تشکیل گروه حمایتی برای هکر‌های کلاه‌سفید

تشکیل گروه حمایتی برای هکر‌های کلاه‌سفید
تاریخ انتشار : ۲۵ خرداد ۱۴۰۲

هکر‌های کلاه‌سفید به دنبال ارزیابی سیستم‌ها هستند و نمی‌خواهند دست به سرقت بزنند.

«پایگاه رسانه‌ای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزه‌های مختلف فناوری اقدام می‌کند. انتشار مطالب به معنای تایید محتوای آن نیست».

به گزارش گرداب، محققان امنیتی در سراسر جهان که با حسن نیت به آزمایش سیستم‌های دیجیتال از نظر نقص، گزارش آسیب پذیری‌ها و نحوه تعمیر محصولات می‌پردازند همه روزه با احتمالِ پیگرد کیفری مواجه هستند. یک گروه حمایتی جدید به نام شورای سیاست هک که روز پنجشنبه راه اندازی شد، به وکالت از طرف محققان در حمایت از قوانینی که از کار آن‌ها محافظت می‌کند، به دنبال رفع این مشکل است.

ایلونا کوهِن -رئیس حقوقی، سیاستگذار ارشد و عضو شورای ارشد هکروان (HackerOne) گفت: در حالی که پیشرفت زیادی در حمایت از افشای آسیب‌پذیری‌ها و تحقیقات امنیتی صورت گرفته است، جامعه جهانی هکر‌های کلاه سفید فاقد بدنه‌ای هماهنگ برای لابی کردن از طرف آن‌ها برای رسیدگی به قوانین آتی و موجود که آن‌ها را در معرض خطر قرار می‌دهند بوده است.
کوهن گفت: «واقعاً یک گروه حمایتی که عمدتاً روی هکر‌ها متمرکز شده باشد، وجود نداشته است و ما اینجا هستیم تا این نقص را برطرف کنیم».

یکی از اصلی‌ترین اولویت‌های شورا، حمایت از تغییرات در قانون مقاومت سایبری اتحادیه اروپا است که شرکت‌ها را ملزم می‌کند تا آسیب پذیری‌ها را ظرف ۲۴ ساعت گزارش کنند. اعضای شورا ابراز نگرانی کردند که نسخه فعلی قانون تمایزی بین محققان اخلاقی و مجرمان قائل نیست.

دغدغه این گروه این است که ممکن است در نهایت با فهرستی از نرم‌افزار و آسیب‌پذیری‌ها مواجه شویم که ممکن است مهار نشوند و شاید با ده‌ها سازمان دولتی به اشتراک گذاشته شوند و این کاربه دلایل جاسوسی خطرناک است، زیرا ممکن است به دست مخالفان بیفتد.
همچنین برخی از اعضای شورا پیش از این با نمایندگان اتحادیه اروپا دیدار کرده اند و شورا پیش نویس نامه‌ای با مواضع خود تهیه کرده است. اعضا همچنین قصد دارند در اواخر ماه جاری در کنفرانس RSA با قانونگذاران ایالات متحده دیدار کنند. این شورا علاوه بر ایجاد شرایط قانونی مساعد برای محققان امنیتی، برای کمک به سازمان‌ها برای تقویت برنامه‌های افشای آسیب‌پذیری‌های خود تلاش خواهد کرد.

در حال حاضر، به نظر می‌رسد این جنبش، حمایت برخی دولتمردان ایالات متحده را به دست آورده است.
اریک گلدشتاین، دستیار اجرایی مدیر امنیت سایبری در آژانس امنیت سایبری و امنیت زیرساخت، در مراسم افتتاحیه روز پنجشنبه گفت که دولت باید «کفه سنگین‌ترِ ترازو را تغییر دهد تا اطمینان حاصل شود که یک هکر اخلاقی ضعف‌های سیستم را پیش از یک هکر شرور پیدا می‌کند».

گلدشتاین هکر‌های کلاه سفید را قهرمان نامید و با اشاره به دستورالعمل وزارت دادگستری در سال گذشته گفت که چنین محققان امنیتی نباید تحت قانون هک فدرال و همچنین برنامه افشای آسیب پذیری هماهنگ شده CISA متهم شوند. به طور جداگانه، یک صندوق دفاع قانونی جدید برای محققان امنیتی روز چهارشنبه راه اندازی شد. سرمایه اولیه این صندوق را گوگل ارائه خواهد کرد.

ایالات متحده در سال‌های اخیر گام‌هایی را در جهت جرم زدایی از تحقیقات امنیتی با حسن نیت برداشته است. سال گذشته، وزارت دادگستری سیاست جدیدی را اعلام کرد که به موجب آن محققان امنیتی نباید تحت قانون کلاهبرداری و سوء استفاده رایانه‌ای متهم شوند، اما این امر مانع از استفاده شرکت‌های خصوصی از تهدیدات قانونی برای جلوگیری از تحقیقات امنیتی نشده است.

تهدید شرکت‌ها به شکایت از محققان امنیتی و روزنامه‌نگاران با حسن نیت همچنان یک اتفاق رایج است و به گفته کارشناسان می‌تواند تأثیری وحشتناک بر تحقیقات آسیب‌پذیری بسیار مورد نیاز داشته باشد. ایالت‌ها همچنین در سال‌های اخیر محققان را تهدید کرده اند و تمایل دارند قوانین گسترده تری برای هک کردن داشته باشند.

اگر آن‌ها نامه تهدیدآمیز را دریافت کردند یا با محاکمه کیفری احتمالی مواجه شوند، باید کسی برای کمک به آن‌ها حضور داشته باشد.
نمونه‌هایی از مواردی که هیئت مدیره ممکن است انجام دهد شامل روزنامه نگاری در میسوری است که سال گذشته توسط فرماندار ایالت به دلیل انتشار مقاله‌ای در مورد آسیب پذیری در کد منبع وب سایت ایالتی تهدید شد و دانشجویانی که به دنبال ارائه تحقیقات در مورد آسیب پذیری‌های عمومی هستند. در ابتدا، این صندوق بر روی ایالات متحده متمرکز خواهد شد، اما منشور آن به آن اجازه می‌دهد تا از محققان خارج از کشور نیز حمایت کند.
این صندوق امیدوار است که شرکت‌های دیگری اضافه شده و افراد به مرور زمان تأمین مالی را ادامه دهند.