The Computer Misuse Act La legge che criminalizza l'hacking nel Regno Unito
L'hacking nei computer è illegale praticamente in tutto il mondo.
Nel Regno Unito, la legislazione chiave che si occupa di reati informatici è il Computer Misuse Act 1990, che ha costituito la base di gran parte della legislazione sui crimini informatici in molte delle nazioni del Commonwealth.
Ma è anche un atto legislativo profondamente controverso, recentemente aggiornato per offrire a GCHQ, l'organizzazione di intelligence primaria del Regno Unito, il diritto legale di hackerare qualsiasi computer desiderino. Quindi, cos'è e cosa dice?
I primi hacker
The Computer Misuse Act è stato scritto e messo in discussione per la prima volta nel 1990, ma ciò non vuol dire che prima di allora non esistesse alcun crimine informatico. Piuttosto, è stato semplicemente incredibilmente difficile, se non impossibile, perseguire. Fu uno dei primi crimini informatici a essere perseguito nel Regno Unito R contro Robert Schifreen e Stephen Gold, nel 1985.
Schifreen e Gold, utilizzando apparecchiature informatiche semplici e immediatamente disponibili, riuscirono a compromettere il sistema Viewdata, che era un precursore rudimentale e centralizzato della moderna Internet di proprietà di Prestel, una controllata di British Telecom. L'hack era relativamente semplice. Trovarono un ingegnere della British Telecom e fecero surf sulla spalla quando inserì le sue credenziali di accesso (username '22222222' e password '1234'). Con queste informazioni, si sono scatenati attraverso Viewdata, anche sfogliando i messaggi privati della famiglia reale britannica.
British Telecom divenne presto sospettosa e iniziò a monitorare i presunti account Viewdata.
Non passò molto tempo finché i loro sospetti non furono confermati. BT ha notificato la polizia. Schifreen e Gold sono stati arrestati e accusati ai sensi della legge sulla contraffazione e la contraffazione. Sono stati condannati e hanno multato £ 750 e £ 600 rispettivamente. Il problema era che la legge sui falsi e la contraffazione non si applicava realmente ai crimini informatici, specialmente quelli che erano motivati dalla curiosità e dall'indagine, non da obiettivi finanziari.
Schifreen e Gold hanno fatto appello contro la loro condanna e hanno vinto.
L'accusa fece appello contro la loro assoluzione alla Camera dei Lord e perse. Uno dei giudici di quell'appello, Lord David Brennan, confermò la loro assoluzione, aggiungendo che se il governo desiderava perseguire i criminali informatici, dovrebbe creare le leggi appropriate per farlo.
Questa necessità ha portato alla creazione del Computer Misuse Act.
The Three Crimes Of The Computer Misuse Act
Il Computer Misuse Act, introdotto nel 1990, ha criminalizzato tre comportamenti particolari, ciascuno con pene diverse.
- Accesso a un sistema informatico senza autorizzazione.
- Accesso a un sistema informatico per commettere o facilitare ulteriori reati.
- Accesso a un sistema informatico per compromettere il funzionamento di qualsiasi programma o per modificare dati che non ti appartengono.
Fondamentalmente, perché qualcosa sia un reato ai sensi del Computer Misuse Act del 1990, deve esserci intento. Non è un crimine, ad esempio, che qualcuno si connetta inavvertitamente e in modo fortuito a un server o una rete a cui non hanno il permesso di accedere.
Ma è del tutto illegale per qualcuno accedere ad un sistema con l'intento, con la consapevolezza di non avere il permesso di accedervi.
Con una comprensione di base di ciò che era necessario, principalmente perché la tecnologia era relativamente nuova, la legislazione nella sua forma più fondamentale non criminalizzava altre cose indesiderabili che si possono fare con un computer. Di conseguenza, da allora è stato rivisto più volte, dove è stato perfezionato e ampliato.
Che dire degli attacchi DDoS?
I lettori di Perceptive avranno notato che secondo la legge come descritto sopra, DDoS attacca What Is a DDoS Attack? [MakeUseOf Explains] Che cos'è un attacco DDoS? [MakeUseOf Explains] Il termine DDoS sibila quando il cyber-attivismo impenna la sua testa in massa. Questi tipi di attacchi fanno notizia internazionale a causa di molteplici ragioni. I problemi che scatenano quegli attacchi DDoS sono spesso controversi o altamente ... Read More non sono illegali, nonostante la grande quantità di danni e interruzioni che possono causare. Questo perché gli attacchi DDoS non ottengono l'accesso a un sistema. Piuttosto, lo sommergono dirigendo enormi volumi di traffico su un dato sistema, finché non può più farcela.
Gli attacchi DDoS sono stati criminalizzati nel 2006, un anno dopo che un tribunale ha assolto un adolescente che aveva inondato il suo datore di lavoro con oltre 5 milioni di e-mail. La nuova legislazione è stata introdotta nel Police and Justice Act 2006, che ha aggiunto un nuovo emendamento alla Computer Misuse Act che criminalizzava qualsiasi cosa che potesse compromettere il funzionamento o l'accesso a qualsiasi computer o programma.
Come l'atto del 1990, questo era solo un crimine se c'era il requisito intento e conoscenza. Lanciare intenzionalmente un programma DDoS è illegale, ma non è possibile essere infettati da un virus che lancia un attacco DDoS.
Fondamentalmente, a questo punto, il Computer Misuse Act non era discriminante. Era altrettanto illegale per un agente di polizia o una spia penetrare in un computer, come lo era per un adolescente nella sua camera da letto. Questo è stato modificato in un emendamento del 2015.
Non puoi fare un virus, o.
Un'altra sezione (Sezione 37), aggiunta in seguito nella vita del Computer Misuse Act, criminalizza la produzione, l'ottenimento e la fornitura di articoli che potrebbero facilitare un crimine informatico.
Ciò rende illegale, ad esempio, creare un sistema software in grado di lanciare un attacco DDoS o creare un virus o un trojan.
Ma questo introduce una serie di potenziali problemi. In primo luogo, cosa significa questo per la legittima industria della ricerca sulla sicurezza. Puoi fare una vita da hacking etico? Riesci a sopravvivere con l'hacking etico? Essere etichettato a “pirata” di solito viene fornito con molte connotazioni negative. Se ti definisci un hacker, le persone spesso ti percepiscono come qualcuno che provoca malizia solo per risatine. Ma c'è una differenza ... Read More, che ha prodotto strumenti e exploit di hacking con l'obiettivo di aumentare la sicurezza del computer Come testare la sicurezza della rete domestica con strumenti di hacking gratuiti Come testare la sicurezza della rete domestica con strumenti di hacking gratuiti Nessun sistema può essere interamente "prova di hacking" ma i test di sicurezza del browser e le protezioni di rete possono rendere più robusto il tuo set-up. Usa questi strumenti gratuiti per identificare i "punti deboli" nella tua rete domestica. Leggi di più ?
In secondo luogo, che cosa significa per tecnologie "a duplice uso", che possono essere utilizzate sia per attività legittime che illegittime. Un ottimo esempio di questo sarebbe Google Chrome The Easy Guide to Google Chrome The Easy Guide to Google Chrome Questa guida utente di Chrome mostra tutto ciò che devi sapere sul browser Google Chrome. Riguarda le basi dell'utilizzo di Google Chrome che è importante per qualsiasi principiante. Ulteriori informazioni, che possono essere utilizzati per la navigazione in Internet, ma anche l'avvio degli attacchi SQL Injection What Is An SQL Injection? [MakeUseOf Explains] Che cos'è un'Iniezione SQL? [MakeUseOf Explains] Il mondo della sicurezza di Internet è afflitto da porte aperte, backdoor, buchi di sicurezza, trojan, worm, vulnerabilità dei firewall e una manciata di altri problemi che ci tengono tutti in punta di piedi ogni giorno. Per gli utenti privati, ... Per saperne di più .
La risposta è, ancora una volta, intento. Nel Regno Unito, i procedimenti giudiziari sono promossi dal Crown Prosecution Service (CPS), che determina se qualcuno debba essere processato. La decisione di portare qualcuno in tribunale si basa su una serie di linee guida scritte, alle quali il CPS deve obbedire.
In questo caso, le linee guida stabiliscono che la decisione di perseguire qualcuno ai sensi della Sezione 37 dovrebbe essere presa solo se esiste un intento criminale. Aggiunge anche che, al fine di determinare se un prodotto è stato costruito al fine di facilitare un crimine informatico, il pubblico ministero dovrebbe tener conto dell'uso legittimo e delle motivazioni alla base della sua costruzione.
Questo, in effetti, criminalizza la produzione di malware, consentendo al contempo al Regno Unito di avere una fiorente industria della sicurezza delle informazioni.
“007 - Licenza per Hack”
Il Computer Misuse Act è stato nuovamente aggiornato all'inizio del 2015, anche se in silenzio, e senza troppa fanfara. Sono stati apportati due importanti cambiamenti.
Il primo è che alcuni crimini informatici nel Regno Unito sono ora punibili con una condanna a vita. Questi sarebbero distribuiti se l'hacker avesse intenzione e conoscenza che la loro azione fosse non autorizzata e avesse il potenziale per causare “danno serio” a “benessere umano e sicurezza nazionale” o erano “sconsiderato se tale danno è stato causato”.
Queste frasi non sembrano applicarsi alla tua varietà di giardini adolescenti scontenti. Piuttosto, sono salvati per coloro che lanciano attacchi che possono potenzialmente causare gravi danni alla vita umana, o sono finalizzati a infrastrutture nazionali critiche.
Il secondo cambiamento che è stato fatto ha dato alla polizia e ai servizi segreti l'immunità dalla legislazione esistente sul crimine informatico. Alcuni hanno applaudito il fatto che potrebbe semplificare le indagini sui tipi di criminali che potrebbero offuscare le loro attività con mezzi tecnologici. Benché altri, in particolare Privacy International, fossero preoccupati che fosse maturo per abusi, e che non esistessero sufficienti controlli ed equilibri per questo tipo di legislazione esisterebbe.
Le modifiche al Computer Misuse Act sono state approvate il 3 marzo 2015 e sono diventate legge il 3 maggio 2015.
The Future of the Computer Misuse Act
The Computer Misuse Act è un atto legislativo molto vivo. È uno che è cambiato nel corso della sua vita e probabilmente continuerà a farlo.
Il prossimo probabile cambiamento sarà dovuto allo scandalo di phone of the News of the World e probabilmente definirà gli smartphone come dei computer (quali sono) e introdurrà il crimine di rilasciare informazioni con intento.
Fino ad allora, voglio sentire i tuoi pensieri. Pensi che la legge vada troppo oltre? Non abbastanza lontano? Dimmi, e parleremo qui sotto.
Crediti fotografici: hacker e laptop Via Shutterstock, Brendan Howard / Shutterstock.com, Anonimo DDC_1233 / Thierry Ehrmann, GCHQ Building / MOD
Scopri di più su: legge, privacy online, sicurezza online.