Jim Stickley baru saja masuk ke bank dan mencuri isi seluruh database pelanggannya.
Berpakaian sebagai pekerja pemeliharaan, dia melewati keamanan, memasang pelacak nirkabel di port komputer cadangan, melarikan diri dengan baik dan, menggunakan laptop disimpan di mobil van terdekat, memanen nomor jaminan sosial, detail bank, dan kata sandi pelanggan bank menggunakan custom-built kode.
“Terkadang saya masuk sebagai inspektur pajak atau petugas kesehatan dan keselamatan. Saya hampir selalu menginstal sebuah jaringan sniffer – jarang pergi ke selatan, “kata Stickley. “Tapi, ya, terkadang orang-orang dari organisasi itu ditangkap.”
Stickley memiliki hak untuk melakukan perampokan yang nyata ini – sebagai penguji penetrasi profesional, dia dibayar untuk apa yang dia gambarkan sebagai “pekerjaan paling menarik di dunia, menghindari penjaga dan firewall”.
Namun, pekerjaannya legal hanya karena dia mendapat izin dari perusahaan yang dia retas; tanpanya, dia akan ditangkap dan dipenjara karena kejahatan komputer, seperti semakin banyak peretas, etis atau tidak.
Tetap di sisi kanan hukum tidak semudah yang Anda bayangkan
Namun, tetap berada di sisi kanan hukum tidak semudah yang Anda bayangkan. Ini lebih berkaitan dengan mendapatkan dokumen yang benar daripada motivasi: jika Anda memiliki izin, itu legal. Pejabat di seluruh dunia mungkin meningkatkan upaya keamanan siber mereka sendiri, tetapi mereka memandang rendah peneliti keamanan yang bekerja di luar hukum.
Kebingungan kriminal
Penelitian keamanan tidak jelas. Undang-undang yang sengaja tidak jelas yang bervariasi dari satu negara ke negara lain membuat pekerja keamanan dan peretas penghobi berisiko menghadapi tindakan hukum.
Ambil contoh, kasus Andrew Auernheimer (juga dikenal sebagai "weev"), seorang peretas berusia 27 tahun yang dijatuhi hukuman tiga bulan Maret. tahun lima bulan penjara karena mengungkap kelemahan AT&T operator AS, dalam apa yang dia klaim sebagai upaya untuk meningkatkan kinerja perusahaan. keamanan. Dia menjadi penyebab yang tidak terduga di kalangan petugas keamanan karena pihak berwenang harus memperluas batas undang-undang peretasan Amerika untuk menyingkirkannya.
Meskipun dia bukan sosok yang mudah menarik simpati – dia dikenal karena perilaku menjengkelkan online dan menjelaskan dirinya sebagai troll - industri keamanan khawatir, dengan menjadikan Auernheimer sebagai contoh, AS akan menetapkan preseden.
Hukumannya adalah untuk "eksploitasi" yang tidak melibatkan pembobolan dan masuk; sistem AT&T sangat tidak aman sehingga dia dapat memanen alamat email pemilik iPad tanpa menggunakan seni gelap apa pun. Auernheimer dan kaki tangannya menemukan bahwa AT&T mengungkapkan alamat tersebut kepada siapa saja yang memasukkan URL berdasarkan nomor ICCID, yang unik untuk setiap SIM iPad; hanya menebak URL mengungkapkan alamatnya.
Karena angka-angka ini berurutan, mudah untuk memanen 114.000 angka menggunakan skrip yang tersedia secara luas. Namun, itu tidak membantu kasus Auernheimer bahwa dia mengumpulkan rincian tentang walikota New York, kepala staf Gedung Putih, dan beberapa pejabat militer.
Auernheimer tidak mempublikasikan datanya, tetapi dia meneruskannya ke blogger Gawker yang menerbitkan pilihan dengan banyak detail yang telah disunting. Meskipun demikian, FBI segera menangani kasus ini, berusaha keras untuk mendapatkan hukuman.
Komunitas keamanan berpendapat bahwa tindakan Auernheimer tidak boleh dianggap sebagai peretasan; jika membuka halaman web dan menyalin alamat email dianggap sebagai “akses tidak sah”, banyak dari kita telah melakukan kejahatan.
“Data yang dikumpulkan Weev adalah alamat email dan nama, tidak ada yang sensitif sedikit pun. Semua yang mereka kumpulkan pada dasarnya dikirim dalam teks jelas melalui internet di beberapa titik, ”kata pendiri Immunity dan mantan peneliti keamanan NSA Dave Aitel saat itu. “Jelas bagi siapa pun dengan latar belakang teknis apa pun bahwa kasus yang diajukan FBI terhadapnya adalah parodi, dan fakta bahwa mereka menang bahkan lebih gila lagi.”
