Киберпреступность и закон

Дата: 19.06.2009
Источник: Cripo.com.ua
Автор: Дэвид Эмм


Современное общество трудно себе представить без преступности, которая затрагивает практически все сферы его жизни. Поэтому неудивительно, что применение, или употребление, компьютерных технологий развивается параллельно со злоупотреблением — это две стороны одной медали. Более того, по мере проникновения компьютеров во все новые стороны нашей жизни у преступников появляется все больше возможностей для использования технологии в

Общая ситуация с вредоносными программами

Первые вирусы для IBM PC-совместимых компьютеров появились более 20 лет назад. С тех пор характер угроз стал принципиально другим, отразив изменения в технологии, внедрение компьютеров во все новые сферы жизни и непрекращающийся рост числа пользователей. В любой сфере человеческой деятельности каждое новое поколение принимает эстафету у предыдущего, учась на его достижениях, заново применяя приемы, которые доказали свою успешность, и при этом стремясь прокладывать новые пути. Это относится и к создателям вредоносного кода: несколько поколений вирусописателей полностью изменили ситуацию с информационными угрозами.

Еще несколько лет назад вирусы и другие вредоносные программы использовались для осуществления одиночных актов компьютерного вандализма и антисоциального самовыражения с применением сложных технических средств. Большинство вирусов ограничивались заражением компьютерных дисков и программ. А ущерб в основном сводился к потере данных, поскольку вирусы стирали или (реже) портили данные на диске.

Теперь все иначе. Сегодня киберпреступность — масштабная проблема, а вредоносные программы пишутся с целью незаконного получения денег. Развитие интернета стало одним из ключевых факторов, определивших эти перемены. Компании и отдельные пользователи уже не мыслят без него свою жизнь, и все больше финансовых операций проводятся через интернет. Киберпреступники осознали, какие огромные возможности для «зарабатывания» денег с помощью вредоносного кода появились в последнее время, и многие из нынешних вредоносных программ написаны по заказу или с целью последующей продажи другим преступникам.

Современное общество трудно себе представить без преступности, которая затрагивает практически все сферы его жизни. Поэтому неудивительно, что применение, или употребление, компьютерных технологий развивается параллельно со злоупотреблением — это две стороны одной медали. Более того, по мере проникновения компьютеров во все новые стороны нашей жизни у преступников появляется все больше возможностей для использования технологии в своих целях.

Реакция государства на любые виды преступлений всегда одинакова: оно пытается найти способы предотвратить преступления и наказать преступников. Для этого необходимо создать законодательные акты, которые поставят определенные виды деятельности вне закона.

В настоящей статье в общих чертах описано развитие законодательства о компьютерных преступлениях в Соединенном Королевстве.
Компьютерные преступления

Компьютерные преступления можно разделить на две больших категории. Первая — традиционные, для которых компьютер является не неотъемлемым элементом преступления, а только инструментом реализации преступного замысла. В эту категорию попадает шантаж — например, когда жертве вместо обычного письма посылается сообщение по электронной почте. Вторая группа — это собственно компьютерные преступления.

В качестве наглядного примера преступлений второго типа можно привести троянскую программу Aids Information Diskette. Этот троянец рассылался на дискетах в конце 1989 года компанией, именовавшейся PC Cyborg. После 90 перезагрузок программа шифровала содержимое жесткого диска жертвы, оставляя лишь файл README, содержащий счет на оплату и адрес почтового ящика в Панаме, на который пользователю предлагалось отправить платеж. Предполагаемый автор троянца — Джозеф Попп (Joseph Popp) — был впоследствии экстрадирован в Великобританию и предстал перед судом по обвинению в шантаже и повреждении компьютерных систем (в конце концов он был признан невменяемым на основании своего поведения в зале суда и отпущен на свободу).
Закон о неправомерном использовании компьютерных технологий (Computer Misuse Act)

Первым законом Соединенного Королевства, направленным непосредственно против ненадлежащего использования компьютерных технологий, был Computer Misuse Act — Закон о неправомерном использовании компьютерных технологий, принятый в 1990 году. Он стал ответом на растущую тревогу о том, что существующее в то время законодательство не позволяло адекватно бороться с хакерами. Эта проблема встала со всей очевидностью, когда не удалось добиться в суде обвинительного заключения по делу Стивена Гоулда (Stephen Gold) и Роберта Шифрина (Robert Schifreen), которые в 1984 году получили несанкционированный доступ к принадлежащему компании British Telecom сервису Prestel. Обвинение против них было выдвинуто в соответствии с Законом о подлоге и подделках 1981 года. В апелляционном суде злоумышленники были оправданы, и оправдательный приговор был впоследствии утвержден палатой лордов.

В Законе о неправомерном использовании компьютерных технологий, принятом «для обеспечения защиты компьютерных материалов от несанкционированного доступа или изменения», были выделены три вида преступлений, связанных с неправомерным использованием компьютерных технологий:
Несанкционированный доступ к компьютерным данным;
Несанкционированный доступ к компьютерным данным с намерением совершить или способствовать совершению дальнейших преступлений;

Несанкционированное изменение компьютерных данных.

Максимальный срок тюремного заключения, предусмотренный законом за эти преступления, составлял соответственно шесть месяцев, пять лет и пять лет. ( О поправках к Закону о неправомерном использовании компьютеров говорится ниже.)

Первый случай судебного преследования физического лица за распространение компьютерного вируса имел место в 1995 году. Кристофер Пайл (Christopher Pile), известный также как Черный Барон (the Black Baron) признал себя виновным по одиннадцати обвинениям, выдвинутым в соответствии с разделами 2 и 3 Закона о неправомерном использовании компьютерных технологий, и был приговорен к тюремному сроку продолжительностью 18 месяцев. Пайл создал вирусы Pathogen и Queeg. В обеих вредоносных программах был использован созданный им полиморфик-генератор SMEG (Simulated Metamorphic Encryption Generator), что затрудняло их обнаружение. Оба вируса уничтожали значительную часть данных на жестком диске жертвы. Пайл разместил свои вредоносные программы на электронных досках объявлений под видом игр и (в одном случае) антивирусной программы. Ущерб, нанесенный его творениями, оценивался в один миллион фунтов стерлингов (The Independent, 16 ноября 1995 г. ).

Еще один важный обвинительный приговор был вынесен в соответствии с данным законом Саймону Вэллору (Simon Vallor), Он признал свою вину по обвинению в создании и распространении червей Gokar, Redesi и Admirer, которые массово рассылали себя по электронной почте. Эти преступления подпадали под раздел 3 указанного Закона. В январе 2003 года Вэллор был приговорен к двум годам тюремного заключения. По опубликованным данным, его черви попали на 27 000 компьютеров в 42 странах мира (The Register, 21 января 2003 г.).
Спам, вредоносное ПО и закон

Практически всем, кто пользуется электронной почтой, приходится иметь дело со спамом. Но проблема спама не ограничивается переполненными почтовыми ящиками, увеличением трафика и неприемлемым содержанием писем. Спам также применяется для доставки вредоносного кода; спам-сообщения часто используются как отправная точка для drive-by загрузок вредоносных программ, поскольку в них можно включать ссылки на веб-сайты, которые киберпреступники заразили вредоносным кодом. Кроме того, спам — основной инструмент, с помощью которого фишеры завлекают своих жертв на фальшивые сайты, где у пользователей выманивают конфиденциальные данные.

В попытке справиться с проблемой спама министерство торговли и промышленности в 2003 году приняло Положение о частной информации и электронной связи (Privacy and Electronic Communications Regulations (EC Directive) 2003). Выполнение этого Положения, которое явилось реализацией в Соединенном Королевстве директивы ЕС 2002/58/EC (конкретная реализация директивы оставлена на усмотрение каждой страны — члена ЕС), обеспечивается Администрацией Уполномоченного по информации (Information Commissioner’s Office) — независимым органом Соединенного Королевства, учрежденным для облегчения доступа граждан к официальной информации и защиты личных данных (Подробную информацию о применении Положения можно найти на веб-сайте Администрации Уполномоченного по информации).

В соответствии с Положением, компании обязаны получить разрешение физического лица, прежде чем посылать ему сообщения по электронной почте или SMS (положения закона относятся также к телефонным звонкам и факсам). Относительно электронной почты в законе указано, что никто не должен отправлять или побуждать кого-либо к отправке незапрошенных сообщений для целей, связанных с непосредственным сбытом товаров и услуг, посредством электронной почты, если получатель электронного сообщения предварительно не уведомил отправителя о своем согласии на отправку подобных сообщений отправителем или по его поручению.

Однако возможности применения закона серьезно ограничены. Во-первых, Положения применимы только к сообщениям, отправляемым на адреса физических лиц, а не на адреса компаний. Предусмотренные Положением санкции также значительно менее суровы, чем наказания, предусмотренные Законом о неправомерном использовании компьютерных технологий. Нарушения Положения должны...

Добавить комментарий

Всего 0 комментариев