DOJ sobre Dark Web Law
Um artigo chato (mas essencial) que todo profissional de segurança cibernÊtica deve ler: DOJ sobre Dark Web Law
Este artigo âchatoâ pode salvĂĄ-lo de problemas legais em investigaçþes da dark web. Obtenha os insights jurĂdicos do DOJ dos EUA sobre pesquisas seguras sobre ameaças cibernĂŠticas.
Nos dois Ăşltimos artigos, abordamos como automatizar o monitoramento de inteligĂŞncia de ameaças na dark web usando Python e falamos sobre como monitorar atividades na dark web sem quaisquer requisitos de codificação. Ă prudente discutirmos agora as consideraçþes legais ao participar em tais atividades. Ă claro que nem ĂŠ preciso dizer que vocĂŞ deve sempre consultar seu advogado ao realizar esse tipo de ação, mas este artigo tem como objetivo fornecer algumas orientaçþes gerais do documento â Consideraçþes legais ao coletar informaçþes sobre ameaças cibernĂŠticas on-line e comprar dados de empresas do Departamento de Justiça dos EUAâ. Documento Fontes IlĂcitas â.
O DOJ esclarece que a recolha passiva de informaçþes de fĂłruns criminais, â espreitando â e lendo comunicaçþes publicadas sem participar activamente, acarreta pouco risco legal, desde que se obtenha acesso atravĂŠs de meios legĂtimos. O documento afirma: â If a practitioner reads and collects communications posted openly on the forums but does not respond to forum communications or otherwise communicate with others...there is practically no risk of federal criminal liability.â Esta abordagem de monitoramento passivo ĂŠ um ponto de partida relativamente seguro.
No entanto, os riscos legais aumentam substancialmente se vocĂŞ começar a interagir ativamente com esses fĂłruns. O DOJ adverte severamente que â soliciting or inducing the commission of a computer crime can expose a practitioner to criminal liability." Algo tĂŁo simples como postar uma pergunta sobre atividades ilegais pode ser visto como uma solicitação. Para mitigar esses riscos, o DOJ recomenda:
- Documentar planos operacionais e manter registros detalhados de todas as atividades on-line e de como as informaçþes foram coletadas e utilizadas. Como eles explicam, â
In the event of a criminal investigation, such records may help establish that their conduct was legitimate cybersecurity activity." - Estabelecer âregras de engajamentoâ claras ou protocolos de conformidade avaliados por consultores jurĂdicos. Ter polĂticas documentadas â
can help prevent personnel from accidentally or unintentionally putting their organization and its employees in legal jeopardy or risk compromising its security.â - Construir relacionamentos e informar as autoridades antes de realizar essas atividades. Conforme observado no documento, â "
It may also be beneficial to inform law enforcement before engaging in these intelligence-gathering activities by building an ongoing relationship with the local FBI field office or Cyber Task Force and the local U.S. Secret Service field office or Electronic Crimes Task Force.
Se vocĂŞ for alĂŠm do simples monitoramento e começar a trocar informaçþes diretamente com os membros do fĂłrum, as armadilhas legais aumentarĂŁo ainda mais. O DOJ adverte severamente que â a practitioner must avoid doing anything that furthers the criminal objectives of others on the forums."Isso inclui açþes aparentemente pequenas - o documento adverte explicitamente contra o fornecimento de qualquer " true, accurate, or useful information that could advance such crimes,", pois isso poderia constituir ajuda e cumplicidade sob a lei federal.
O documento tambĂŠm aborda consideraçþes legais sobre a compra de dados, malware ou vulnerabilidades em mercados da dark web. Embora observe que â federal prosecutors have not typically brought charges against parties who merely attempt to purchase their own stolen data, âainda existem inĂşmeras minas terrestres legais em potencial para navegar:
- Suponha que vocĂŞ compre, sem saber, dados que pertencem a outras vĂtimas. Nesse caso, o DOJ aconselha vocĂŞ a â
promptly sequester it and not further access, review, or use it" e entrar em contato rapidamente com as autoridades e/ou os legĂtimos proprietĂĄrios. NĂŁo fazer isso pode levantar dĂşvidas sobre a intenção. - A compra de certos tipos de dados roubados, como segredos comerciais ou cartĂľes de crĂŠdito, pode resultar em uma violação de estatutos como a Lei de Roubo de Segredos Comerciais ou o estatuto de Fraude de Dispositivo de Acesso se houver uma intenção percebida de fraudar ou obter benefĂcios econĂ´micos.
- Envolver-se em quaisquer transaçþes com indivĂduos ou entidades sancionadas pelo governo dos EUA, tais como grupos terroristas designados ou aqueles abrangidos pela Lei Internacional de Poderes EconĂłmicos de EmergĂŞncia (IEEPA) , ĂŠ ilegal. Como exemplo especĂfico, o DOJ declara: â " que proĂbe o fornecimento de apoio material a organizaçþes terroristas.
If a practitioner bought the stolen data knowing the seller was a member of such a foreign terrorism group, the practitioner would violate section 2339B,
Quando se trata de comprar vulnerabilidades ou amostras de malware , isso geralmente Ê permitido, desde que não haja intenção criminosa por trås da aquisição. No entanto, o DOJ sinaliza duas exceçþes a serem observadas:
- Certos malwares projetados para interceptar comunicaçþes eletrĂ´nicas podem violar a proibição da Lei de Escutas TelefĂ´nicas de possuir dispositivos â
primarily useful for the purpose of the surreptitious interception of...electronic communications." - Mais uma vez, quaisquer transaçþes com indivĂduos ou entidades sancionadas sĂŁo ilegais segundo estatutos como o IEEPA.
O tema geral claro da orientação do DOJ ĂŠ a importância primordial de evitar quaisquer açþes que possam ser interpretadas como promoção de atividades criminosas e a necessidade de documentar minuciosamente os propĂłsitos legĂtimos e consultar advogados. Como eles aconselham, â having vetted 'rules of engagement' or a 'compliance program' can help prevent personnel from accidentally or unintentionally putting their organization and its employees in legal jeopardy."
Embora a perspectiva de enfrentar riscos legais possa parecer assustadora, o DOJ deixa claro que polĂticas e protocolos adequados podem permitir que as organizaçþes reĂşnam legalmente informaçþes sobre ameaças e busquem dados roubados de fontes ilĂcitas. Isto pode proporcionar um valor imenso no fortalecimento da prontidĂŁo e das capacidades de resposta da segurança cibernĂŠtica. No entanto, dadas as complexidades envolvidas, a recomendação mais forte do DOJ ĂŠ â consult with legal counsel to make proper use of its recommendations and analysis."
Ao aderir diligentemente Ă s melhores prĂĄticas como as descritas nesta orientação do DOJ, pesquisadores, analistas e especialistas em segurança cibernĂŠtica podem navegar no campo minado legal das atividades da dark web. Com polĂticas abrangentes apoiadas por aconselhamento jurĂdico, as organizaçþes podem obter benefĂcios de segurança e, ao mesmo tempo, mitigar os riscos de responsabilidade criminal. O caminho ĂŠ cauteloso, mas uma abordagem bem preparada e aconselhada pode trazer Ă luz a inteligĂŞncia da dark web de forma segura e legal. Embora este artigo cubra pontos-chave do documento do DOJ, recomendo que qualquer pessoa envolvida nessas atividades revise minuciosamente a publicação completa de 15 pĂĄginas â Consideraçþes legais ao coletar informaçþes sobre ameaças cibernĂŠticas on-line e comprar dados de fontes ilĂcitas â para garantir a conformidade.
Explorar a seguir
Agora que aprendemos como obter dados da dark web e como fazĂŞ-lo legalmente, vamos falar sobre como transformar esses dados em inteligĂŞncia acionĂĄvel. LeiaâŚ
Descubra como o blockchain estå transformando as indústrias no Blockchain Insights Hub . Siga-me no Twitter para atualizaçþes em tempo real sobre a intersecção entre blockchain e segurança cibernÊtica. Inscreva-se agora para obter meu relatório exclusivo sobre as principais ameaças à segurança do blockchain em 2024. Mergulhe mais fundo em meus insights sobre blockchain em Mirror.xyz .
ComentĂĄrios
Postar um comentĂĄrio