
<div dir="auto"><div>We can just agree that indeed people should also study policy and law. <br><br><div class="gmail_quote"><div dir="ltr">On Thu, May 3, 2018, 14:44 R0b0t1 <<a href="mailto:r030t1@gmail.com">r030t1@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, May 3, 2018 at 11:32 AM, L Jean Camp <<a href="mailto:ljeanc@gmail.com" target="_blank" rel="noreferrer">ljeanc@gmail.com</a>> wrote:<br>

> Yes, the CFAA has seen quite a a bit of prosecutorial overreach. I am sure<br>

> many of us have at least been threatened. The bill as passed but not year<br>

> signed into law in GA is worse.<br>

><br>

> This is closer to the Sklyarov prosecution where he did not use a<br>

> vulnerability rather he presented information about it. That case was<br>

> prosecuted under DMCA because sharing information about vulnerabilities is<br>

> not now and has never been found to be a violation of CFAA. It is the use of<br>

> vulnerabilities that concerns the CFAA, the investigation to find<br>

> vulnerabilities and discussions of these were under DMCA, and this law in GA<br>

> covers disclosure of their existence regardless of legitimacy in discovery.<br>

> It is quite problematic.<br>

><br>

<br>

Hmm. That is what I thought the Georgian bill was about initially, but<br>

then I kept reading and it looked like a rehashing of the CFAA.<br>

<br>

This is an obvious violation of the first amendment, so why does<br>

anyone care? It will be overturned if it ever passes. I would suggest<br>

a better expenditure of effort and the attention span of those who<br>

will listen is the initial court case where the law is tested.<br>

<br>

> The DMCA has recently renewed the security research exemption; CFAA does not<br>

> have a formal security research exemption.<br>

><br>

<br>

Thinking about a "security research exemption" in this way is<br>

dangerous. I will explain further below.<br>

<br>

A research exemption for the CFAA does not make much sense. Would a<br>

researcher be allowed to break into people's houses for research<br>

purposes? Would they be allowed to sneak around a military base or<br>

government building simply because they could get in?<br>

<br>

Realize that the CFAA tries to explicitly translate physical property<br>

law into a form that applies to computers. Knowing this it is easy to<br>

explain why it was written the way it was written, and why it has been<br>

applied in the way it has been applied.<br>

<br>

> The DMCA still allows CFAA prosecution if the research includes unauthorized<br>

> use. So the DMCA exemption does not remove all CFAA risks, but seriously<br>

> mitigates these as well as formally removing prohibitions on<br>

> anti-circumvention in good faith security research.<br>

><br>

<br>

The DMCA and the CFAA are entirely different areas of law. I am afraid<br>

I do not understand what you mean.<br>

<br>

> This started as a temporary exemption which was then renewed.<br>

> <a href="https://www.ftc.gov/news-events/blogs/techftc/2016/10/dmca-security-research-exemption-consumer-devices" rel="noreferrer noreferrer" target="_blank">https://www.ftc.gov/news-events/blogs/techftc/2016/10/dmca-security-research-exemption-consumer-devices</a><br>

><br>

> You may find this report a more enjoyable read and it is fairly accurate:<br>

> <a href="https://www.techdirt.com/articles/20170625/01312637658/copyright-office-realizes-dmca-fucks-with-security-research-while-w3c-still-doesnt-see-it.shtml" rel="noreferrer noreferrer" target="_blank">https://www.techdirt.com/articles/20170625/01312637658/copyright-office-realizes-dmca-fucks-with-security-research-while-w3c-still-doesnt-see-it.shtml</a><br>

><br>

> The people who worked to make that DMCA exemption happen include the CDT and<br>

> the USACM (the policy arm of the ACM), and to a lessor extent the IEEE-USA<br>

> (similarly the volunteer organization of the IEEE). None of us will be<br>

> abandoning the fight for better policy in vulnerability disclosure, crytpo<br>

> policy, or standards.<br>

><br>

<br>

The right to reverse engineer the operation and construction of<br>

devices is not one which was granted but one which is inherent in the<br>

rule of law in the United States. It is absurd to think the DMCA ever<br>

removed it. More likely is that that clause of the DMCA, if ever<br>

seriously enforced, would be found invalid. And indeed it was<br>

challenged and changed. The "exemption" was likely a pragmatic move to<br>

avoid weakening the rest of the act by association with overreaching<br>

statements.<br>

<br>

All of the linked articles make the same critical flaw: that anything<br>

was given up or that concessions can even be granted. My reading of<br>

the law seems to make it evident that the majority of the novel<br>

concepts in the DMCA are simply invalid as they try to overturn longer<br>

existing and more basic property law.<br>

<br>

Please answer this: How can it be said I own something but have no<br>

right to use it? That is what the DMCA is saying. The parts that do<br>

not say something to that effect are just duplicating existing IP law.<br>

<br>

<br>

The way the creators of these laws are treated borders on Stockholm<br>

syndrome. Do not accept their laws simply because they pass. Do not<br>

compromise with them. Your rights are already guaranteed. A more<br>

effective call to action would be to request individuals disregard<br>

these laws and refuse to be bound by them as they are not valid.<br>

<br>

> Here, for example, is the short form of the USACM letter, there are longer<br>

> documents which detail the long slog towards this point:<br>

> <a href="http://usacmdev.acm.org/images/documents/1201_Short_CommentUSACMfinal.pdf" rel="noreferrer noreferrer" target="_blank">http://usacmdev.acm.org/images/documents/1201_Short_CommentUSACMfinal.pdf</a><br>

><br>

> The GA law goes far beyond the DMCA (except if Elcom had lost) and certainly<br>

> far beyond the CFAA which requires actual use of a vulnerability.<br>

><br>

<br>

The CFAA requires unauthorized use of an information system. If you<br>

have valid credentials but your access has been revoked, e.g. via<br>

contract, then signing in would be a violation of the CFAA.<br>

<br>

> In any case, the bill HAS NOT BEEN SIGNED  and here is a very nice article<br>

> if you care to oppose it:<br>

> <a href="https://www.eff.org/deeplinks/2018/02/how-grassroots-activists-georgia-are-leading-opposition-against-dangerous-computer" rel="noreferrer noreferrer" target="_blank">https://www.eff.org/deeplinks/2018/02/how-grassroots-activists-georgia-are-leading-opposition-against-dangerous-computer</a><br>

><br>

>  "A ping is a felony" has been used in no case of which I am aware, and may<br>

> be rhetorical outreach to match the prosecutorial excesses we have seen<br>

> under CFAA. This bill in GA would unlikely to make a ping a felony either.<br>

> That is not even on the radar, unless of course it was part of a DoS<br>

> leveraging ping, which is another bucket of crabs altogether.<br>

><br>

<br>

Under the CFAA all that matters is the machine operator's attitude<br>

towards your use of their machine. I do not think it is a stretch to<br>

consider the generation of an ICMP echo reply packet use. I do realize<br>

that it may be hard to make a prosecutor care about someone pinging<br>

your machine, but the CFAA technically forbids unsolicited ICMP echo<br>

requests.<br>

<br>

> There is fairly good material explaining it further in the links while<br>

> Security Week, tripwire, Microsoft, and Google have letters really the grass<br>

> roots on the ground is what has delayed this bill being signed.<br>

><br>

> As for a ping being felony, this is a  fun if sometimes strident read:<br>

> <a href="https://www.amazon.com/dp/B00505UZ4G/ref=dp-kindle-redirect?_encoding=UTF8&btkr=1" rel="noreferrer noreferrer" target="_blank">https://www.amazon.com/dp/B00505UZ4G/ref=dp-kindle-redirect?_encoding=UTF8&btkr=1</a><br>

><br>

> You might recall the author from the famous MIT LaMacchia rule case.<br>

><br>

<br>

That is good, but I sincerely hope people start studying the law which<br>

already exists. It is very informative and has the potential to be<br>

extremely surprising. There is existing precedent which is simply<br>

against the text of modern laws which remain unchallenged but tacitly<br>

enforced. Taking those laws and applying them to more common<br>

situations can be amusing. E.g., what if someone sold me a lawnmower<br>

but told me I could not repair it? I'd be concerned about their mental<br>

health and repair it anyway.<br>

<br>

Another good example: Some number of months ago I found out that those<br>

"warranty void if removed" stickers are invalid under the<br>

Magnuson-Moss warranty act. I believe this has some pretty far<br>

reaching implications especially w.r.t. bootloader locking.<br>

<br>

Cheers,<br>

     R0b0t1<br>

</blockquote></div></div></div>