Annonse

Å hacke inn datamaskiner er ulovlig stort sett over hele verden.

I Storbritannia er den viktigste lovgivningen som omhandler datakriminalitet Computer Misuse Act 1990, som har dannet grunnlaget for mye av lovgivningen om datakriminalitet i mange av Commonwealth nasjoner.

Men det er også et dypt kontroversielt stykke lovverk, og det har nylig blitt oppdatert for å gi GCHQ, Storbritannias primære etterretningsorganisasjon, den juridiske retten til å hacke seg inn på hvilken som helst datamaskin de gjør ønske. Så, hva er det, og hva står det?

De første hackerne

Loven om datamishandling ble først skrevet og satt i lov i 1990, men det er ikke dermed sagt at det ikke var noen datakriminalitet før den gang. Snarere var det bare utrolig vanskelig, om ikke umulig, å straffeforfølge. En av de første dataforbrytelsene som ble tiltalt i Storbritannia var R v Robert Schifreen og Stephen Gold, i 1985.

Schifreen og Gold klarte å bruke komprimert datautstyr ved å bruke komprimert datautstyr, som var en rudimentær, sentralisert forløper til det moderne internett som eies av Prestel, et datterselskap av britisk Telecom. Hacket var relativt enkelt. De fant en britisk telekomingeniør og surfet på skuldrene mens han tastet inn påloggingsinformasjon (brukernavn ‘22222222’ og passord ‘1234’). Med denne informasjonen løp de amok gjennom Viewdata, og bla gjennom de private meldingene fra den britiske kongefamilien.

instagram viewer

CMA-Prestel

British Telecom ble snart mistenksom og begynte å overvåke de mistenkte Viewdata-kontoene.

Det gikk ikke lang tid før mistankene deres ble bekreftet. BT varslet politiet. Schifreen og Gold ble arrestert og siktet etter forfalsknings- og forfalskningsloven. De ble dømt og bøtelagt henholdsvis 750 og 600 pund. Problemet var at forfalsknings- og forfalskningsloven ikke virkelig gjaldt datakriminalitet, spesielt ikke de som var motivert av nysgjerrighet og etterforskning, ikke økonomiske mål.

Schifreen og Gold anket mot sin overbevisning, og vant.

Påtalemyndigheten anket mot frifinnelse til House of Lords, og tapte. En av dommerne i den anken, Lord David Brennan, stadfestet frifinnelse og la til at hvis regjeringen ønsket å straffeforfølge datakriminelle, burde de opprette passende lover for å gjøre det.

Denne nødvendigheten fører til at loven om misbruk av datamaskiner ble opprettet.

The Three Crimes Of Computer Misuse Act

Loven om misbruk av datamaskiner da den ble introdusert i 1990, kriminaliserte tre særskilte oppførsler, hver med ulik straff.

  • Åpne et datasystem uten autorisasjon.
  • Å få tilgang til et datasystem for å begå eller legge til rette for ytterligere lovbrudd.
  • Å få tilgang til et datasystem for å svekke driften av et program, eller for å endre data som ikke tilhører deg.

Avgjørende for at noe skal være et straffbart forhold i henhold til Computer Misuse Act 1990, må det være det hensikt. Det er for eksempel ikke en forbrytelse for noen å utilsiktet og serendipitously koble seg til en server eller nettverk de ikke har tilgang til.

Men det er helt ulovlig for noen å få tilgang til et system med hensikt, med visshet om at de ikke har tillatelse til å få tilgang til det.

Med en grunnleggende forståelse av hva som var nødvendig, hovedsakelig på grunn av at teknologien var relativt ny, vil lovgivning i sin mest grunnleggende form kriminaliserte ikke andre uønskede ting man kan gjøre med a datamaskin. Følgelig har den blitt revidert flere ganger siden den gang, der den har blitt foredlet og utvidet.

Hva med DDoS-angrep?

Oppfattende lesere vil ha lagt merke til at under loven som beskrevet ovenfor, DDoS angrep Hva er et DDoS-angrep? [MakeUseOf Explains]Begrepet DDoS plystrer forbi når cyber-aktivisme stiger hodet masse. Denne typen angrep gir internasjonale overskrifter på grunn av flere årsaker. Problemene som starter de DDoS-angrepene er ofte kontroversielle eller svært ... Les mer er ikke ulovlige, til tross for den enorme mengden skade og forstyrrelser de kan forårsake. Det er fordi DDoS-angrep ikke får tilgang til et system. Snarere overvelder de det ved å rette enorme trafikkmengder på et gitt system, til det ikke lenger kan takle det.

CMA DDoS

DDoS-angrep ble kriminalisert i 2006, ett år etter at en domstol frikjente en tenåring som hadde oversvømmet arbeidsgiveren sin med over 5 millioner e-poster. Den nye lovgivningen ble innført i Police and Justice Act 2006, som la en ny endring til Lov om misbruk av datamaskiner som kriminaliserte noe som kan skade driften eller tilgangen til hvilken som helst datamaskin eller program.

I likhet med loven fra 1990 var dette bare en forbrytelse hvis det var nødvendig hensikt og kunnskap. Å sette opp et DDoS-program med hensikt er ulovlig, men å bli smittet med et virus som lanserer et DDoS-angrep er det ikke.

Avgjørende, på dette tidspunktet, diskriminerte ikke loven om datamaskinbruk. Det var like ulovlig for en politimann eller spion å hacke seg inn på en datamaskin, som det var for en tenåring på soverommet hans å gjøre det. Dette ble endret i en 2015-endring.

Du kan ikke lage et virus.

En annen seksjon (seksjon 37), som ble lagt til senere i løpet av datamisbruksloven, kriminaliserer produksjon, innhenting og levering av artikler som kan lette en datakriminalitet.

Dette gjør det for eksempel ulovlig å bygge et programvaresystem som kan starte et DDoS-angrep, eller lage et virus eller trojan.

Men dette introduserer en rekke potensielle problemer. For det første, hva betyr dette for legitim sikkerhetsforskningsindustri Kan du leve av etisk hacking?Å bli stemplet som en "hacker" kommer vanligvis med mange negative konnotasjoner. Hvis du kaller deg selv en hacker, vil folk ofte oppfatte deg som en som forårsaker ugagn bare for fniser. Men det er en forskjell ... Les mer , som har produsert hackingverktøy og utnyttelse med et mål å øke datasikkerheten Slik tester du hjemmenettverkssikkerheten din med gratis verktøy for hackingIngen systemer kan være helt "hack proof", men nettlesersikkerhetstester og nettverkssikkerhet kan gjøre oppsettet mer robust. Bruk disse gratis verktøyene til å identifisere "svake steder" i hjemmenettverket. Les mer ?

For det andre, hva betyr det for ‘dual use’ teknologier, som kan brukes til både legitime og uekte oppgaver. Et flott eksempel på dette ville være Google Chrome Den enkle guiden til Google ChromeDenne Chrome brukerveiledningen viser alt du trenger å vite om Google Chrome nettleser. Det dekker det grunnleggende om å bruke Google Chrome som er viktig for enhver nybegynner. Les mer , som kan brukes til å surfe på Internett, men også lansere SQL-injeksjonsangrep Hva er en SQL-injeksjon? [MakeUseOf Explains]Verden av Internett-sikkerhet er plaget med åpne porter, bakdører, sikkerhetshull, trojanere, ormer, brannmurproblemer og en rekke andre problemer som holder oss alle på tå hver dag. For private brukere, ... Les mer .

CMA-hacker

Svaret er nok en gang intensjon. I Storbritannia anklages rettsforfølgning av Crown Prosecution Service (CPS), som avgjør om noen skal bli tiltalt. Avgjørelsen om å ta noen til retten er basert på en rekke skriftlige retningslinjer, som CPS må følge.

I dette tilfellet sier retningslinjene at beslutningen om å tiltale noen etter § 37 bare bør gjøres hvis det foreligger kriminell hensikt. Den legger også til at for å finne ut om et produkt ble bygget for å lette en datamaskin kriminalitet, skal aktor ta hensyn til legitim bruk, og motivasjonene bak bygging den.

Dette kriminaliserer effektiv produksjon av skadelig programvare, samtidig som Storbritannia har en blomstrende informasjonssikkerhetsindustri.

“007 - License to Hack”

Loven om datamisbruk ble igjen oppdatert i begynnelsen av 2015, om enn stille, og uten mye fanfare. To viktige endringer ble gjort.

Den første var at visse dataforbrytelser i Storbritannia nå kan straffes med livstidsdom. Disse ville bli gitt ut hvis hackeren hadde intensjon og kunnskap om at deres handlinger var uautorisert og hadde potensial å forårsake "alvorlig skade" på "menneskelig velferd og nasjonal sikkerhet" eller var "uvøren om hvorvidt en slik skade var forårsaket”.

Disse setningene ser ikke ut til å gjelde for den ungjente tenåringen til hagen din. Snarere blir de frelst for dem som setter i gang angrep som kan potensielt forårsake alvorlig skade på menneskelivet, eller som er rettet mot kritisk nasjonal infrastruktur.

CMA-GCHQ

Den andre endringen som ble gjort ga politi og etterretningsaktører immunitet mot eksisterende lovgivning om datakriminalitet. Noen applauderte det faktum at det kunne forenkle etterforskningen av de typer kriminelle som kunne tilsløre deres aktiviteter gjennom teknologiske midler. Selv om andre, nemlig Privacy International, var opptatt av at det var modent for misbruk, og at tilstrekkelige kontroller og avveininger ikke er til stede for at denne typen lovgivning eksisterer.

Endringer i loven om misbruk av datamaskiner ble vedtatt 3. mars 2015, og ble lov 3. mai 2015.

Fremtiden for loven om misbruk av datamaskiner

Datamisbruksloven er veldig et levende lovverk. Det er en som har endret seg gjennom livet, og vil sannsynligvis fortsette å gjøre det.

Den neste sannsynlige endringen skyldes å komme som et resultat av News of The World-telefonsikkerhetsskandalen, og vil sannsynligvis definere smarttelefoner som datamaskiner (som de er), og introdusere forbrytelsen ved å løslate informasjon med forsett.

Inntil da vil jeg høre tankene dine. Synes du loven går for langt? Ikke langt nok? Si meg, så snakkes vi nedenfor.

Fotokreditt: hacker og laptop Via Shutterstock, Brendan Howard / Shutterstock.com, Anonym DDC_1233 / Thierry Ehrmann, GCHQ Building / MOD

Matthew Hughes er programvareutvikler og skribent fra Liverpool, England. Han blir sjelden funnet uten en kopp sterk svart kaffe i hånden og elsker absolutt Macbook Pro og kameraet hans. Du kan lese bloggen hans på http://www.matthewhughes.co.uk og følg ham på twitter på @matthewhughes.