Annons

Att hacka till datorer är olagligt ganska mycket över hela världen.

I Storbritannien är den viktigaste lagstiftningen som hanterar databrott 1990 års datamissbruk, som har legat till grund för mycket av lagstiftningen om datorbrott i många av Commonwealth nationer.

Men det är också ett djupt kontroversiellt lagstiftning som nyligen har uppdaterats för att ge GCHQ, Storbritanniens primära underrättelseorganisation, den lagliga rätten att hacka till vilken dator de än gör önskan. Så, vad är det och vad står det?

De första hackarna

Lagen om datamissbruk skrevs först och infördes i lag 1990, men det är inte att säga att det inte fanns något datorbrott innan dess. Snarare var det bara oerhört svårt, om inte omöjligt, att åtala. En av de första databrott som åtalades i Storbritannien var R v Robert Schifreen och Stephen Gold1985.

Schifreen och Gold, med hjälp av enkel datorutrustning utanför hyllan, lyckades kompromissa med Viewdata-systemet, vilket var en rudimentär, centraliserad föregångare till det moderna internet som ägs av Prestel, ett dotterbolag till brittiska Telecom. Hacket var relativt enkelt. De hittade en brittisk telekomingenjör och surfade på axlarna när han skrev in sina inloggningsuppgifter (användarnamn '22222222' och lösenord '1234'). Med denna information körde de amok genom Viewdata och bläddrade till och med i de privata meddelandena från den brittiska kungafamiljen.

instagram viewer

CMA-Prestel

British Telecom blev snart misstänksam och började övervaka de misstänkta Viewdata-kontona.

Det tog inte lång tid tills deras misstankar bekräftades. BT meddelade polisen. Schifreen och Gold arresterades och anklagades enligt lagen om förfalskning och förfalskning. De dömdes och böterades med 750 respektive 600 £. Problemet var att lagen om förfalskning och förfalskning inte riktigt gällde för databrott, särskilt de som var motiverade av nyfikenhet och utredning, inte ekonomiska mål.

Schifreen och Gold överklagade sin övertygelse och vann.

Åtalet överklagade deras frifinnelse till House of Lords och förlorade. En av domarna i det överklagandet, Lord David Brennan, biföll sin frikännande och tilllade att om regeringen ville åtala datorbrottslingar bör de skapa lämpliga lagar för att göra det.

Denna nödvändighet leder till skapandet av lagen om datamissbruk.

De tre brotten i lagen om datamissbruk

Lagen om datamissbruk när den infördes 1990 kriminaliserade tre särskilda beteenden, var och en med olika påföljder.

  • Åtkomst till ett datorsystem utan tillstånd.
  • Åtkomst till ett datorsystem för att begå eller underlätta ytterligare brott.
  • Åtkomst till ett datorsystem för att försämra driften av något program eller för att ändra data som inte tillhör dig.

Av avgörande betydelse för att något ska vara ett brott enligt lagen om datamissbruk 1990 måste det finnas avsikt. Det är till exempel inte ett brott för någon att oavsiktligt och serendipitöst ansluta till en server eller nätverk som de inte har behörighet att komma åt.

Men det är helt olagligt för någon att få åtkomst till ett system med avsikt, med vetskapen att de inte har tillåtelse att komma åt det.

Med en grundläggande förståelse av vad som krävdes, främst på grund av att tekniken var relativt ny, lagstiftning i dess mest grundläggande form kriminaliserade inte andra oönskade saker man kan göra med a dator. Följaktligen har den reviderats flera gånger sedan dess, där den har förfinats och utvidgats.

Vad sägs om DDoS-attacker?

Uppfattande läsare kommer att ha märkt att enligt lagen enligt ovan DDoS-attacker Vad är en DDoS-attack? [MakeUseOf Explains]Begreppet DDoS visslar förbi när cyberaktivismen leder upp en massa. Den här typen av attacker gör internationella rubriker på grund av flera orsaker. De frågor som hoppar igång dessa DDoS-attacker är ofta kontroversiella eller mycket ... Läs mer är inte olagliga, trots den stora mängden skador och störningar de kan orsaka. Det beror på att DDoS-attacker inte får tillgång till ett system. Snarare överväldigar de det genom att rikta massiva trafikmängder på ett givet system tills det inte längre klarar.

CMA-DDoS

DDoS-attacker kriminaliserades 2006, ett år efter att en domstol frikände en tonåring som hade översvämmat sin arbetsgivare med över 5 miljoner e-postmeddelanden. Den nya lagstiftningen infördes i Police and Justice Act 2006, som lägger till en ny ändring av Datormissbruk lag som kriminaliserade allt som kan försämra datorns drift eller åtkomst eller program.

Liksom lagen från 1990 var detta bara ett brott om det fanns det nödvändiga avsikt och kunskap. Att avsiktligt starta ett DDoS-program är olagligt, men att bli smittad med ett virus som startar en DDoS-attack är det inte.

Av avgörande betydelse, vid denna tidpunkt, lagen om datamissbruk diskriminerade inte. Det var lika olagligt för en polis eller spion att hacka in en dator, som det var för en tonåring i hans sovrum att göra det. Detta ändrades i ett 2015-ändringsförslag.

Du kan inte göra ett virus, antingen.

Ett annat avsnitt (avsnitt 37), som lades till senare under lagen om datamissbruk, kriminaliserar produktion, framställning och leverans av artiklar som kan underlätta ett databrott.

Detta gör det till exempel olagligt att bygga ett programvarusystem som kan starta en DDoS-attack eller skapa ett virus eller trojan.

Men detta introducerar ett antal potentiella problem. För det första, vad betyder detta för legitim säkerhetsforskningsindustri Kan du leva av etisk hackning?Att betecknas som en "hacker" kommer vanligtvis med många negativa konnotationer. Om du kallar dig själv en hacker, kommer folk ofta att uppfatta dig som någon som orsakar skada bara för fnissar. Men det är en skillnad ... Läs mer , som har producerat hackverktyg och utnyttjar med målet att öka datasäkerheten Hur man testar ditt hemnätverkssäkerhet med gratis hackverktygInget system kan vara helt "hack-proof" men webbläsarsäkerhetstester och nätverksskydd kan göra din installation mer robust. Använd dessa gratisverktyg för att identifiera "svaga platser" i ditt hemnätverk. Läs mer ?

För det andra, vad betyder det för teknik med dubbla användningsområden, som kan användas för både legitima och olagliga uppgifter. Ett bra exempel på detta skulle vara Google Chrome Enkel guide till Google ChromeDen här Chrome-användarhandboken visar allt du behöver veta om Google Chrome-webbläsaren. Det täcker grunderna för att använda Google Chrome som är viktigt för alla nybörjare. Läs mer , som kan användas för att surfa på Internet, men också starta SQL-injektionsattacker Vad är en SQL-injektion? [MakeUseOf Explains]Internetsäkerhetsvärlden plågas av öppna portar, bakdörrar, säkerhetshål, trojaner, maskar, brandväggssårbarheter och en mängd andra problem som håller oss alla på tårna varje dag. För privata användare, ... Läs mer .

CMA-hacker

Svaret är än en gång avsikt. I Storbritannien väcks åtal av Crown Prosecution Service (CPS), som avgör om någon ska åtalas. Beslutet att ta någon till domstolen är baserat på ett antal skriftliga riktlinjer som CPS måste följa.

I det här fallet anger riktlinjerna att beslutet att åtala någon enligt 37 § ska endast göras om det finns kriminella avsikter. Den tillägger också att för att avgöra om en produkt har byggts för att underlätta en dator Åklagaren bör ta hänsyn till legitim användning och motivationen bakom byggandet den.

Detta kriminaliserar effektivt skadeproduktion, samtidigt som Storbritannien har en blomstrande informationssäkerhetsindustri.

“007 - License to Hack”

Lagen om datamissbruk uppdaterades igen i början av 2015, om än tyst och utan mycket fanfare. Två viktiga förändringar gjordes.

Den första var att vissa datorbrott i Storbritannien nu kan bestraffas med livstidsstraff. Dessa skulle ges ut om hackaren hade avsikt och kunskap om att deras handlingar var obehörig och hade potential att orsaka "allvarlig skada" på "mänsklig välfärd och nationell säkerhet" eller var "hänsynslös om huruvida en sådan skada var orsakade”.

Dessa meningar verkar inte tillämpas på din trädgårdssort som är påverkad tonåring. Snarare räddas de för dem som startar attacker som har potential att orsaka allvarligt skada på människors liv eller som riktar sig till kritisk nationell infrastruktur.

CMA-GCHQ

Den andra förändringen som gjordes gav polis- och underrättelseaktiviteter immunitet mot befintlig datorbrottslagstiftning. Vissa applåderade det faktum att det kunde förenkla utredningar om de typer av brottslingar som kunde dunka sin verksamhet med tekniska medel. Även om andra, nämligen Privacy International, var oroliga för att det var moget för missbruk och att det inte finns tillräckliga kontroller och balanser för att denna typ av lagstiftning ska kunna existera.

Ändringar av lagen om datamissbruk antogs den 3 mars 2015 och blev lag 3 maj 2015.

Framtiden för lagen om datamissbruk

Lagen om datamissbruk är i hög grad en levande lagstiftning. Det är en som har förändrats under hela sitt liv och kommer sannolikt att fortsätta göra det.

Nästa troliga förändring beror på att det kommer till följd av News of The World-telefonsäkerhetsskandalen, och kommer troligtvis att definiera smartphones som datorer (som de är) och införa brottet att släppa information med avsikt.

Fram till dess vill jag höra dina tankar. Tror du att lagen går för långt? Inte tillräckligt långt? Berätta, så chatta vi nedan.

Fotokrediter: hackare och bärbar dator Via Shutterstock, Brendan Howard / Shutterstock.com, Anonym DDC_1233 / Thierry Ehrmann, GCHQ-byggnad / MOD

Matthew Hughes är en programutvecklare och författare från Liverpool, England. Han hittas sällan utan en kopp starkt svart kaffe i handen och älskar absolut sin Macbook Pro och sin kamera. Du kan läsa hans blogg på http://www.matthewhughes.co.uk och följ honom på twitter på @matthewhughes.