Warum die Überzeugung des AT & T iPad-Hackers ein Problem für uns alle ist - Handy, Mobiltelefon - 2019

Anonim

Der Sicherheitsforscher, der dafür verantwortlich war, ein Loch in der Website von AT & T zu enthüllen, das mehr als 100 000 iPad-Besitzer E-Mail-Adressen und eindeutige Geräte-IDs enthüllte, wurde heute wegen Bundeskosten verurteilt. Er wird mit einer Höchststrafe von zehn Jahren hinter Gittern und Geldstrafen von bis zu 500.000 Dollar bestraft. Warum ist das für den Rest von uns eine große Sache? Er hat das System von AT & T nicht "gehackt", genauso wenig wie Sie diese Website "hacken".

Der AT & T iPad Hack

Andrew "weev" Auernheimer, 26, wurde in einem Bundesgericht in New Jersey wegen Verschwörung verurteilt, um Zugang zu einem Computer ohne Genehmigung und eine Zählung von Identitätsdiebstahl zu erhalten. Wired berichtet, dass die Jury nur Stunden brauchte, um zu einem Urteil zu kommen.

Auernheimers Fall geht auf das Jahr 2010 zurück, als er und sein selbst beschriebener Sicherheitsforscher Daniel Spitler (26) herausfanden, dass die Website von AT & T die E-Mail-Adresse von iPad-Besitzern preisgab, die das 3G-Netzwerk des Mobilfunkanbieters nutzten. Und dies würde dies tun, ohne irgendwelche Passwörter oder Code-Breaking zu erfordern. Stattdessen benötigte das System von AT & T eine sogenannte ICC-ID, eine eindeutige ID-Nummer, die jedem iPad zugewiesen wurde. Geben Sie die ICC-ID in die Website von AT & T ein und es wird die E-Mail-Adresse eines registrierten iPad-Benutzers ausgegeben.

Also beschlossen Auernheimer und Spitler zu untersuchen, wie tief das Loch ging, indem sie ein Programm namens "iPad 3G Account Slurper" schreiben, das automatisch ICC-IDs eingibt und die entdeckten E-Mail-Adressen sammelt. Das Ergebnis: Mehr als 120 000 E-Mail-Adressen enthüllten nach Angaben von Behörden, darunter die von hochkarätigen Persönlichkeiten wie New Yorker Bürgermeister Michael Bloomberg, ehemaliger Stabschef des Weißen Hauses Rahm Emanuel, und ABC News Diane Sawyer, unter anderem.

Das Paar gab die Daten dann an Gawker weiter, der eine Geschichte über das Sicherheitsloch im AT & T-System veröffentlichte. AT & T bestätigte dann die "Verletzung" und das FBI leitete eine Untersuchung ein. Auernheimer und Spitler wurden im Januar 2011 angeklagt. Spitler bekannte sich schuldig und wurde später abgesetzt. Auernheimer kämpfte gegen die Anklage und verlor heute. In einem Tweet nach dem Urteilsspruch sagte Auernheimer, er sei "gegangen, weil er wusste, dass hier ein Schuldspruch herrschen würde", und er "appelliert natürlich".

Was Auernheimer und Spitler (wirklich) falsch gemacht haben

Abgesehen von den offiziellen Kosten ergaben sich die Hauptprobleme für Auernheimer und Spitler aus ihrem offensichtlichen "Trolling" von AT & T. In Chat-Protokollen, die von Wired veröffentlicht wurden, gab das Paar zu, die Lücke entdeckt zu haben, und scherzte über Pläne, das Sicherheitsloch zu nutzen, um AT & T unverantwortlich zu machen. Spätere Chat-Logs mit anderen Personen zeigten einige schwebende Pläne, die Aktien von AT & T vor dem Gawker-Artikel kurz zu halten, unter der Annahme, dass die Aktien des Unternehmens fallen würden. (Sie taten es - obwohl weder Auernheimer noch Spitler an Leerverkäufen beteiligt waren.)

Darüber hinaus sagte AT & T, dass das Paar AT & T nicht direkt über die Sicherheitslücke kontaktierte, was bei Sicherheitsforschern Standard ist. Schließlich vermarktete der Auernheimer sich selbst und Spitler als "Goatse Security" (ein Spiel auf der berüchtigten goatse shock-Website) den Medien, war aber in Wirklichkeit nur zwei Jungs, keine legitime Cyber-Sicherheitsorganisation.

Kurz gesagt: Auernheimer und Spitler waren massive Witze bei AT & T und den Kunden, deren Daten sie sammelten und machten sich damit einen Namen.

Warum ist das schlecht für den Rest von uns?

So verlockend es auch sein mag zu argumentieren, dass Auernheimer und Spitler das bekommen haben, was sie verdient haben, muss man auch erkennen, dass Auernheimers Strafverfolgung einen massiven Fehler in dem Gesetz hervorhebt, unter dem er verurteilt wurde.

Das Gesetz über Computerbetrug und -missbrauch (CFAA) besagt, dass es illegal ist, "wissentlich auf einen Computer ohne Autorisierung zuzugreifen". Es verbietet auch das Sammeln von "Informationen von jedem geschützten Computer". Problem ist, dass CFAA 1986 geschrieben wurde, bevor das Web existierte, zu einem Zeitpunkt, als der Zugriff auf die meisten Computer oder Netzwerke ein Passwort erforderte. Das ist nicht mehr der Fall: Bei jedem Besuch einer Website greifen Sie ohne ausdrückliche Genehmigung auf einen Computer zu.

"Jeder greift hier durch die Definition des Gesetzes auf einen geschützten Computer zu", sagte Auernheimer, während sich die Jury überlegt, laut TechNewsDaily. "Der" geschützte Computer "ist ein beliebiger Netzwerkcomputer. Sie greifen jeden Tag auf einen geschützten Computer zu. Haben Sie jemals die Erlaubnis von Google erhalten, zu Google zu gehen? Nein, niemand hat … "

Während Auernheimers Beispiel einfach ist, erklärt es perfekt seine Bindung: Alles, was er und Spitler taten, war auf die AT & T-Website zuzugreifen und Informationen von ihr zu sammeln - es gab keine Systemverletzung, da jeder technisch auf dieselben Informationen zugreifen konnte.

Cybersecurity-Experte Robert David Graham erläuterte auf diese Weise die Situation in einem Blogpost:

Eine bekannte gesetzliche Formulierung ist "Unkenntnis des Gesetzes ist keine Verteidigung." Aber das trifft hier nicht wirklich zu. Du weißt, dass das Gesetz existiert. Sie haben es vielleicht im Detail gelesen. Sie haben vielleicht sogar Ihren Anwalt konsultiert. Es ist nur, dass niemand genau sagen kann, ob dies die Grenze zwischen "autorisiertem" und "unbefugtem" Zugang überschritten hat. Wir werden es erst wissen, wenn jemand versucht, Sie strafrechtlich zu verfolgen.

Sagen wir mal, anstatt zu versuchen, von deiner zufälligen Entdeckung zu profitieren, postest du sie einfach in deinem Blog und sagst: "Sieh dir an, was diese Idioten gemacht haben." Als Fortune 500 nimmt das FBI Notiz davon, durchsucht Ihr Zuhause, beschlagnahmt alle Ihre Computer, verhaftet Sie und überführt Sie erfolgreich unter die CFAA.

Graham erklärt später, dass die Ungenauigkeit der CAFA und die heutige Verfolgung von Auernheimer die Cybersicherheitsforscher davon abhalten, Sicherheitslücken zu finden, was wiederum den Rest von uns im Internet weniger sicher macht.

"Für Cybersicherheitsforscher wie mich ist das ein chillender Effekt. Um die Sicherheit zu gewährleisten, müssen wir darauf hinweisen, wenn es kaputt ist ", schrieb er. "Wenn wir [eine Sicherheitslücke] sehen, was machen wir? Halten wir den Kopf gesenkt oder sprechen wir auf? Selbst wenn wir wahrscheinlich unschuldig gefunden werden, warum dann das Risiko eingehen? Lieber ruhig bleiben. "

Bild über Twitter