Die US-Behörden gestatten Forschern, Pentests und Reverse Engineering ohne rechtliche Konsequenzen durchzuführen



    Am Freitag, dem 28. Oktober, wurde auf der Website der Library of Congress eine aktualisierte Liste von Ausnahmen zum Digital Millennium Copyright Act (DMCA) veröffentlicht, die die "Umgehung digitaler Zugangskontrollen" verbieten. Diese Regeln regeln die Bedingungen, unter denen private Benutzer mit digitalen Inhalten von Inhabern von Urheberrechten interagieren und diese manipulieren können, ohne die Gefahr von rechtlichen Konsequenzen für sich zu haben.

    Die Liste der aktuellen Ausnahmen umfasst die Ausnahmen, die Forschern der Informationssicherheit das Testen von Softwareprodukten erleichtern.

    Seit 2003 werden solche Ausnahmen von der DMCA alle drei Jahre veröffentlicht. In diesem Fall wurde dieser Zeitraum jedoch um ein weiteres Jahr verlängert, wodurch die Konsequenzen mit den Inhabern von Urheberrechten erörtert wurden. Wirtschaftsvertreter befürchteten die Konsequenzen, die die Erlaubnis haben könnte, um Software und deren Penetrationstests rückgängig zu machen.

    Am interessantesten sind die folgenden Ausnahmen (für die vollständige Liste von ihnen veröffentlicht in der Ausgabe von The Register):

    • Jailbreak-Smartphones und -Tablets zur Gewährleistung der Softwarekompatibilität und zum Entfernen unerwünschter Programme.
    • Versuche, Zugang zu Auto-Software zu erhalten.
    • Versuche, die Schutz- und Kontrollmechanismen von 3D-Druckern zu umgehen.
    • Versuche von Patienten, auf persönliche Daten von Medizinprodukten zuzugreifen.
    • Software Reverse Engineering für die Sicherheitsforschung.

    Nach den Worten von Alva Aaron (Aaron Alva), die einen Offizier of Technology (Tech Politik Fellow) in der US Federal Trade Commission, betreibt „neue Ausnahmen - das ist ein großer Sieg für die Gemeinschaft Informationssicherheit Forscher und Anwender der Produkte, die sicherer sein werden.“

    Trotz des Inkrafttretens der neuen Ausnahmen sind die Forscher weiterhin verpflichtet, das Gesetz über Computerbetrug und -missbrauch einzuhalten. Darüber hinaus implizieren die Ausnahmebedingungen das Vorhandensein bestimmter Bedingungen während der umgekehrten Entwicklung und Deobfusionierung des Codes - sie müssen "in einer kontrollierten Umgebung durchgeführt werden, um zu vermeiden, dass bestimmte Personen und die Gesellschaft geschädigt werden."

    Informationen aus solchen Ereignissen sollten auch verwendet werden, um das Sicherheitsniveau von Geräten, die den untersuchten Code verwenden, oder die Sicherheit von Personen, die das Endprodukt verwenden, zu erhöhen. Die Gewährleistung dieser "Erhöhung der Sicherheit" sollte wiederum nicht die Rechte der Urheberrechtsinhaber verletzen.

    „Wenn Sie alle Regeln einhalten, können Sie die Sicherheit des mit dem Internet verbundenen Toasters testen, um das Risiko einzuschätzen, dass Angreifer die Kontrolle über ihn übernehmen und Ihre Bagels verbrennen oder aus der Ferne Informationen über Ihre Vorlieben beim Backen erhalten können“, sagt Alba. "Das alles gibt natürlich niemandem das Recht, einen solchen Toaster zu stehlen, den Toaster eines Nachbarn zu knacken oder das Gerät neben brennbaren Materialien in Brand zu setzen."

    Jetzt auch beliebt: