybercrime_really_coming_from?language=pl#t-651745