Delen:
De Computer Misuse Act De wet die hacking in het VK criminaliseert
Hacken op computers is wereldwijd vrijwel illegaal.
In het Verenigd Koninkrijk is de belangrijkste wetgeving die zich bezighoudt met computercriminaliteit de Computer Misuse Act 1990, die de basis heeft gevormd voor veel van de computercriminaliteitswetgeving in veel van de Commonwealth-landen.
Maar het is ook een zeer controversieel stuk wetgeving, en een die onlangs is bijgewerkt om GCHQ, de primaire inlichtingenorganisatie in het Verenigd Koninkrijk, het wettelijke recht te geven om op elke gewenste computer te hacken. Wat is het en wat zegt het?
De eerste hackers
De Computer Misuse Act is voor het eerst geschreven en in 1990 in de wetgeving omgezet, maar dat wil niet zeggen dat er tot die tijd geen computercriminaliteit heeft plaatsgevonden. Integendeel, het was gewoon ongelooflijk moeilijk, zo niet onmogelijk, om te vervolgen. Een van de eerste computercriminelen die in Groot-Brittannië werd vervolgd was R v Robert Schifreen en Stephen Gold, in 1985.
Schifreen en Gold, met behulp van eenvoudige, standaard computerapparatuur, slaagden erin het Viewdata-systeem te compromitteren, wat een rudimentaire, gecentraliseerde voorloper was van het moderne internet van Prestel, een dochteronderneming van British Telecom. De hack was relatief simpel. Ze vonden een Britse Telecom-ingenieur en namen een kijkje op de computer terwijl hij zijn inloggegevens invoerde (gebruikersnaam '22222222' en wachtwoord '1234'). Met deze informatie liepen ze amusaat door Viewdata, zelfs door de privéberichten van de Britse koninklijke familie te bladeren.
British Telecom werd al snel achterdochtig en begon de verdachte Viewdata-accounts te monitoren.
Het duurde niet lang voordat hun vermoedens werden bevestigd. BT heeft de politie op de hoogte gesteld. Schifreen en Gold werden gearresteerd en aangeklaagd onder de wet inzake vervalsing en namaak. Ze werden veroordeeld en kregen respectievelijk een boete van £ 750 en £ 600. Het probleem was dat de vervalsing en valsemunterij niet echt van toepassing was op computercriminaliteit, met name degenen die gemotiveerd waren door nieuwsgierigheid en onderzoek, niet door financiële doelen.
Schifreen en Gold deden een beroep op hun veroordeling en wonnen.
De aanklager ging in beroep tegen hun vrijspraak aan het House of Lords en verloor. Eén van de rechters in dat hoger beroep, Lord David Brennan, bevestigde hun vrijspraak en voegde eraan toe dat als de overheid computercriminelen wilde vervolgen, zij daartoe de juiste wetten zouden moeten opstellen..
Deze noodzaak heeft geleid tot de oprichting van de Computer Misuse Act.
De drie misdaden van de Computer Misbruik Act
De Computer Misuse Act, geïntroduceerd in 1990, strafte drie specifieke gedragingen, elk met verschillende straffen.
- Toegang tot een computersysteem zonder autorisatie.
- Toegang krijgen tot een computersysteem om verdere overtredingen te plegen of te vergemakkelijken.
- Toegang krijgen tot een computersysteem om de werking van een programma te belemmeren of om gegevens aan te passen die niet van u zijn.
Cruciaal is dat iets een strafbaar feit is onder de Computer Misuse Act 1990, maar dat moet wel voornemen. Het is bijvoorbeeld geen misdaad iemand ongewild en serendipelig verbinding te maken met een server of netwerk waarvoor ze geen toegang hebben.
Maar het is volkomen illegaal voor iemand om een systeem met opzet te openen, met de wetenschap dat ze geen toestemming hebben om toegang te krijgen tot het systeem.
Met een basiskennis van wat nodig was, voornamelijk omdat de technologie relatief nieuw was, heeft de wetgeving in zijn meest fundamentele vorm andere ongewenste dingen die met een computer kunnen worden gedaan, niet strafbaar gesteld. Daarom is het sindsdien meerdere keren herzien, waar het is verfijnd en uitgebreid.
Hoe zit het met DDoS-aanvallen?
Perceptieve lezers zullen gemerkt hebben dat onder de wet zoals hierboven beschreven, DDoS What Is a DDoS Attack aanvallen? [MakeUseOf Explains] Wat is een DDoS-aanval? [MakeUseOf Explains] De term DDoS fluit voorbij als cyberactivisme massaal zijn hoofd opsteekt. Dit soort aanvallen maken internationale krantenkoppen vanwege meerdere redenen. De problemen die de aanzet zijn voor die DDoS-aanvallen zijn vaak controversieel of in hoge mate ... Meer lezen is niet illegaal, ondanks de enorme hoeveelheid schade en verstoring die ze kunnen veroorzaken. Dat komt omdat DDoS-aanvallen geen toegang krijgen tot een systeem. Integendeel, ze overweldigen het door massale hoeveelheden verkeer naar een bepaald systeem te leiden, totdat het niet meer kan.
DDoS-aanvallen werden in 2006 strafbaar gesteld, een jaar nadat een rechtbank een tiener had vrijgesproken die zijn werkgever had overspoeld met meer dan 5 miljoen e-mails. De nieuwe wetgeving werd geïntroduceerd in de Police and Justice Act 2006, die een nieuw amendement aan de Computer Misuse Act toevoegt dat alles strafbaar stelt dat de werking of toegang van elke computer of programma zou kunnen schaden.
Net als de wet van 1990 was dit slechts een misdaad als er de vereiste was voornemen en kennis. Het opzettelijk lanceren van een DDoS-programma is illegaal, maar besmet raken met een virus dat een DDoS-aanval start is dat niet.
Cruciaal was dat de Computer Misuse Act op dit moment niet discriminerend was. Het was net zo illegaal voor een politieagent of spion om een computer te hacken, net als voor een tiener in zijn slaapkamer om het te doen. Dit is in 2015 gewijzigd.
U kunt geen virus maken, geen van beiden.
Een ander gedeelte (Paragraaf 37), later toegevoegd in het leven van de Computer Misusing Act, criminaliseert de productie, het verkrijgen en leveren van artikelen die een computercriminaliteit kunnen vergemakkelijken..
Dit maakt het bijvoorbeeld illegaal om een softwaresysteem te bouwen dat een DDoS-aanval kan starten of om een virus of trojan te maken..
Maar dit introduceert een aantal potentiële problemen. Ten eerste, wat betekent dit voor de legitieme beveiligingsonderzoeksindustrie Kan je een leven zonder ethisch hacken maken? Kun je een leven zonder ethisch hacken maken? Wordt gelabeld a “hacker” komt meestal met veel negatieve connotaties. Als je jezelf een hacker noemt, zullen mensen je vaak zien als iemand die kattenkwaad uithaalt. Maar er is een verschil ... Lees meer, wat hacktools en exploits heeft opgeleverd met het doel de computerbeveiliging te vergroten Hoe je je thuisnetwerk te testen Beveiliging met gratis hacking tools Hoe je thuisnetwerk te testen Beveiliging met gratis hacking tools Geen enkel systeem kan volledig zijn "hack proof" maar browserbeveiligingstests en netwerkwaarborgen kunnen uw opstelling robuuster maken. Gebruik deze gratis hulpmiddelen om "zwakke plekken" in uw thuisnetwerk te identificeren. Lees verder ?
Ten tweede, wat betekent dit voor 'dual use'-technologieën, die kunnen worden gebruikt voor zowel legitieme als onwettige taken. Een goed voorbeeld hiervan is Google Chrome De eenvoudige handleiding voor Google Chrome De eenvoudige gids voor Google Chrome Deze Chrome-gebruikershandleiding bevat alles wat u moet weten over de Google Chrome-browser. Het behandelt de basisprincipes van het gebruik van Google Chrome die belangrijk is voor elke beginner. Meer lezen, wat kan worden gebruikt voor surfen op internet, maar ook het starten van SQL-injectieaanvallen Wat is een SQL-injectie? [MakeUseOf Explains] Wat is een SQL-injectie? [MakeUseOf Explains] De wereld van internetbeveiliging wordt geplaagd door open poorten, achterdeurtjes, gaten in de beveiliging, Trojaanse paarden, wormen, kwetsbaarheden voor firewalls en een hele reeks andere problemen die ons dagelijks scherp houden. Voor privé-gebruikers, ... Lees meer .
Het antwoord is, nogmaals, opzet. In het VK worden vervolging ingesteld door de Crown Prosecution Service (CPS), die bepaalt of iemand vervolgd moet worden. De beslissing om iemand voor de rechtbank te dagen, is gebaseerd op een aantal schriftelijke richtlijnen die de CPS moeten naleven.
In dit geval geven de richtlijnen aan dat de beslissing om iemand te vervolgen op grond van artikel 37 alleen moet worden uitgevoerd als er sprake is van criminele bedoelingen. Het voegt ook toe dat om te bepalen of een product is gebouwd om een computercrisis te vergemakkelijken, de officier van justitie rekening moet houden met legitiem gebruik en de beweegredenen achter het bouwen ervan..
Hierdoor wordt de productie van malware strafbaar gesteld, terwijl het VK een bloeiende informatiebeveiligingsindustrie kan hebben.
“007 - Licentie voor Hack”
De Computer Misuse Act werd begin 2015 opnieuw geactualiseerd, zij het stil en zonder veel tamtam. Er zijn twee belangrijke wijzigingen aangebracht.
De eerste was dat bepaalde computercriminaliteit in het VK nu strafbaar is met een levenslange gevangenisstraf. Deze zouden worden uitgegeven als de hacker de intentie en kennis had dat hun actie ongeoorloofd was en de potentie had om te veroorzaken “serieuze schade” naar “menselijk welzijn en nationale veiligheid” of waren “roekeloos over de vraag of dergelijke schade is veroorzaakt”.
Deze zinnen lijken niet van toepassing op uw tuinafhankelijke tiener. In plaats daarvan worden ze gered voor degenen die aanvallen lanceren die het potentieel hebben om ernstige schade toe te brengen aan het menselijk leven, of zijn gericht op kritieke nationale infrastructuur.
De tweede wijziging die werd aangebracht, gaf politie- en inlichtingendiensten immuniteit tegen de bestaande wetgeving inzake computercriminaliteit. Sommigen juichten het toe dat het onderzoek naar de soorten criminelen die hun activiteiten met technologische middelen konden versluieren zou vereenvoudigen. Hoewel anderen, namelijk Privacy International, vreesden dat het rijp was voor misbruik, en dat er onvoldoende checks and balances zijn om dit type wetgeving te laten bestaan.
Wijzigingen in de wet op misbruik van computers zijn op 3 maart 2015 goedgekeurd en zijn op 3 mei 2015 in werking getreden.
De toekomst van de Computer Misuse Act
De Computer Misusing Act is een zeer levend stuk wetgeving. Het is er een die zijn hele leven is veranderd en waarschijnlijk zal blijven doen.
De volgende waarschijnlijke verandering zal waarschijnlijk het gevolg zijn van het telefoonschandaal van News of The World, en zal waarschijnlijk smartphones definiëren als computers (wat ze zijn), en de misdaad introduceren van het vrijgeven van informatie met opzet.
Tot die tijd wil ik je gedachten horen. Denk je dat de wet te ver gaat? Niet ver genoeg? Vertel het me, en we zullen hieronder chatten.
Fotocredits: hacker en laptop Via Shutterstock, Brendan Howard / Shutterstock.com, Anonymous DDC_1233 / Thierry Ehrmann, GCHQ Building / MOD
Meer informatie over: wetgeving, online privacy, online beveiliging.