The Computer Misuse Act The Law som Criminalizes Hacking i Storbritannia
Hacking i datamaskiner er ulovlig ganske mye verden over.
I Storbritannia er nøkkellovgivningen som omhandler datakriminalitet, Computer Misuse Act 1990, som har dannet grunnlag for mye av lovbruken for forbrytelser i mange av Commonwealth-landene.
Men det er også et dypt kontroversielt regelverk, og en som nylig er oppdatert for å gi GCHQ, Storbritannias primære etterretningsorganisasjon, den juridiske rettigheten til å hack inn i hvilken som helst datamaskin de ønsker. Så, hva er det, og hva sier det?
De første hackere
Computer Misuse Act ble først skrevet og satt i lov i 1990, men det er ikke å si at det ikke var datakriminalitet før da. Snarere var det bare utrolig vanskelig, om ikke umulig å påtale seg. En av de første datakriminalitetene som ble pålagt i Storbritannia var R v Robert Schifreen og Stephen Gold, i 1985.
Schifreen og Gold, ved hjelp av enkle, hylleapparater, klarte å kompromittere Viewdata-systemet, som var en rudimentær, sentralisert forløper til det moderne Internettet som eies av Prestel, et datterselskap av British Telecom. Hacket var relativt enkelt. De fant en britisk telekom ingeniør, og skulder-surfet som han skrev inn hans påloggingsinformasjon (brukernavn '22222222' og passord '1234'). Med denne informasjonen løp de amok gjennom Viewdata, selv gjennom å se private meldinger fra British Royal Family.
British Telecom ble snart mistenkelig og begynte å overvåke de mistenkte Viewdata-kontoene.
Det var ikke lenge før deres mistanker ble bekreftet. BT varslet politiet. Schifreen og Gold ble arrestert og belastet under forfalskningsloven. De ble dømt, og ble bøtelagt henholdsvis £ 750 og £ 600. Problemet var at forfalskningsloven ikke egentlig gjaldt for forbrytelser, spesielt de som var motivert av nysgjerrighet og henvendelse, ikke økonomiske mål.
Schifreen og Gold appellerte mot sin overbevisning, og vant.
Anklageren appellerte mot sin frifindelse til House of Lords og tapte. En av dommerne i den appellen, Lord David Brennan, opprettholdt sin frifinnelse og la til at hvis regjeringen ønsket å påtale seg forbrytere, skulle de lage de nødvendige lover for å gjøre det.
Denne nødvendigheten fører til etableringen av lov om misbruk av datamaskiner.
De tre forbrytelsene i lov om misbruk av datamaskiner
Computer Misuse Act, som ble introdusert i 1990, kriminaliserte tre spesielle atferd, hver med varierende straffer.
- Tilgang til et datasystem uten autorisasjon.
- Å få tilgang til et datasystem for å begå eller legge til rette for ytterligere lovbrudd.
- Få tilgang til et datasystem for å svekke driften av et hvilket som helst program, eller å endre data som ikke tilhører deg.
Avgjørende for at noe skal være straffbart under Computer Misuse Act 1990, må det være hensikt. Det er ikke for eksempel en forbrytelse for at noen skal utilsiktet og serendipitøst koble til en server eller et nettverk, de ikke har tillatelse til tilgang.
Men det er helt ulovlig at noen får tilgang til et system med hensikt, med kunnskap om at de ikke har tillatelse til å få tilgang til det.
Med en grunnleggende forståelse av hva som kreves, hovedsakelig på grunn av at teknologien var relativt ny, kriminaliserte lovgivningen i sin mest grunnleggende form ikke andre uønskede ting man kan gjøre med en datamaskin. Det har derfor blitt revidert flere ganger siden da, hvor det har blitt raffinert og utvidet.
Hva om DDoS angrep?
Perceptive lesere vil ha lagt merke til at i henhold til loven som beskrevet ovenfor, angriper DDoS Hva er et DDoS-angrep? [MakeUseOf Forklarer] Hva er et DDoS-angrep? [MakeUseOf Forklarer] Begrepet DDoS plystre forbi når cyberaktivisme reagerer opp hodet en masse. Disse typer angrep gjør internasjonale overskrifter på grunn av flere grunner. Problemene som hopper på de DDoS-angrepene er ofte kontroversielle eller svært ... Les mer er ikke ulovlig, til tross for den enorme mengden skade og forstyrrelse de kan forårsake. Det er fordi DDoS-angrep ikke får tilgang til et system. I stedet overvelder de det ved å lede store mengder trafikk på et gitt system, til det ikke lenger kan takle.
DDoS-angrep ble kriminalisert i 2006, et år etter at en domstol frikjent en tenåring som hadde oversvømmet sin arbeidsgiver med over 5 millioner e-postmeldinger. Den nye loven ble introdusert i politiet og rettsloven 2006, som la til et nytt endringsforslag til loven om misbruk av datamaskiner som kriminaliserte noe som kunne forringe driften eller tilgangen til en hvilken som helst datamaskin eller et program.
Som 1990-loven var dette bare en forbrytelse dersom det var nødvendig hensikt og kunnskap. Intensiv lansering av et DDoS-program er ulovlig, men blir smittet med et virus som lanserer et DDoS-angrep, ikke er.
Avgjørende, på dette tidspunktet var loven om misbruk av datamaskiner ikke diskriminerende. Det var like ulovlig for en politimann eller spion å hack inn i en datamaskin, som det var for en tenåring i soverommet hans å gjøre det. Dette ble endret i en 2015-endring.
Du kan ikke lage et virus, enten.
En annen seksjon (§ 37), som senere legges til i livet til datamaskinen misbruk lov, kriminaliserer produksjon, innhenting og levering av artikler som kan lette datamaskinen kriminalitet.
Dette gjør det ulovlig å for eksempel bygge et programvare system som kan starte DDoS-angrep, eller å opprette et virus eller en trojan.
Men dette introduserer en rekke potensielle problemer. For det første, hva betyr dette for den legitime sikkerhetsforskningsindustrien, kan du gjøre en levende ut av etisk hacking? Kan du gjøre en levende ut av etisk hacking? Å være merket a “hacker” kommer vanligvis med mange negative konnotasjoner. Hvis du kaller deg selv en hacker, vil folk ofte oppleve deg som noen som forårsaker ondskap bare for fnise. Men det er en forskjell ... Les mer, som har produsert hackingsverktøy og -utnyttelser med sikte på å øke datasikkerhet Slik tester du hjemme-nettverkssikkerhet med gratis hackingsverktøy Slik tester du hjemme-nettverkssikkerhet med gratis hackingsverktøy Ingen system kan være helt "hack proof", men nettleserens sikkerhetstester og nettverkssikkerhetsforanstaltninger kan gjøre oppsettet mer robust. Bruk disse gratis verktøyene til å identifisere "svake punkter" i hjemmenettverket ditt. Les mer ?
For det andre, hva betyr det for "dual use" -teknologi, som kan brukes til både legitime og illegitime oppgaver. Et godt eksempel på dette ville være Google Chrome Den enkle guiden til Google Chrome Den enkle guiden til Google Chrome Denne Chrome brukerhåndboken viser alt du trenger å vite om Google Chrome-nettleseren. Den dekker grunnleggende om bruk av Google Chrome som er viktig for enhver nybegynner. Les mer, som kan brukes til å surfe på Internett, men også starte SQL-injeksjonsangrep Hva er en SQL-injeksjon? [MakeUseOf Forklarer] Hva er en SQL-injeksjon? [MakeUseOf Forklarer] Verden av Internett-sikkerhet er plaget av åpne porter, bakdører, sikkerhetshull, trojanere, ormer, brannmur sårbarheter og en rekke andre problemer som holder oss alle på tærne hver dag. For private brukere, ... Les mer .
Svaret er igjen en hensikt. I Storbritannia blir anklagelser hentet av Crown Prosecution Service (CPS), som bestemmer om noen skal påtales. Beslutningen om å ta noen til retten er basert på en rekke skriftlige retningslinjer, som CPS må adlyde.
I dette tilfellet står det i retningslinjene at beslutningen om å påtale en person i henhold til § 37, bør bare gjøres dersom det er kriminelt hensikt. Den legger også til at for å avgjøre om et produkt ble bygget for å lette datamaskinen kriminalitet, bør aktor ta hensyn til legitim bruk, og motivasjonene bak å bygge den.
Dette kriminaliserer effektivt malwareproduksjon, samtidig som Storbritannias har en blomstrende informasjonssikkerhetsindustri.
“007 - Lisens til Hack”
Computer Misuse Act ble igjen oppdatert tidlig i 2015, om enn stille, og uten mye fanfare. To viktige endringer ble gjort.
Den første var at visse datakriminalitet i Storbritannia nå er straffbar med en levetid. Disse ville bli gitt ut hvis hackeren hadde hensikt og kunnskap om at deres handling var uautorisert og hadde potensial til å forårsake “alvorlig skade” til “menneskelig velferd og nasjonal sikkerhet” eller var “hensynsløs om hvorvidt en slik skade var forårsaket”.
Disse setningene ser ikke ut til å gjelde for din avdekkede tenåring i hagen. Snarere er de reddet for de som lanserer angrep som har potensial til å forårsake alvorlig skade på menneskeliv, eller er rettet mot kritisk nasjonal infrastruktur.
Den andre endringen som ble gjort ga politiet og etterretningsoperatører immunitet fra eksisterende lov om datakriminalitet. Noen applauerte det faktum at det kunne forenkle undersøkelser av de typer kriminelle som kunne forvirre sine aktiviteter gjennom teknologiske midler. Selv om andre, nemlig Privacy International, var opptatt av at det var moden for misbruk, og de tilstrekkelige sjekker og balanser ikke er på plass for at denne typen lovgivning skal eksistere.
Endringer i datamaskinen misbruk lov ble vedtatt 3. mars 2015, og ble lov 3. mai 2015.
Fremtiden for datamaskinen misbruk loven
The Computer Misuse Act er veldig mye et levende stykke lovgivning. Det er en som har forandret seg gjennom hele sitt liv, og vil sannsynligvis fortsette å gjøre det.
Den neste sannsynlige endringen skyldes å komme som et resultat av News of The World-telefonbruddskandalen, og vil sannsynligvis definere smarttelefoner som datamaskiner (som de er), og introdusere kriminaliteten om å frigjøre informasjon med intensjon.
Inntil da vil jeg høre tankene dine. Tror du at loven går for langt? Ikke langt nok? Fortell meg, og vi snakker nedenfor.
Fotokreditter: hacker og laptop Via Shutterstock, Brendan Howard / Shutterstock.com, Anonym DDC_1233 / Thierry Ehrmann, GCHQ Building / MOD
Utforsk mer om: Law, Online Privacy, Online Security.