Максимальная Безопасность:

Руководство Хакера по Защите Вашего Internet Сайта и Сети

Предыдущая главаСледующая главаСодержание

31

Действительность: Компьютерная Безопасность и Закон

Эта глава обсуждает закон, как он применяется к Internet здесь и за границей. Главным образом мой анализ нацелен на уголовное право, управляющее Internet.

Соединённые Штаты

Мой рассказ начинается с 1988 с Вируса Morris'а из Соединённых Штатов, случая с Internet червем. Я должен, однако, обеспечить некоторый введение, поскольку многие случаи предшествовали этому. Эти случаи определили по общему признанию запутанную конструкцию закона Internet.

Телефонные Взломщики

Если Вы помните, я писал о телефонных взломщиках и их поисках, чтобы захватить телефонную службу. Как я объяснил, невозможно идентифицировать точный момент, когда первый телефонный взломщик прорубил себе путь к Internet. В то время сеть всё ещё упоминалась как ARPAnet.

Конкретное доказательство телефонных взломщиков, обращающихся к ARPAnet, может быть прослежено (по крайней мере, в Сети) до 1985. В ноябре этого года популярный, онлайновый журнал о фрекинге Phrack издал своё второе издание. В нём был список телефонных вызовов из ARPAnet и нескольких военных установок.

Ссылка: Список телефонных вызовов из ARPAnet может быть найден в Phrack, Том Первый, Издание Второе, "Tac Dialups taken from ARPAnet", от Phantom Phreaker. Найдите его в Сети на
http://www.fc.net/phrack/files/p02/p02-1.html.

К 1985 эта деятельность стала массовой. Дети торговали списками потенциальных адресатов, и сети злоумышленников начали развиваться. Для ярких молодых американцев с компьютерами открылся целый новый мир; этот мир был в значительной степени без законов.

Но история простирается ещё дальше. В 1981 группа взломщиков захватила управление коммутатором Белого Дома, используя его для трансатлантических телефонных звонков. Это было первое в ряде случаев событие, которые привлекло внимание законодательного органа.

Большинство атакованных сайтов были либо сайты федерального правительства или сайты, размещенные на компьютерах федерального интереса. Хотя это может звучать экстраординарно, но в то время не было закона, который бы явно запрещал взлом правительственного компьютера или телекоммуникационной системы. Поэтому, законодатели и суды были вынуждены создать его, применяя любую статью, которая близко подходила к ситуации.

Как Вы могли ожидать, преступное нарушение границ было в то время популярным обвинением. Другие общие обвинения были воровство, мошенничество и т.д. Однако всё изменилось с принятием в 1986 Закона о Компьютерном Мошенничестве и Злоупотреблении. После принятия этого закона, столы значительно повернулись. Это явление началось с U.S. v. Morris.

Соединённые Штаты Америки v. Robert Tappan Morris

Инцидент с Internet червем (или, как это стало известным, Червь Морриса) навсегда изменил отношение к нападениям на Internet. Это изменение не было постепенным. Организации типа CERT, FIRST и DDN торопливо предприняли действия вслед за нападением, чтобы гарантировать, что ни будь такой величины никогда не сможет случиться снова. Сообщество безопасности было против осуждения Morris'а. Тем не менее, заключительное решение в этом случае имело бы некоторые значения поражения для хакеров и взломщиков.

Правительство приняло позицию, что Morris нарушил Раздел 2(d) Закона о Компьютерном Мошенничестве и Злоупотреблении 1986, 18 U.S.C. 1030(a)(5)(A)(1988). Это действие преследует некоторый класс людей:

... любой, кто преднамеренно обращается без разрешения к категории компьютеров, известных как "компьютеры федерального интереса", и повреждает или предотвращает уполномоченное использование информации в таких компьютерах, вызывает потерю $1,000 или больше ...

Для тех из вас, кто не юрист, необходимо некоторое объяснение. Большинство преступлений имеют несколько элементов; каждый должен быть доказан прежде, чем успешное дело может быть выдвинуто против ответчика. Например, в разнообразных гражданских делах о мошенничестве, главные элементы

Если истец не может продемонстрировать даже один из этих элементов, он проиграет. Например, даже если первые четыре элемента есть, и жертва ничего не потеряла от мошенничества, никакого дела не будет (то есть никакое дело основанное на такой претензии будет отведено).

ПРИМЕЧАНИЕ: Это отличается от уголовного закона. В уголовном законе, даже если пятый элемент отсутствует, ответчик может всё ещё быть мошенником (то есть повреждение не существенное требование в деле уголовного мошенничества).

Чтобы привести любое дело к успешному заключению, обвинитель должен согласовать образец факта дела с массой элементов, которые включают обвинение в нарушении. Например, если намерение необходимый элемент, оно должно быть доказано. Такие элементы формируют структуру из любой данной уголовной информационной записи. Структура дела Morris была основана на Законе о Компьютерном Мошенничестве и Злоупотреблении 1986. При этом действии, необходимые элементы были

Аргументы, которые, в конечном счете, пошли на апелляцию, были чрезвычайно узки. Например, было разъяренное разногласие относительно того, что предполагается под преднамеренно в конструкции статьи:

Morris доказывает, что Правительство должно доказать не только, что он получил неавторизованный доступ к компьютеру федерального интереса, но также и то, что он намеревался не дать другим использовать его, и таким образом вызвать убытки. Наречие "преднамеренно", говорит он, изменяет обе фразы глагола раздела. Правительство настаивает, что, так как пунктуация установила фразу "доступы" от последующей фразы "повреждения", условие однозначно показывает, что "преднамеренно" изменяет только "доступы".

Аргумент Morris'а был отклонен Апелляционными Судами. Вместо этого, они хотели интерпретировать статью следующим образом: простого намеренного (неавторизованного) доступа к компьютеру федерального интереса достаточно (то есть не необходимо, чтобы Morris также намеревался вызвать ущерб). Защита противостояла этому очевидным аргументом, что, если это было так, то статья была плохо задумана. Как интерпретируется Апелляционными Судами, эта статья наказывает мелких злоумышленников такими же жёсткими штрафами, как и истинных злоумышленников. К сожалению, суд не клюнул на это. Сравните это со статьями Великобритании, обсуждёнными позже, где намерение определённо необходимо.

Второй интересный элемент это требование, что атакованные компьютеры были компьютерами федерального интереса. В значении акта, компьютер федерального интереса это любой компьютер, который предназначен:

... исключительно для использования в финансовом учреждении или Правительстве Соединённых Штатов, или, в случае компьютера не исключительно для такого использования, используемого или для финансового учреждения или Правительства Соединённых Штатов, и поведения, составляющего нарушение, воздействует на такое использование; или это один из двух или больше компьютеров, используемых в совершении нарушения, не все из которых расположены в одном и том же Штате.

Первое и второе требования были исключительны. Следующее описание это второй параграф:

... который является одним из двух или больше компьютеров, используемых в совершении нарушения, не все из которых расположены в одном и том же Штате.

Другими словами, с точки зрения правительства, любые два или больше компьютеров, расположенных в различных штатах, были компьютерами федеральные интереса в пределах конструкции акта. Эта характеристика с тех пор был исправлена так, чтобы термин теперь применялся бы к любому действию, предпринятому через компьютер в межгосударственной торговле. Это естественно имеет широкие значения и в основном сводит определение к любому компьютеру, приложенному к Internet. Вот почему:

Юридический термин межгосударственная торговля означает что-то слегка отличное оттого, что это означает в нормальной речи. Первые конкретные юридические приложения термина в Соединённых Штатах следовали за принятием Акта Sherman, федеральный антимонопольный законопроект, подписанный Президентом Benjamin Harrison 2 июля, 1890. Акт запретил ограничение "... торговли или коммерции среди нескольких штатов, или с иностранными нациями". Как определено в Чёрном Юридическом Словаре (Blacks Law Dictionary) (промышленный стандарт), межгосударственная торговля это

Трафик, общение, торговля рекламы, или транспортирование людей или свойства между или среди нескольких штатов Америки, или от или между пунктами в одном штате и пунктах в другом штате ...

Из этого можно заключить, что межгосударственная торговля проводится только, когда некоторый физический, материальный товар передан между несколькими государствами. Это ошибочно. Термин с тех пор применялся к каждому виду товара и услуги. В некоторых типах действий, достаточно, чтобы только самая маленькая часть товара или услуги, торговалась между несколькими государствами. Например, если больница принимает пациентов, защищённых страховыми свидетельствами, и расположенных вне границ текущего государства, это, по определению, межгосударственная торговля. Это так, даже если пациент и больница расположены в пределах одного и того же государства.

Однако, есть ограничения в отношении власти Конгресса в урегулировании такой межгосударственной торговли, особенно, если деятельность осуществляется в пределах одного государства, но имеет только ограниченный эффект на межгосударственную торговлю. Например, в A. L. A. Schecter Poultry Corp. v. United States (1935), Верховный Суд:

... характерное различие между прямыми и косвенными эффектами внутригосударственных сделок на межгосударственную торговлю как "фундаментальны, необходимы для обслуживания нашей конституционной системы". Действия, которые воздействуют на межгосударственную торговлю непосредственно, в пределах власти Конгресса; действия, которые воздействуют на межгосударственную торговлю косвенно, вне досягаемости Конгресса. Обоснование этого формального различия было внедрено в опасении, что иначе "не будет фактически никакого предела федеральной власти и для всех практических целей мы должны будем иметь полностью централизованное правительство".

В любом случае, на данный момент, устав достаточно широк, чтобы правительство могло выбирать брать или не брать почти любой случай взлома, который оно желает, даже если нападающая и целевая машины расположены в одном и том же государстве. И из внутреннего опыта с федеральным правительством, я могу сообщить Вам, что это является выборочным. Многое зависит от характера случая. Естественно, большее количество случаев взлома имеет тенденцию выскочить в федеральную юрисдикцию, прежде всего, потому что федеральное правительство больше испытано в таких исследованиях. Многие государственные службы плохо подготовлены к таким случаям. Фактически, законы маленького округа или городка, возможно, никогда не встречались с таким случаем.

Это в основном проблема обучения. Необходимо больше знаний на государственном и местном уровнях в таких исследованиях и судебных преследованиях. Такие знания могут быть дороги и трудолюбивы, особенно в регионах, где Internet всё ещё новое явление. Если бы Вы были обвинителем, то хотели бы сыграть на деньги, что ваше провинциальное жюри, члены которого имеют немного практического опыта в компьютерах, признает преступление когда? Даже после опытного доказательства? Даже притом, что ваши чиновники действительно не понимают основных составляющих преступления? Подумайте снова. В прошлом, большинство взломщиков были достаточно глупы, чтобы признаться или сделать заявление. Однако, поскольку взлом становится всё больше преступлением для финансовой выгоды, заявления и признания станут более редкими. Сегодня, взлом производится реальными преступниками. Для них вспышка значка не означает ни чего. Они взывают к Пятой Поправке и ждут своего адвоката.

Ссылка: Вы можете найти полную версию Закона о Компьютерном Мошенничестве и Злоупотреблении от 1986 на
http://www.law.cornell.edu/uscode/18/1030.html.

Вопрос о ущербе более $1,000 тёмная область. Как правило, законы типа Закона о Компьютерном Мошенничестве и Злоупотреблении учитывают широкие интерпретации ущербf. Можно требовать $1,000 за ущерб почти немедленно после вторжения, даже если нет никакого фактического ущерба в обычном смысле слова. Достаточно, если Вы вынуждены вызвать группу безопасности, чтобы исследовать степень вторжения.

Проблема ущерба горячо обсуждалась в прошлом и, к чести правительства, были предложены некоторые, довольно строгие рекомендации. По крайней мере на федеральном уровне, предпринимались усилия, чтобы определить надёжные формулы определения области действия ущерба и соответствующих значений. Однако Обвинительная Комиссия Соединенных Штатов предоставила большую широту для более высокого приговора, даже если ущерб был минимален (однако неумышленный):

В случае, когда компьютерный файл данных был изменен или разрушен, потеря может быть измерена стоимостью восстановления файла. Если ответчик преднамеренно или неосторожно изменил или разрушил компьютерный файл данных и, из-за случайного обстоятельства, стоимость восстановления файла существенно ниже, чем ответчик может разумно ожидать, восходящее отклонение может быть гарантировано. Например, если ответчик преднамеренно или случайно повредил ценную базу данных, восстановление которой очень дорогостояще, но по случайному обстоятельству, неизвестному ответчику, недавно была закончена ежегодная копия базы данных, таким образом восстановление относительно недорогое, может быть гарантировано восходящее отклонение.

Мне это кажется неблагоразумным. Ответчики должны приговариваться согласно фактическому ущербу, который они произвели. Что было бы, могло быть, и должно быть не имеет значения. Если намерение комиссии состоит в том, чтобы измерять потерю стоимостью восстановления файла, восходящее отклонение в приговоре полностью противоречиво. Эффективно, ответчику можно было бы дать более длинный тюремный срок не за то, что он сделал, а за то, что он мог сделать. Таким образом, предложенная поправка говорит, что фактический ущерб не имеет никакой опоры в предложении, но приговор суда производит вероятное ошибочное понятие намерения ответчика (и знание им последствий его действий).

Во всяком случае, большинство штатов моделирует свой компьютерный закон или на Законе о Компьютерном Мошенничестве и Злоупотреблении или на очень похожих принципах. Большинство рассматривает неавторизованный доступ и вмешательство, и иногда некоторую другую деятельность.

Калифорния

Калифорния это компьютерное преступление и основа мошенничества мира. На этом основании, Золотой Штат установил некоторые очень определённые законы относительно компьютерного взлома. Главное тело этого закона может быть найдено в Уголовном Кодексе Калифорнии, Раздел 502. Он начинается подобно большинству таких законов, с выражением намерения:

Это намерение Законодательного Органа, в предписании этого раздела, расширить степень защиты предоставленной личностям, предпринимателям и правительственным службам от преступного использования, вмешательства, повреждения и неавторизованного доступа к законно созданным компьютерным данным и компьютерным системам. Законодательный Орган находит и объявляет, что быстрый рост компьютерной технологии привел к быстрому увеличению сопутствующих обстоятельств компьютерного преступления и других форм неавторизованного доступа к компьютерам, компьютерным системам и компьютерным данным. Далее Законодательный Орган находит и объявляет защиту целостности всех типов и форм законно созданных компьютеров, компьютерных систем и компьютерных данных жизненно важных для защиты секретности личностей, а также для благосостояния финансовых учреждений, деловых предприятий, правительственных служб и других в пределах этого штата, которые законно используют компьютеры, компьютерные системы и данные.
Ссылка: Посетите http://www.leginfo.ca.gov/, чтобы полность увидеть Уголовный Кодекс Калифорнии, Раздел 502.

Закон всесторонний. Он в основном идентифицирует черновой список действий, которые подпадают под его действие, включая, но не ограничиваясь любым неавторизованным действием, которое составляет вторжение или удаление, изменение, воровство, копирование, просмотр, или другое вмешательство в данные. Закон даже непосредственно адресует проблему отказа в обслуживании.

Штрафы следующие:

Как Вы могли бы ожидать, закон также предусматривает всестороннее гражданское восстановление жертвы. Родители должны взять специальное примечание подраздела (e)1 из этого документа:

С целью действий, уполномоченных этим подразделом, поведение неэмансипированного несовершеннолетнего должно приписываться родителю или юридическому опекуну, имеющему контроль за или охрану несовершеннолетнего ...

Это означает, если Вы родитель ребенка, взламывающего в штате Калифорнии, то Вы (не ваш ребенок) должны платить гражданские штрафы.

Другой интересный элемент закона Калифорнии, что он предусматривает возможные проблемы с юрисдикцией, которые могут возникнуть. Например, скажем, что пользователь в Калифорнии незаконно обращается к компьютеру в другом штате:

С целью обеспечения гражданского или уголовного действия под этим разделом, человек, который вызывает, любыми средствами, доступ к компьютеру, компьютерной системе, или компьютерной сети в одной юрисдикции из другой юрисдикции, как считают, имеет личный доступ к компьютеру, компьютерной системе, или компьютерной сети в каждой юрисдикции.

Я не знаю, сколько личностей были обвинены по 502, но подозреваю, что относительно немного. Большинство дел по взлому компьютера, кажется, заканчиваются в федеральной юрисдикции.

Техас

В штате Техас дела немного менее строги (и гораздо менее определенны), чем в Калифорнии. Уголовный Кодекс Техаса говорит следующее:

Человек совершает нарушение, если сознательно обращается к компьютеру, компьютерной сети, или компьютерной системе без действительного согласия владельца.
Ссылка: Найдите Уголовный Кодекс Техаса в Web на
http://www.capitol.state.tx.us/statutes/pe/pe221.htm.

Во всех случаях, когда ответчик предпринимает действия без намерения "получить выгоду или обмануть или повредить другому", нарушение имеет Класс A. Однако, если действия ответчика предприняты с таким намерением, это может быть государственное уголовное преступление (если ущерб $20,000 или меньше), или уголовное преступление третьей степени (если ущерб превышает $20,000).

There is one affirmative defense:

Это подтверждающая защита к судебному преследованию под Разделом 33.02, когда действующее лицо это чиновник, служащий, или агент общественной линии связи или электрического предприятия и совершил запрещенное действие или действия в ходе занятости в деятельности, которая является необходимым инцидентом к исполнению службы или к защите прав или свойств общественной линии связи или электрического предприятия.

Также интересно обратить внимание, что термин доступ, определённый в конструкции статьи, означает следующее:

... чтобы приблизиться, инструктировать, связаться с, сохранить данные в, получить или перехватить данные из, изменить данные или программное обеспечение, или иначе использовать любой ресурс компьютера, компьютерной системы, или компьютерной сети.

Это говорит, что сканирование TCP/IP портов компьютера в Техасе незаконно? Я полагаю, что это так, хотя статья вероятно не использовалась для этой цели.

Другие Штаты

Большинство других штатов имеют почти идентичные законы. Однако есть несколько специальных пунктов, на которых я хотел бы сосредоточиться, по штатам. Некоторые интересны, а другие забавны. Таблица 31.1 предлагает несколько примеров.

Таблица 31.1. Интересные условия компьютерных преступлений Соединённых Штатов.

Штат Условие
Аляска Можно совершить преступление (и быть наказанным за это) обманув машину. Это так даже при том, что машина не является ни разумной ни способной к восприятию. Хм.
Коннектикут Предусматривает уголовные и гражданские штрафы за сбой в работе вычислительных служб (даже снижение эффективности таких служб). Ясно, что ping и syn_flooding являются преступлением в Коннектикуте.
Джорджия Взломщики, обратите внимание: Не взламывайте в штате Джорджия. Наказания жёстки: 15 лет и $50,000 штрафа. Ой!
Гавайи Система разделяет неавторизованное использование и доступ в две различные категории, и каждая категория имеет три степени. Только взгляд внутрь системы является проступком. Достаточно справедливо.
Mиннесота Этот штат имеет специальный подраздел, который предусматривает штрафы личностям, которые создают или используют разрушительные компьютерные программы.

Информация относительно законов о компьютерных преступлениях может быть получена от Фонда Электронной Границы (Electronic Frontier Foundation). EFF поддерживает список законов о компьютерных преступлениях для каждого штата. Конкретный интерес в том, что согласно компиляции EFF от Мая 1995, штат Вермонт не имел никаких определённых условий для компьютерных преступлений. Это говорит о том, что очень немного взломов были сделаны в Вермонте или, что более вероятно, такие преступления преследуются по суду согласно различным законам воровства и нарушения границ.

Ссылка: Web сайт EFF расположен на http://www.eff.org/. Список законов о компьютерных преступлениях для каждого штата от EFF (последняя модификация в Мае 1995) может быть найден на
http://www.eff.org/pub/Privacy/Security/Hacking_cracking_phreaking/Legal/comp_crime_us_state.laws.

Закон в Действии

Несмотря на часто резкие наказания за компьютерные преступления, взломщики редко приговариваются книгой. Среднее наказание приблизительно один год. Давайте посмотрим на несколько таких дел:

До настоящего времени, самый длинный период проведенный в заключении американским взломщиком была отсидка калифорнийца Kevin Poulsen. Poulsen был достаточно неудачен, чтобы взломать один сайт, содержащий информацию, которая, как рассматривалось правительством, была связана с обороной. Поэтому он был обвинён согласно закона о шпионаже. Poulsen просидел приблизительно пять лет, и был освобожден только в прошлом году после колебания обвинений в шпионаже. Как сообщено в L.A. Times:

... обвинение в шпионаже было официально предъявлено в четверг как часть соглашения, обработанного адвокатом Poulsen'а и американским адвокатским офисом. В обмене, он признал себя виновным по обвинению в обладании компьютерными устройствами доступа, компьютерном мошенничестве и использовании фальшивой карты Социального Страхования, согласно его защитнику, Paul Meltzer.

Есть сильное нежелание федеральных судов приговаривать таких личностей к полному сроку, установленному в соответствии с законом. Это так, потому что во многих случаях это было бы несправедливо. Персонал безопасности часто доказывает, что взлом сети последний грех, за который взломщик никогда не должен быть прощен. Эти выражения, однако, исходят от личностей постоянно опасающихся, что они потерпят неудачу в их основном занятии: защите сетей. Конечно, любой эксперт по безопасности, чья сеть находится под успешным нападением из пустоты, будет сердит и обеспокоен. Shimomura, достаточно странно, восстановился хорошо. (Это восстановление без сомнения лечебное для него, поскольку он выпустил книгу, которая имела национальное распространение.) Но основной факт остаётся: Один из наиболее талантливых специалистов по безопасности в мире был побежден Kevin Mitnik. Не важно, что Mitnik был, в конечном счете, схвачен. Простой факт, что он взломал сеть Shimomura это доказательство, что Shimomura дремал на работе. Так, выражения людей безопасности относительно рекомендаций к приговору должны быть приняты с некоторой оговоркой.

В действительности, предыдущее поколение взломщиков (оно включает и Mitnik, который был ещё не достаточно стар для движения, когда он начал) не было разрушительным. Оно возможно принесло ужасную неприятность, и конечно, телефонная служба была часто захвачена. Однако ущерб был редким последствием. Напротив, взломщик нового поколения разрушителен. Ранее в этой книге я обсуждал университет на Гавайях, который был атакован (университет оставил зияющую дыру в его SGI машинах). В этом случае ущерб был сделан и было предпринято существенное усилие, и понесены затраты, чтобы исправить проблему. Точно так же воровство исходного кода от Crack Dot Com (изготовителя устрашающей компьютерной игры, Quake) было злонамеренно.

Этот сдвиг в характере современного взломщика несомненно вызовет более жёсткие наказания в будущем. Социальные и экономические силы будут также способствовать этому изменению. Поскольку сеть собираются использовать для банковского дела, я полагаю, что судебная власть будет относиться более резко к взлому. Тем не менее, кое-что говорит мне, что американские наказания будут всегда оставаться более снисходительными чем таковые, скажем, в Китае.

Китай

Китай имеет несколько более резкое отношение к хакерам и взломщикам. Например, в 1992 Associated Press сообщило, что Shi Biao по национальности Китаец сумел взломать банк, украв приблизительно $192,000. Его впоследствии схватили и осудили. Его наказание? Смерть. Г. Biao был казнён в апреле 1993. (Примечание: Никогда не взламывайте в Китае.)

В любом случае, более интересные возможности законов Китая, явно связанных с Internet, могут быть найдены в любопытном документе, озаглавленном The Provisional Regulation on the Global Connection via Computer Information Network by the People's Republic of China (Временное Регулирование Глобальной Связи Через Компьютерную Информационную Сеть Народной Республикой Китая). В документе несколько вещей станут немедленно ясными. Во-первых, Китаец намеревается управлять всем исходящим трафиком. Они, поэтому, установили некоторые ограничения того, как компании могут связываться:

Компьютерная сеть будет использовать международные пути передачи данных, обеспеченные общественным оператором передачи данных Бюро Постов и Передачи Данных при доступе непосредственно к Internet. Любым разделам или личностям будет запрещено построение и использование независимых путей для обращения к Internet.

Кроме того, Китайское правительство намеревается прерывать и контролировать исходящий трафик:

Существующие связанные сети пройдут экранирование и будут откорректированы когда необходимо в соответствии с инструкциями Государственного Совета, и будут помещены под руководство Бюро Постов и Передачи Данных. Конструкция новой связанной сети будет требовать разрешения Государственного Совета.
Ссылка: Документ The Provisional Regulation on the Global Connection via Computer Information Network by the People's Republic of China может быть найден в Web на
http://www.smn.co.jp/topics/0087p01e.html.

Китаец намеревается реализовать это управление иерархическим способом. В этой схеме все связанные сети экранированы через правительственную инфраструктуру связи. Все локальные сети должны войти в эти связанные сети. Наконец, все личности должны пройти локальную сеть. Через эту схему, они эффективно разработали информационную инфраструктуру, которая легко проверяется. На каждом этапе инфраструктуры персонал ответственен за сетевой трафик этого этапа.

Кроме того есть условия запрещающие трафик некоторых материалов. Эти запрещения естественно включают непристойный материал, но это не всё. Формулировка статьи адресующей такие запрещения достаточно неопределенна, но достаточно ясно, чтобы передать истинные намерения Государства:

Кроме того, любые формы информации, которая может нарушать общественный порядок или рассматриваться непристойной, не должны быть произведены, воспроизведены, или переданы.

По сообщениям, Китайское правительство намеревается установить новую Великую Китайскую Стену, чтобы отгородить западную Internet. Эти сообщения говорят, что Китай будет пытаться отфильтровывать опасную западную идеологию.

Китай не одинок в своём приложении тоталитарной политики к Internet и компьютерам. Давайте взглянем на Россию.

Россия и СНГ

3 апреля 1995 президент Ельцин выпустил Декрет 334. Этот декрет предоставил экстраординарную власть Федеральному Агентству Правительственной Связи и Информации (FAPSI - Federal Agency of Government Communications and Information). Декрет запрещает:

... в пределах телекоммуникационных и информационных систем правительственных организаций и предприятий использование устройств кодирования, включая методы шифрования для обеспечения подлинности информации (электронная подпись) и безопасные средства для хранения, обработки и передачи информации ...

Единственный путь, которым такие устройства могут использоваться, заключается в пересмотре, рекомендации и одобрении FAPSI. Декрет также запрещает:

... юридическим и физическим личностям проектировать, производить, продавать и использовать носители информации, а также безопасные средства хранения, обработки и передачи информации и предоставление услуг в области кодирования информации, без лицензии от FAPSI.

В самых строгих терминах, никакой Российский гражданин не должен разрабатывать или продавать программное обеспечение без лицензии от этого федерального агентства, которое фактически действует как информационная полиция. Американские источники информации уподобили FAPSI NSA. Как обращает внимание статья "Russian Views on Information-Based Warfare" ("Российские Представления о Информационной Войне") от Timothy L. Thomas:

FAPSI, кажется, выполняет многие из задач Американского Агентства Национальной Безопасности. Оно также борется против внутренних преступников и хакеров, иностранных спецслужб и "информационного оружия", которое применяется для получения неофициального доступа к информации и помещению электронных систем управления вне полномочий, и для расширения информационной безопасности собственных систем управления.
Ссылка: "Russian Views on Information-Based Warfare" может быть найдена в Web на
http://www.cdsar.af.mil/apj/thomas.html.

Несмотря на эту приключенческую обработку обмена информацией в России (Холодная Война закончена, в конце концов), доступ в России быстро возрастает. Например, как сообщено в Internetica в статье от Steve Graves, что даже CompuServe является большим ISP в пределах Российской Федерации:

CompuServe самая большая американская онлайновая служба, имеющая местные номера доступа в более чем 40 Российских городов, от Москвы и С.-Петербурга до Владивостока. Доступ обеспечивается через SprintNet, которая добавляет дополнительное время к скорости соединения. Хотя сама CompuServe не расходует больше для подключений, чем она делает в США, максимальная скорость подключения 2400 бод, что существенно увеличивает время, требуемое для любого данного доступа, особенно, если используется программное обеспечение на базе Windows.
Ссылка: Обратитесь к статье Steve Graves'а на
http://www.boardwatch.com/mag/96/feb/bwm19.htm.

Однако, несмотря на декреты Г. Ельцина, в России существует сильное подполье взломщиков. Только спросите СитиБанк. Следующее было сообщено в The St. Petersburg Times (С-Петербургские Времена):

Документы суда, которые были открыты в пятницу, показывают, что российские компьютерные хакеры в прошлом году захватили более чем $10-миллионов из системы передачи электронных денег Ситибанка. Все кроме $400,000 из них были возвращены, говорит представительница СитиБанка. Ни один из вкладчиков банка не потерял никаких денег в мошенничестве, но так как это случилось, СитиБанк потребовал, чтобы клиенты использовали электронный генератор пароля для каждой передачи. 34-летний главарь хакеров был арестован в Лондоне три месяца назад, и американские должностные лица запросили выдать его Соединённым Штатам, чтобы предстать перед судом.

К сожалению есть относительно небольшая информация по российскому законодательству в Internet. Однако Вы можете держать пари, что такое законодательство быстро появится.

ЕЭС (Европейское Экономическое Сообщество - European Economic Community)

В этом разделе я адресую Европейские отношения и законы относительно компьютеров и Internet. Тем не менее, хотя Великобритания действительный член Европейского Союза, я буду обрабатывать их отдельно. Затем этот раздел обратится прежде всего к обобщённому закону ЕС и предложениям относительно континентальной Европы.

Интересно обратить внимание, что Европейские взломщики и хакеры часто имеют различные побуждения своих действий. Определённо, Европейские взломщики и хакеры имеют тенденцию политической мотивации. Интересный анализ этого явления был сделан Kent Anderson в его документе "International Intrusions: Motives and Patterns" ("Международные Вторжения: Поводы и Образцы"):

Близкая экспертиза побуждения вслед за вторжением показывает несколько важных международных различий: В Европе организованные группы часто имеют политический повод или повод окружающей среды, в то время как в Соединённых Штатах большее отношений "анти-учреждения", также как простого вандализма. В прошедшие годы, кажется, имелся рост индустриального шпионажа в Европе, в то время как Соединённые Штаты видели увеличение преступных поводов (мошенничества).
Ссылка: Найдите "International Intrusions: Motives and Patterns" в Web на
http://www.aracnet.com/~kea/Papers/paper.shtml.

По этим причинам трактовка Internet деятельности по взлому и хаку в Европе весьма отличается от Соединённых Штатов. Недавний случай в Италии ясно демонстрирует, что, в то время как свобода слова дана в Соединённых Штатах, это не всегда так в Европе.

По сообщениям, система досок объявлений в Италии, которая обеспечивала доступ к Internet через шлюз, подверглась набегу в феврале 1995. Владельцы и операторы этой службы были впоследствии обвинены в некоторых, довольно серьёзных преступлениях, как обсуждено Stanton McCandlish в его статье "Scotland and Italy Crack Down on 'Anarchy Files'" ("Шотландия и Италия Принимают Меры Против 'Файлов Анархии'"):

... личности, совершившие набег, были формально обвинены в террористических подрывных преступлениях, которые несут серьёзные наказания: 7-15 лет тюрьмы ... BITS BBS [цель] содержала файловый индекс материалов, доступных из архива Spunk [подпольная BBS] (хотя не файлы непосредственно), также как проблемы Компьютерного Подпольного Обзора (для которого сам EFF является основным архивным сайтом), и другие политические и аполитичные текстовые материалы (никакого программного обеспечения).
Ссылка: Статья Г. McCandlish's может быть найдена в Web на
http://www.eff.org/pub/Legal/Foreign_and_local/UK/Cases/BITS-A-t-E_Spunk/eff_raids.article.

Это может звучать запутывающе, поэтому позвольте мне объяснить: Файлы, которые запросил набег (и последующие обвинительные акты) были того типа, которому тысячи Web сайтов встают на якорь здесь в Соединённых Штатах, файлы, относительно которых ФБР не будет думать дважды. Интересное побочное примечание: Вслед за арестами, Британская газета очевидно взявшая большую лицензию по отчёту об истории, заявила, что файлы "анархии", передаваемые Internet и целевым системам BBS подвергли опасности национальную безопасность, инструктируя простых детей свергнуть правительство. Документ позже был вынужден отречься от таких утверждений.

Ссылка: Чтобы прочитать некоторые из этих выражений смотрите статью в London Times "Anarchists Use Computer Highway for Subversion" ("Анархисты Используют Компьютерную Магистраль Для Подрывной Деятельности") от Adrian Levy и Ian Burrell на
http://www.eff.org/pub/Legal/Foreign_and_local/UK/Cases/BITS-A-t-E_Spunk/uk_net_anarchists.article.

В любом случае, Европейцы готовятся к некоторой Orwellian деятельности. В недавнем отчёте Совета Европы, были сделаны предложения для методов, имеющих дело с этими новыми технологиями:

Ввиду сходимости информационной технологии и передачи данных, закон, имеющий отношение к техническому наблюдению с целью уголовных розысков, типа перехвата передачи данных, должен быть пересмотрен и исправлен, где необходимо, чтобы гарантировать его применимость. Закон должен разрешить исследовать полномочия, чтобы пользоваться всеми необходимыми техническими мерами, которые допускают собирание передаваемых данных в исследовании преступлений.

Европейские источники становятся всё более и более образованными в проблеме со взломщиками, и есть сильное движение по предотвращению деятельности по взлому. Никакое государство член Союза не было полностью равнодушным. Французы, например, недавно перенесли большое затруднение, как детализировано в статье "French Navy Secrets Said Cracked by Hackers" ("Французские Военно-Морские Секреты Были Взломаны Хакерами"), которая появилась в Reuters:

Хакеры врезались в морскую компьютерную систему и получили доступ к секретным французским и союзническим данным, и любознательный и сатирический еженедельник Le Canard Enchaine сказал ... Хакеры получили доступ к системе в июле и захватили файлы с акустическими сигнатурами сотен французских и союзнических судов. Сигнатуры используются в подводной войне, чтобы идентифицировать друга и противника, анализируя уникальные акустические характеристики индивидуальных судов.

Объединённое Королевство

Объединённое Королевство имеет свою долю компьютерных взломщиков и хакеров (я лично знаю одного, который был недавно подвергнут полицейскому опросу, поиску и конфискации). Многие источники Великобритании предлагают, чтобы Английские правительственные должностные лица решительно отреагировали на компьютерные преступления. Однако основная часть закона Великобритании о запрещении взлома (основанного в значительной степени на Разделе 3(1) Закона о Неправильном Употреблении Компьютеров от 1990) по общему признанию весьма кратка. Она охватывает почти любое действие, которое могло быть очевидно предпринято взломщиком. Этот раздел написан следующим образом (текст преобразован к соглашениям правописания Американского Английского языка и является выдержкой из статьи Yaman Akdeniz):

Человек виновен в нарушении, если (a), он делает любое действие, которое вызывает неавторизованную модификацию содержания любого компьютера; и (b) во время того, когда он делает действие, он имеет необходимое намерение и необходимое знание.

Вы обратите внимание, что намерение является здесь необходимым элементом. Таким образом, выполнение неавторизованной модификации должно сопровождаться намерением. Это очевидно может иметь другие значения, чем интерпретация суда в случае с Morris.

Случай цитируется при этой статье против индивидуума по имени Christopher Pile (также называемом Black Baron - Чёрным Бароном), который предположительно выпустил вирус в ряд сетей. Pile был обвинён в (и в конечном счёте осужден) незаконном доступе, а также в повреждении компьютерных систем и данных. Предложение было 18 месяцев, переданные в ноябре 1995. Pile по сообщениям первый автор вируса, когда-либо осужденный по статье.

Документ Akdeniz'а сообщает, что Английская полиция не имеет адекватного обучения или практики, в значительной степени из-за ограниченного числа сообщенных случаев. Очевидно немного компаний желают публично показать, что их сети были скомпрометированы. Это кажется достаточно разумным, хотя одни чудеса, почему полиция не инициализирует свои собственные группы взлома, чтобы выполнить моделирования. Это предложило бы возможность исследовать след нападения. Такой опыт вероятно был бы выгодным для них.

Финляндия

Финляндия традиционно была известна очень демократическим приложением компьютерного закона. По крайней мере, относительно неавторизованного высматривания, взлома и хака, Финляндия сделала попытки поддержать либеральную или почти нейтральную позицию относительно этих проблем. Не больше того. Рассмотрим выражение, выдержку из отчёта "Finland Considering Computer Virus Bill" ("Финляндия, Рассматривающая Законопроект Компьютерного Вируса") от Sami Kuusela:

Финские законодатели представят законопроект в следующих двух неделях, который криминализирует распространение компьютерного вируса – несмотря на факт, что многие вирусы распространяются случайно – Это означает, что, если кто-то в Финляндии приносит загрязненную дискету на своё рабочее место и не проверяет её анти-вирусной программой, и вирус распространяется в сети, человек совершает преступление. Также рассматривается преступлением, если вирус распространился из файла, загруженного из Internet.
Ссылка: Проверьте http://www.wired.com/news/politics/story/2315.html, чтобы увидеть отчет Kuusela'а.

В этом этапе Вы можете несомненно видеть, что тенденция (во всех странах и юрисдикциях) нацелена прежде всего на защиту данных. Такие законы недавно проектировались как предложения в Швейцарии, Великобритании и Соединённых Штатах.

Эта тенденция, как ожидается, продолжит и обозначит, что компьютерный закон достиг совершеннолетия. Теперь сопоставленные с хакерами и взломщиками в мировом масштабе, эти правительства сформировали тип классификации относительно Internet и компьютерных законов. В это время, почти все новые законы, кажется, разработаны для защиты данных.

Свобода Слова

Пользователи могут ошибочно предполагать, что, так как Закон о Благопристойности Коммуникаций умер ужасной смертью в Пенсильвании, все способы речи свободны в Internet. Это ложно. Вот некоторые примеры:

Ссылка: Посетите http://www.nando.net/newsroom/ntn/info/111496/info15_1378.html, чтобы увидеть статью "Ex-student Indicted for Alleged Hate Crime in Cyberspace".

В отношении оскорбления и расовой дискриминации, закон уже обеспечивает стандарт, который может быть применён (и был применён) к Internet. Это Борьба с Доктриной Слов, который, кажется, вращается, прежде всего, вокруг требования, чтобы слова были специально направлены на индивидуума или личности. Простого заявления, что "все блондинки глупые" недостаточно.

Борьба с Доктриной Слов может быть понята наиболее ясно, исследуя Vietnamese Fisherman's Ass'n v. Knights of the Ku Klux Klan. Случай вращался вокруг регулярного преследования Вьетнамского рыбака KKK в Заливе Galveston. Ситуация включила приближение членов KKK (лодкой) к судну, содержащему Вьетнамского рыбака. Согласно Donald A. Downs в его статье "Racial Incitement Law and Policy in the United States: Drawing the Line Between Free Speech and Protection Against Racism" ("Закон Расового Подстрекательства и Политики в Соединённых Штатах: Проведение Линии Между Свободой Слова и Защитой Против Расизма"), KKK:

... носил полные военные регалии и капюшоны на своих лицах, размахивал оружием и висящим чучелом Вьетнамского рыбака и двигался по кругу в пределах зрения рыбака.

Суд в этом случае нашёл действия KKK составляющими борьбу слов. Такая речь, когда направлена против индивидуума или личностей, которые некоторым способом являются аудиторией этих слов, не защищена согласно Первой Поправке. Точно так же угрозы против Президента Соединённых Штатов составляют незащищенную речь. И, такие угрозы, где они вымогательские или безоговорочны и определенны человеку, составляет незащищенную речь.

Эти законы и доктрины могут применяться в любом случае. Является ли приложение в конечном счёте успешным, другой вопрос. Конечно, посылая такую информацию на Web страницу или даже в группу Usenet может или не может быть достаточно узким из директивы, чтобы вызвать такие законы (угрозы Президенту очевидные, известные исключения). Закон в этой области полностью не урегулирован.

Итог

Закон Internet новая и захватывающая область знаний. Поскольку Internet имеет такой чрезвычайный общественный интерес, некоторые сражения, типа дискуссии по вопросу о материале ориентируемом на взрослых, обязаны занять десятилетие или более. Все Netizens должен не отставать от самого последнего законодательства.

Наконец, возможно слово предостережения здесь было бы мудро: Если Вы планируете предпринять некоторое действие в Internet, и не уверены в его законности, получите мнение адвоката. Не любого адвоката; говорите с тем, кто действительно знает закон Internet. Многие адвокаты могут утверждать, что знают закон Internet, но фактически знание их мало. Это важно, потому что Информационная Супермагистраль подобно любой другой магистрали. Вы можете перемещаться по ней, получать билет, или даже идти в тюрьму.

Ресурсы

Berne Convention For The Protection Of Literary And Artistic Works (Бернское Соглашение По Защите Литературных и Артистических Работ).

EFF's (Extended) Guide to the Internet – Copyright Law ((Расширенное) Руководство EFF по Internet – Закон об Авторском Праве).

Big Dummy's Guide to the Internet--Copyright Law (Большое Руководство по Internet для Чайников – Закон об Авторском Праве.).

Revising the Copyright Law for Electronic Publishing (Пересмотр Закона об Авторском Праве для Электронной Публикации).

The E-Challenge for Copyright Law (E-Вызов для Закона об Авторском Праве.).

Copyright Law FAQ (3/6): Common Miscellaneous Questions (FAQ Закона об Авторском Праве (3/6): Разные Общие Вопросы).

Copyrights, Trademarks, and the Internet (Авторские Права, Торговые Марки и Internet). Donald M. Cameron, Tom S. Onyshko и W. David Castell.

New U.S. Copyright Board of Appeals Established (Новый Американский Совет Авторского Права Установленных Обращений).

Copyright Law of the United States (Закон об Авторском Праве Соединённых Штатов). US Code-Title 17, Раздел 107. Fair Use Clause.

Copyright Law, Libraries, and Universities: Overview, Recent Developments, and Future Issues (Закон об Авторском Праве, Библиотеки и Университеты: Краткий обзор, Недавние Разработки и Будущие Проблемы). Kenneth D. Crews, J.D., Ph.D. Адъюнкт-Профессор Торгового Права. Колледж Бизнеса. Это превосходный источник.

Recent Caselaw and Legislative Developments in Copyright Law in the United States (Недавний Юридический Случай и Законодательные События в Законе об Авторском Праве в Соединённых Штатах).

Copyright Law and Fair Use (Закон об Авторском Праве и Справедливое Использование).

The First Amendment vs. Federal Copyright Law (Первая Поправка Против Федерального Закона об Авторском Праве).

Software Copyright Law (Закон об Авторском Праве Программного Обеспечения.).

Electronic Copyright Law in France (Электронный Закон об Авторском Праве во Франции).

U.S. Copyright Office General Information and Publications (Американское Общая Информация Патентного Отдела и Публикации).

Copyright Clearance Center (CCC) (Разрешающий Центр Авторского Права).

Copyright Reform in Canada: Domestic Cultural Policy Objectives and the Challenge of Technological Convergence (Реформа Авторского Права в Канаде: Внутренние Культурные Цели Политики и Вызов Технологической Сходимости).

10 Big Myths About Copyright Explained (10 Больших Мифов об Объясненном Авторском Праве). Попытка ответить на общие мифы об авторском праве в Сети и покрыть проблемы, связанные с авторским правом и публикацией Usenet/Internet.

Intellectual Property and the National Information Infrastructure (Интеллектуальная Собственность и Национальная Информационная Инфраструктура).

Источники Общей Информации

Section 3 of the Computer Misuse Act 1990: an Antidote for Computer Viruses! (3 Раздел Закона о Неправильном Употреблении Компьютера 1990: Противоядие для Компьютерных Вирусов!). Akdeniz, Y. Web Журнал Текущих Юридических Проблем, 24 мая, 1996.

The Computer Fraud and Abuse Act of 1986 (Закон о Компьютерном Мошенничестве и Неправильном Обращении от 1986).

Crime on the Internet (Преступление в Internet).

The U.S. House of Representatives Internet Law Library Computers and the Law.

EFF "Legal Issues and Policy: Cyberspace and the Law" Archive (EFF Архив "Юридические Проблемы и Политика: Киберпространство и Закон").

New Computer Crime Statutes Close Loopholes (Новые Обходные Лазейки в Законах о Компьютерных Преступлениях).

Federal Guidelines for Searching and Seizing Computers (Федеральные Рекомендации по Поиску и Захвату Компьютеров). Американский Офис Криминального Подразделения Министерства Юстиции Профессиональной Разработки и Обучения. Отчет Рабочей Группы на Правах Интеллектуальной Собственности.

National Information Infrastructure Protection Act of 1996 (Закон Защиты Национальной Информационной Инфраструктуры от 1996).

Fraud and Related Activity in Connection with Access Devices (Мошенничество и Связанная Деятельность при Подключении к Устройствам Доступа).

Digital Telephony Bill (Законопроект о Цифровой Телефонии).

Computer Law Briefs (Резюме Компьютерного Закона).

Предыдущая главаСледующая главаСодержание


Macmillan Computer Publishing USA

Macmillan Computer Publishing.


Все мессаги сюда:yanich@inbox.ru
Hosted by uCoz