gizmodo和特朗普团队一起钓鱼——他们会受到指控吗?

  • 栏目:技巧心得 时间:2018-06-17

本周早些时候,Gizmodo特别项目组发表了一份报告,介绍了他们是如何欺骗唐纳德·特朗普总统的政府和竞选团队成员的。gizmodo确定了特朗普团队中的15名重要人物,并向每个冒充朋友、家人或同事的人发送了包含伪造Google Docs链接的电子邮件。Gizmodo特别项目组执行编辑约翰·库克在与Ars的电子邮件对话中说:“

这是对一个政府官员的考验,这个政府的主席一直高度批评DNC的安全故障,以对抗黑客用来渗透网络的那种技术”。gizmodo瞄准了一些与特朗普政府有关的知名人士,包括纽特·金里奇、彼得·泰尔(现已卸任)联邦调查局局长詹姆斯·科米、联邦通信委员会主席阿吉特·派、白宫新闻秘书肖恩·斯派塞、总统顾问塞巴斯蒂安·戈尔卡以及政府的网络安全首席决策者。

测试似乎没有太大的证明。金里奇和科米对电子邮件的来源提出质疑作出了回应。虽然大约一半的目标官员可能点击了链接——8个设备 IP地址被记录下来访问链接的测试页面——但没有人输入他们的登录凭据。测试无法确定点击链接的设备。

测试所做的是引起安全专家和一些法律专家的注意。这是因为,尽管Gizmodo的网络钓鱼活动试图合理地表明这是一次测试,但它可能违反了几项法律,忽略了渗透测试和安全公司通常对类似测试施加的许多限制。Gizmodo至少在《计算机欺诈和滥用法案》( CFAA )的边缘起舞。

持有我的beerTo违反了CFAA,Gizmodo将不得不在未经授权或超过授权访问权限的情况下有意访问计算机,以便从受保护的计算机获取信息。 access (甚至 computer )的定义比大多数人通常在法律上对它们的看法要宽泛得多,所以可以想象,从计算机返回信息的任何东西——例如,在计算机的Web浏览器中运行脚本的网页——在某些情况下都可以被视为 access 。

Gizmodo采取了一些措施来遵守法律。库克说:「我们为这项计画设计的系统向受试者透露,这是Gizmodo媒体小组在每个阶段的测试。」链接到两者的电子邮件的初始电子邮件和登录页面都包含披露信息。我们设计了登录页面,这样,如果一个主题输入了任何凭据,就不会以任何方式查看、访问、拦截或保留密码。我们知道他们是否在密码字段中输入了任何字符,但不知道是哪些字符。在[测验中,没有被试输入任何证书。

测试本身由目标电子邮件组成,使用每个目标认识的人的姓名,但带有安全的返回电子邮件地址。test @ gizmodomedia . com . 我们从未未经授权访问任何服务器或数据,”库克断言。

但这些措施可能不足以保护Gizmodo免受执法调查或可能的起诉。具有执法背景的巴尔的摩律师Joshua Rosenblatt最近在巴尔的摩市BSides mallity市的一次会议上谈到了渗透测试的法律风险(在一次题为“我去钓鱼,我被指控了”的会议上)。他向Ars解释说,尽管Gizmodo可能没有违反CFAA的法律条文,但政府认为在这种情况下违反CFAA是合理的。罗森布拉特解释说,「这是邀请政府调查Gizmodo,这对Gizmodo的利益很难——不过[ ]政府可能也不会对调查媒体渠道的前景感到兴奋。罗森布拉特解释说:「Gizmodo测试是建立在希望政府高层官员会尝试交出他们的Google帐号认证的基础上。」如果Gizmodo成功了,情况就大不相同了。因为在当时,政府认为Gizmodo获得了一些非常敏感信息的钥匙——即使是非机密信息也可能影响安全。罗森布拉特说,虽然Gizmodo的测试只设置为注册试图登录测试的个人,但Gizmodo欺骗Google登录,“政府依赖那些欺骗政府高层官员的人的话是不合理的”,特别是当Gizmodo可能善意但错误的时候——事实证明,信息安全实际上比预期的要复杂得多。谁知道?

针对困扰罗森布拉特的网络钓鱼解释说t有许多关键问题需要问,以确定测试是否真的超出了CFAA的范围:

在 access 和获取信息方面:

他们是如何跟踪点击率的?个性化网站/超链接?种植饼干?PHP /其他脚本?在超权限上 :

电子邮件是如何发送的?网站指导?使用浏览器?他们有否违反服务条款?在某些司法管辖区,这可能是一个杀手。代表安德鲁·威夫·奥恩海默在CFAA起诉案中的马克·贾菲同意,政府可以利用这项测试作为调查和可能起诉的借口。贾菲说:「促使政府对奥恩海默提起诉讼的,只是吉兹莫多的前任所发表的电子邮件清单。」通常,政府会起诉CFAA案件因为结果不佳,行为不良,或者是咄咄逼人(通常是)的公司受害者,但他补充说,如果政府想变得有创意,它会这样做。不幸的是,我认为如果政府愿意的话,会去找媒体。Jaffe说,Gizmodo钓鱼项目的一些元素与我们所看到的CFAA的最广泛的解释是一致的。他解释说,在电子邮件标题中使用假名可能违反了电子邮件提供商的使用条款。( Gizmodo的电子邮件由Google托管。) 我们看到有人以违反服务条款为由提出起诉,指控[ ]擅自进入受保护的电脑。而以虚假名义向他人获取个人信息的情况,可以在CFAA下得到最广泛的解释。贾菲说,由于这种实验,他不认为应该受到刑事起诉,特别是因为似乎没有获得密码。但我认为,当检察官有积极性和创造性时,电脑上的任何欺骗性或不良行为都可能导致在模糊和过于宽泛的CFAA下进行调查。罗森布拉特说,他认为CFAA的指控不太可能,主要是因为Gizmodo的钓鱼实验没有进行太多。他说,根据他们的文章,Gizmodo是否会因违反CFAA而受到刑事指控尚不清楚。但这主要是因为他们的潜在危险似乎远不如他们预期或希望的那样有效。据他们说,没有人试图登录他们建立的假Google登录页面。所以很少有人声称获得了信息。

但是等等!除此之外,规避CFAA的法规并不意味着Gizmodo的测试是明确的。Jaffe和Rosenblatt提出的第二个问题是,CFAA只是联邦、州和地方各级可以实施的一系列法律之一。Jaffe指出,虽然他无法回忆起任何仅基于网络钓鱼的CFAA案例,但已经有一些联邦民事诉讼,各州有专门的反网络钓鱼法。罗森布拉特解释说:

CFAA不是唯一一个存在的计算机犯罪,联邦政府也不是唯一一个拥有防止网络钓鱼攻击既得利益的国家。在州和联邦两级都有大量犯罪行为,包括身份欺诈、伪造电子邮件头、试图通过欺骗获取个人信息等。而且,考虑到各州法律的多样性和这里所涉及的目标的数量,这个未经请求的网络钓鱼者很有可能在国内某处触犯刑法。例如,马里兰州的身份欺诈法在网络钓鱼方面有一些重要的含义。Gizmodo团队承认,他们使用欺骗手段(使用电子邮件的“发件人”字段中的目标熟人的姓名)来获取至少一些信息。Gizmodo为测试合法性提出的理由之一是细心的读者可能知道这是一个网络钓鱼。罗森布拉特说:「对细心读者的免责声明不是同意的运作方式。」走向某人并说, phishingtargetsaw swth 不是获得同意的有效方式。例如,罗森布拉特解释说,如果一张航空公司的机票底部印有精美的文字,说明机票只适用于一半的航班——在这种情况下乘客将被逐出飞机——那么航空公司将很难在法庭上以一个细心的读者知道带降落伞为由证明其集体弹射政策是正确的。

Gizmodo也为文章中的测试辩护,将它等同于安全专业人员所做的测试。罗森布拉特说:「拳击的存在并不意味着殴打你所见到的任何人都是合法的。」 Red - teamling未经同意就走在街上,打着人的胸膛警告他们要保持警惕。也许是哟你讲得很好,对人有帮助,但你还是100 %违法,警察找你的时候不会生气。

更多阅读

网络中立评论系统失败后,参议员要求回答

技巧心得 06-17
两名民主党参议员要求联邦通信委员会对分布式拒绝服务(DDoS)攻击作出回应,该攻击暂时阻止公众对废除网络中立规则的有争议的提议发表评论。FCC的...
查看全文

太空中满是孤星

技巧心得 06-23
数十亿年来,银河火车残骸已将恒星散布在宇宙各处。太空中孤独的天体孤儿只能在黑暗中朦胧地照亮他们的漂流。现在,在探测到微弱的闪烁之后,...
查看全文

这是太空熔岩的样子

技巧心得 07-07
上个月下旬,冰岛中部的Holuhraun熔岩场因地震而痉挛,岩浆再次从那里涌出。现在,火山喷发两周后,岩浆流绵延10英里长,覆盖8平方英里。这是岛国...
查看全文
返回全部新闻

Copyright © 2017 pk10看走势图教程 版权所有