Hacken op computers is wereldwijd vrijwel illegaal.
In het VK is de belangrijkste wet op computermisdrijven de Computer Misuse Act 1990, die de basis is geweest van veel van de computercriminaliteitswetgeving in veel van de landen van het Gemenebest.
Maar het is ook een zeer controversieel stuk wetgeving en een die onlangs is bijgewerkt om GCHQ, de primaire inlichtingenorganisatie in het VK, het wettelijke recht te geven om op elke gewenste computer te hacken. Wat is het en wat zegt het?
De eerste hackers
De Computer Misuse Act is voor het eerst geschreven en in 1990 in de wetgeving omgezet, maar dat wil niet zeggen dat er tot die tijd geen computercriminaliteit heeft plaatsgevonden. Integendeel, het was gewoon ongelooflijk moeilijk, zo niet onmogelijk, om te vervolgen. Een van de eerste computercriminelen die in het VK werd vervolgd, was Rv Robert Schifreen en Stephen Gold in 1985.
Schifreen en Gold, gebruik makend van eenvoudige, standaard computerapparatuur, slaagden erin het Viewdata-systeem te compromitteren, wat een rudimentaire, gecentraliseerde voorloper was van het moderne internet van Prestel, een dochteronderneming van British Telecom. De hack was relatief simpel. Ze vonden een Britse Telecom-ingenieur en namen een kijkje op de computer terwijl hij zijn inloggegevens invoerde (gebruikersnaam '22222222' en wachtwoord '1234'). Met deze informatie liepen ze amusaat door Viewdata, zelfs door de privéberichten van het Britse koningshuis te bladeren.
British Telecom werd al snel achterdochtig en begon de verdachte Viewdata-accounts te monitoren.
Het duurde niet lang voordat hun vermoedens werden bevestigd. BT heeft de politie op de hoogte gesteld. Schifreen en Gold werden gearresteerd en aangeklaagd onder de wet inzake vervalsing en namaak. Ze werden veroordeeld en kregen respectievelijk een boete van £ 750 en £ 600. Het probleem was dat de vervalsing en valsemunterij niet echt van toepassing was op computercriminaliteit, in het bijzonder die waren gemotiveerd door nieuwsgierigheid en onderzoek, niet door financiële doelen.
Schifreen en Gold deden een beroep op hun veroordeling en wonnen.
De aanklager ging in beroep tegen hun vrijspraak aan het House of Lords en verloor. Eén van de rechters in dat hoger beroep, Lord David Brennan, bevestigde hun vrijspraak en voegde eraan toe dat als de overheid computercriminelen wilde vervolgen, zij daartoe de juiste wetten zouden moeten opstellen.
Deze noodzaak heeft geleid tot de oprichting van de Computer Misuse Act.
De drie misdaden van de Computer Misbruik Act
De Computer Misuse Act, geïntroduceerd in 1990, strafte drie specifieke gedragingen, elk met verschillende straffen.
- Toegang tot een computersysteem zonder autorisatie.
- Toegang krijgen tot een computersysteem om verdere overtredingen te plegen of te vergemakkelijken.
- Toegang krijgen tot een computersysteem om de werking van een programma te belemmeren of om gegevens aan te passen die niet van u zijn.
Cruciaal is dat, om iets strafbaar te maken onder de Computer Misuse Act 1990, er intentie moet zijn . Het is bijvoorbeeld geen misdaad iemand ongewild en serendipelig verbinding te maken met een server of netwerk waartoe ze geen toegang hebben.
Maar het is volkomen illegaal voor iemand om een systeem met opzet te openen, met de wetenschap dat ze geen toestemming hebben om toegang te krijgen tot het systeem.
Met een basiskennis van wat nodig was, vooral omdat de technologie relatief nieuw was, heeft de wetgeving in zijn meest fundamentele vorm andere ongewenste dingen die met een computer kunnen worden gedaan, niet strafbaar gesteld. Daarom is het sindsdien meerdere keren herzien, waar het is verfijnd en uitgebreid.
Hoe zit het met DDoS-aanvallen?
Perceptieve lezers zullen gemerkt hebben dat onder de wet zoals hierboven beschreven, DDoS What Is a DDoS Attack aanvallen? [MakeUseOf Explains] Wat is een DDoS-aanval? [MakeUseOf Explains] De term DDoS fluit voorbij als cyberactivisme massaal zijn hoofd opsteekt. Dit soort aanvallen maken internationale krantenkoppen vanwege meerdere redenen. De problemen die de aanzet zijn voor die DDoS-aanvallen zijn vaak controversieel of in hoge mate ... Read More zijn niet illegaal, ondanks de enorme hoeveelheid schade en verstoring die ze kunnen veroorzaken. Dat komt omdat DDoS-aanvallen geen toegang krijgen tot een systeem. Integendeel, ze overweldigen het door enorme hoeveelheden verkeer naar een bepaald systeem te leiden, totdat het niet meer kan.
DDoS-aanvallen werden in 2006 strafbaar gesteld, een jaar nadat een rechtbank een tiener had vrijgesproken die zijn werkgever had overspoeld met meer dan 5 miljoen e-mails. De nieuwe wetgeving werd geïntroduceerd in de Police and Justice Act 2006, die een nieuw amendement aan de Computer Misuse Act toevoegt dat alles wat de werking of toegang van elke computer of programma kan aantasten, strafbaar heeft gesteld.
Net als de wet van 1990 was dit slechts een misdaad als er de vereiste intentie en kennis was . Het opzettelijk lanceren van een DDoS-programma is illegaal, maar besmet raken met een virus dat een DDoS-aanval start is dat niet.
Cruciaal was dat de Computer Misuse Act op dit moment niet discriminerend was. Het was net zo illegaal voor een politieagent of spion om een computer te hacken, net als voor een tiener in zijn slaapkamer om het te doen. Dit is in 2015 gewijzigd.
U kunt geen virus maken, geen van beiden.
Een ander deel (artikel 37), later toegevoegd in het leven van de Computer Misuse Act, criminaliseert de productie, het verkrijgen en leveren van artikelen die een computercriminaliteit kunnen vergemakkelijken.
Dit maakt het bijvoorbeeld illegaal om een softwaresysteem te bouwen dat een DDoS-aanval kan starten of om een virus of trojan te maken.
Maar dit introduceert een aantal potentiële problemen. Ten eerste, wat betekent dit voor de legitieme beveiligingsonderzoeksindustrie Kan je een leven zonder ethisch hacken maken? Kun je een leven zonder ethisch hacken maken? Een 'hacker' worden genoemd krijgt meestal veel negatieve connotaties. Als je jezelf een hacker noemt, zullen mensen je vaak zien als iemand die kattenkwaad uithaalt. Maar er is een verschil ... Lees meer, dat hackingtools en exploits heeft ontwikkeld met het doel de computerbeveiliging te vergroten Hoe uw thuisnetwerk te testen Beveiliging met gratis hacking-tools Hoe uw thuisnetwerk te testen Beveiliging met gratis hacking-tools Geen enkel systeem kan wees volledig "hackproof", maar browserbeveiligingstests en netwerkwaarborgen kunnen uw opstelling robuuster maken. Gebruik deze gratis hulpmiddelen om "zwakke plekken" in uw thuisnetwerk te identificeren. Lees verder ?
Ten tweede, wat betekent dit voor 'dual use'-technologieën, die kunnen worden gebruikt voor zowel legitieme als onwettige taken. Een goed voorbeeld hiervan is Google Chrome De eenvoudige handleiding voor Google Chrome De eenvoudige gids voor Google Chrome Deze Chrome-gebruikershandleiding bevat alles wat u moet weten over de Google Chrome-browser. Het behandelt de basisprincipes van het gebruik van Google Chrome die belangrijk is voor elke beginner. Meer lezen, wat kan worden gebruikt voor surfen op internet, maar ook het starten van SQL-injectieaanvallen Wat is een SQL-injectie? [MakeUseOf Explains] Wat is een SQL-injectie? [MakeUseOf Explains] De wereld van internetbeveiliging wordt geplaagd door open poorten, achterdeurtjes, gaten in de beveiliging, Trojaanse paarden, wormen, kwetsbaarheden voor firewalls en een hele reeks andere problemen die ons dagelijks scherp houden. Voor privé-gebruikers, ... Lees meer.
Het antwoord is, nogmaals, bedoeling. In het VK worden vervolging ingesteld door de Crown Prosecution Service (CPS), die bepaalt of iemand vervolgd moet worden. De beslissing om iemand voor de rechtbank te dagen, is gebaseerd op een aantal schriftelijke richtlijnen die de CPS moeten naleven.
In dit geval geven de richtlijnen aan dat de beslissing om iemand te vervolgen op grond van artikel 37 alleen moet worden uitgevoerd als er sprake is van criminele bedoelingen. Het voegt ook toe dat om te bepalen of een product is gebouwd om een computercrisis te vergemakkelijken, de officier van justitie rekening moet houden met legitiem gebruik en de beweegredenen achter het bouwen ervan.
Hierdoor wordt de productie van malware strafbaar gesteld, terwijl het VK een bloeiende informatiebeveiligingsindustrie kan hebben.
"007 - Licentie om te hacken"
De Computer Misuse Act werd begin 2015 opnieuw geactualiseerd, zij het stil en zonder veel tamtam. Er zijn twee belangrijke wijzigingen aangebracht.
De eerste was dat bepaalde computercriminaliteit in het VK nu strafbaar is met een levenslange gevangenisstraf. Deze zouden worden uitgedeeld als de hacker van plan was en wist dat hun actie ongeoorloofd was, en de potentie had om "ernstige schade" toe te brengen aan "het menselijk welzijn en de nationale veiligheid" of "roekeloos om te weten of dergelijke schade werd veroorzaakt".
Deze zinnen lijken niet van toepassing op uw tuinafhankelijke tiener. In plaats daarvan worden ze gered voor degenen die aanvallen lanceren die het potentieel hebben om ernstige schade toe te brengen aan het menselijk leven, of zijn gericht op kritieke nationale infrastructuur.
De tweede wijziging die werd aangebracht, gaf politie- en inlichtingendiensten immuniteit tegen de bestaande wetgeving inzake computercriminaliteit. Sommigen juichten het toe dat het onderzoek naar de soorten criminelen die hun activiteiten met technologische middelen konden versluieren zou vereenvoudigen. Hoewel anderen, namelijk Privacy International, vreesden dat het rijp was voor misbruik, en dat er onvoldoende checks and balances zijn om dit soort wetgeving te laten bestaan.
Wijzigingen in de wet op misbruik van computers zijn op 3 maart 2015 goedgekeurd en zijn op 3 mei 2015 in werking getreden.
De toekomst van de Computer Misuse Act
De Computer Misusing Act is een zeer levend stuk wetgeving. Het is er een die zijn leven lang is veranderd en waarschijnlijk zal blijven doen.
De volgende waarschijnlijke verandering zal waarschijnlijk het gevolg zijn van het schandaal voor het hacken van het nieuws van de wereld, en zal waarschijnlijk smartphones definiëren als computers (wat ze zijn), en de misdaad introduceren van het met opzet vrijgeven van informatie.
Tot die tijd wil ik je gedachten horen. Denk je dat de wet te ver gaat? Niet ver genoeg? Vertel het me, en we zullen hieronder chatten.
Fotocredits: hacker en laptop Via Shutterstock, Brendan Howard / Shutterstock.com, Anonymous DDC_1233 / Thierry Ehrmann, GCHQ Building / MOD