Los expertos y profesionales de la seguridad cibernética están ampliamente alineados en cuestiones de legitimidad y legalidad cuando se trata de algunos casos de acceso no autorizado a los sistemas de TI, según un informe elaborado por activistas a favor de la reforma de la Ley de uso indebido de computadoras (CMA), que esperan que sus hallazgos sirvan. traer claridad para los formuladores de políticas que exploran cambios a la ley.
La campaña CyberUp ha estado pidiendo la reforma de la CMA durante años. La ley data de principios de la década de 1990, cuando el mundo de TI se veía muy diferente y, como resultado, ahora existe una gran preocupación en el mundo de la seguridad de que su redacción actual criminalice efectivamente el trabajo de los piratas informáticos éticos y los investigadores de seguridad.
Por esta razón, el grupo ha estado abogando por la inclusión de una defensa legal en la CMA desde 2019, y el año pasado el gobierno dijo que comenzaría a trabajar en la reforma de la CMA, pero desde entonces se ha avanzado poco, salvo un intento en los Lores para insertar tal disposición en el Proyecto de Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI).
“El consenso esbozado en el informe publicado hoy muestra cómo puede funcionar en la práctica una defensa legal”, dijeron los activistas.
“De manera crucial, destaca que no abrirá un ‘Salvaje Oeste’ de vigilancia cibernética. En cambio, al reformar la Ley de Uso Indebido de Computadoras para hacer defendibles las actividades descritas en el informe, la Campaña CyberUp argumenta que el Gobierno puede permitir una serie de beneficios, incluida una mayor resiliencia cibernética de la nación y sus aliados, y un crecimiento acelerado del ciberespacio doméstico del Reino Unido. sector de la seguridad”.
Se pidió a los encuestados que clasificaran las actividades y técnicas cibernéticas utilizadas en el curso de la investigación de vulnerabilidades y amenazas en actos que causan ningún daño o lo hacen de forma limitada pero que brindan beneficios, que son defendibles; actos que causan daño y entregan beneficio, que pueden ser defendibles; actos que no causan daño o lo hacen de manera limitada y que no brindan un beneficio o lo hacen de manera limitada, que también pueden ser defendibles; y actos que causan daño y entregan ningún beneficio o un beneficio limitado, que son indefendibles.
CyberUp encontró consenso en 13 actividades que encajan en la primera categoría. Estos son el uso de claves de interfaz de programación de aplicaciones (API), captura de banners, el uso de balizas, la implementación de firewalls y controles de acceso a la red, el uso de honeypots, el uso de listados de directorios abiertos, recopilación de inteligencia pasiva, escaneo de puertos, el uso de sandboxes o tarpits, derribando servidores o botnets, sumideros, web scraping y análisis de malware. Por lo tanto, CyberUp cree que la CMA reformada debería hacer que estas acciones sean defendibles.
En la segunda categoría, CyberUp encontró acuerdo en que la recopilación de inteligencia directa o activa, parchear redes de terceros y usar conexiones de protocolo de escritorio remoto para obtener información de los sistemas de los atacantes puede ser defendible, pero que se necesitará más trabajo para establecer cómo administrarlos. .
Luego se pidió a los encuestados su opinión sobre las actividades y técnicas cibernéticas que requieren acceso no autorizado pero que una CMA reformada debería considerar legítimas o ilegítimas.
CyberUp descubrió que la comunidad cibernética está de acuerdo en que hay un conjunto de actividades que pueden verse como instancias legítimas de acceso no autorizado y, por lo tanto, deberían ser legales. Estas actividades incluyen la investigación de vulnerabilidades, la inspección proporcional de los sistemas que están disponibles públicamente (es decir, expuestos a Internet), la investigación de seguridad responsable, la divulgación responsable, el escaneo activo, la enumeración, el escaneo de Internet de mejores prácticas, el uso de listados de Active Directory, la identificación, el reconocimiento pasivo. e investigación, y el uso de honeypots.
También encontró que hay acuerdo sobre qué actividades constituyen acceso no autorizado ilegítimo, como piratear, realizar ataques distribuidos de denegación de servicio, el uso de malware y ransomware, actos maliciosos “socialmente indeseables”, la validación de exploits o prueba de un límite de seguridad fallido, e irrumpir en sistemas considerados parte de la infraestructura nacional crítica. Este grupo de actividades también incluye el concepto bastante más vago de causar daño.
Área gris
Finalmente, el informe revela un consenso de que el conjunto de técnicas cibernéticas descritas como defensa activa aún puede representar un área gris que debe ser considerada y discutida mientras el Ministerio del Interior se prepara para dar los próximos pasos hacia un posible cambio de política.
Estas áreas grises incluyen acciones como la infiltración en las redes o sistemas de los actores de amenazas, la verificación de vulnerabilidades detectadas pasivamente, la explotación de vulnerabilidades, el relleno de credenciales, la neutralización de activos sospechosos o maliciosos, la recopilación activa de información, el uso de botnets y la investigación activa y el análisis forense.
CyberUp enfatizó que no necesariamente está proponiendo que la lista completa de actividades establecidas en su informe se convierta en una guía gubernamental que acompañe a una defensa legal, ya que la naturaleza del panorama de seguridad en rápida evolución significa que la lista inevitablemente quedará obsoleta. En cambio, dijo, espera que un tribunal pueda aprovechar el grado de consenso basado en su matriz de “daño-beneficio” en un momento dado, al procesar un caso futuro hipotético.
También encontró que algunos de sus encuestados objetaron o cuestionaron el enfoque general de expandir el alcance de la actividad defendible. Uno comentó que el statu quo debería mantenerse porque tales actividades podrían causar “interrupción de las operaciones de inteligencia o de aplicación de la ley, incidentes diplomáticos o guerra”.
Otros plantearon preguntas sobre si debería haber algún tipo de sistema de licencias para ciertas actividades cibernéticas, mientras que otro encuestado sugirió que estas actividades solo deberían ser realizadas por un actor certificado en posesión de una orden judicial para proceder.
El informe completo de la campaña está disponible para descargar aquí.
