Lei de uso indevido de computadores: a lei que criminaliza os hackers no Reino Unido

Propaganda

Invadir computadores é ilegal em todo o mundo.

No Reino Unido, a principal legislação que lida com crimes de computador é a Computer Misuse Act 1990, que constituiu a base de grande parte da legislação sobre crimes de computador em muitas nações.

Mas é também uma peça de legislação profundamente controversa, que foi recentemente atualizada para fornecer GCHQ, a principal organização de inteligência do Reino Unido, o direito legal de invadir qualquer computador que eles desejarem desejo. Então, o que é e o que diz?

Os primeiros hackers

A Lei de Uso Indevido de Computador foi escrita e aprovada em 1990, mas isso não quer dizer que não havia crime de computador antes disso. Pelo contrário, era incrivelmente difícil, se não impossível, processar. Um dos primeiros crimes de computador a serem processados ​​no Reino Unido foi R contra Robert Schifreen e Stephen Gold, em 1985.

Schifreen e Gold, usando equipamentos de informática simples e prontos para uso, conseguiram comprometer o sistema Viewdata, que era um precursor rudimentar e centralizado da Internet moderna, de propriedade da Prestel, subsidiária da British Telecom. O hack foi relativamente simples. Eles encontraram um engenheiro da British Telecom e navegaram enquanto ele digitava suas credenciais de login (nome de usuário '22222222' e senha '1234'). Com essas informações, eles passaram pela Viewdata, até navegando pelas mensagens privadas da família real britânica.

A British Telecom logo suspeitou e começou a monitorar as contas suspeitas da Viewdata.

Não demorou muito para que suas suspeitas fossem confirmadas. BT notificou a polícia. Schifreen e Gold foram presos e acusados ​​de acordo com a Lei de falsificação e falsificação. Eles foram condenados e multados em £ 750 e £ 600 respectivamente. O problema era que a Lei de falsificação e falsificação não se aplicava realmente a crimes de computador, especialmente aqueles motivados por curiosidade e investigação, e não por objetivos financeiros.

Schifreen e Gold recorreram da condenação e venceram.

A acusação apelou contra sua absolvição à Câmara dos Lordes e perdeu. Um dos juízes desse recurso, Lord David Brennan, confirmou sua absolvição, acrescentando que, se o governo pretender processar os criminosos de computador, eles devem criar as leis apropriadas para fazê-lo.

Essa necessidade levou à criação da Lei de Uso Indevido de Computadores.

Os três crimes da lei de uso indevido de computadores

A Lei de Uso Indevido de Computadores, quando introduzida em 1990, criminalizou três comportamentos particulares, cada um com penas variadas.

• Acessando um sistema de computador sem autorização.
• Acessar um sistema de computador para cometer ou facilitar outras ofensas.
• Acessar um sistema de computador para prejudicar a operação de qualquer programa ou modificar dados que não lhe pertencem.

Fundamentalmente, para que algo seja uma ofensa criminal sob a Lei de Uso Indevido de Computadores de 1990, é preciso intenção. Não é crime, por exemplo, alguém conectar-se inadvertidamente e acidentalmente a um servidor ou rede que não tem permissão para acessar.

Mas é totalmente ilegal alguém acessar um sistema com intenção, sabendo que não tem permissão para acessá-lo.

Com um entendimento básico do que era necessário, principalmente devido à tecnologia ser relativamente nova, o legislação em sua forma mais fundamental não criminalizou outras coisas indesejáveis ​​que se pode fazer computador. Consequentemente, ele foi revisado várias vezes desde então, onde foi aprimorado e ampliado.

E os ataques DDoS?

Os leitores perspicazes terão notado que, de acordo com a lei descrita acima, Ataques DDoS O que é um ataque DDoS? [MakeUseOf explica]O termo DDoS passa despercebido sempre que o ciberativismo levanta sua cabeça em massa. Esses tipos de ataques são manchetes internacionais por várias razões. Os problemas que impulsionam esses ataques DDoS geralmente são controversos ou altamente ... consulte Mais informação não são ilegais, apesar da grande quantidade de danos e perturbações que eles podem causar. Isso ocorre porque os ataques DDoS não obtêm acesso a um sistema. Em vez disso, eles o sobrecarregam, direcionando grandes volumes de tráfego em um determinado sistema, até que ele não possa mais lidar.

Os ataques DDoS foram criminalizados em 2006, um ano depois que um tribunal absolveu um adolescente que havia inundado seu empregador com mais de 5 milhões de e-mails. A nova legislação foi introduzida na Lei de Polícia e Justiça de 2006, que acrescentou uma nova emenda ao Uso indevido de computador que criminalize qualquer coisa que possa prejudicar a operação ou o acesso de qualquer computador ou programa.

Como o ato de 1990, isso era apenas um crime se houvesse o requisito intenção e conhecimento. O lançamento intencional de um programa DDoS é ilegal, mas a infecção por um vírus que inicia um ataque DDoS não é.

Fundamentalmente, neste momento, a Lei de Uso Indevido de Computadores não era discriminatória. Era tão ilegal para um policial ou espião invadir um computador quanto era para um adolescente em seu quarto fazê-lo. Isso foi alterado em uma emenda de 2015.

Você também não pode criar vírus.

Outra seção (Seção 37), adicionada posteriormente na vida da Lei de Uso Indevido de Computadores, criminaliza a produção, a obtenção e o fornecimento de artigos que poderiam facilitar um crime de computador.

Isso torna ilegal, por exemplo, criar um sistema de software que possa iniciar um ataque DDoS ou criar um vírus ou cavalo de Troia.

Mas isso introduz uma série de problemas em potencial. Em primeiro lugar, o que isso significa para o indústria legítima de pesquisa de segurança Você pode ganhar a vida com hackers éticos?Ser rotulado de "hacker" geralmente vem com muitas conotações negativas. Se você se considera um hacker, as pessoas geralmente o percebem como alguém que causa travessuras apenas por rir. Mas há uma diferença... consulte Mais informação , que produziu ferramentas e explorações de hackers com o objetivo de aumentar a segurança do computador Como testar sua segurança de rede doméstica com ferramentas gratuitas de hackersNenhum sistema pode ser totalmente "à prova de hackers", mas os testes de segurança do navegador e as salvaguardas de rede podem tornar sua configuração mais robusta. Use essas ferramentas gratuitas para identificar "pontos fracos" em sua rede doméstica. consulte Mais informação ?

Em segundo lugar, o que isso significa para as tecnologias de "uso duplo", que podem ser usadas para tarefas legítimas e ilegítimas. Um ótimo exemplo disso seria Google Chrome O guia fácil para o Google ChromeEste guia do usuário do Chrome mostra tudo o que você precisa saber sobre o navegador Google Chrome. Ele aborda os conceitos básicos do uso do Google Chrome, importantes para qualquer iniciante. consulte Mais informação , que pode ser usado para navegar na Internet, mas também para iniciar Ataques de injeção de SQL O que é uma injeção de SQL? [MakeUseOf explica]O mundo da segurança na Internet é atormentado por portas abertas, backdoors, brechas de segurança, cavalos de Troia, worms, vulnerabilidades de firewall e uma série de outros problemas que nos mantêm atentos todos os dias. Para usuários particulares, ... consulte Mais informação .

A resposta é, mais uma vez, a intenção. No Reino Unido, os processos são instaurados pelo Serviço de Promotoria da Coroa (CPS), que determina se alguém deve ser processado. A decisão de levar alguém a tribunal é baseada em várias diretrizes por escrito, as quais o CPS deve obedecer.

Nesse caso, as diretrizes estabelecem que a decisão de processar alguém de acordo com a Seção 37 só deve ser tomada se houver intenção criminal. Ele também acrescenta que, para determinar se um produto foi construído para facilitar um computador crime, o promotor deve levar em conta o uso legítimo e as motivações por trás da construção isto.

Isso criminaliza efetivamente a produção de malware, permitindo ao Reino Unido ter uma indústria florescente de segurança da informação.

"007 - Licença para invadir"

A Lei de Uso Indevido de Computadores foi novamente atualizada no início de 2015, embora silenciosamente e sem muita alarde. Duas mudanças importantes foram feitas.

A primeira foi que certos crimes de informática no Reino Unido agora são puníveis com uma sentença de prisão perpétua. Eles seriam divulgados se o hacker tivesse intenção e conhecimento de que sua ação não era autorizada e tinha o potencial causar “sérios danos” ao “bem-estar humano e segurança nacional” ou foram “imprudentes quanto a saber se causado ”.

Parece que essas frases não se aplicam ao adolescente insatisfeito da sua variedade de jardins. Em vez disso, eles são salvos para aqueles que lançam ataques com potencial de causar danos graves à vida humana ou que visam uma infraestrutura nacional crítica.

A segunda alteração feita deu à polícia e aos agentes de inteligência imunidade contra a legislação existente sobre crimes contra computadores. Alguns aplaudiram o fato de que isso poderia simplificar as investigações sobre os tipos de criminosos que poderiam ofuscar suas atividades por meios tecnológicos. Embora outros, ou seja, a Privacy International, estivessem preocupados com a possibilidade de abuso, e não existem mecanismos suficientes para que esse tipo de legislação exista.

As alterações na Lei de Uso Indevido de Computadores foram aprovadas em 3 de março de 2015 e tornaram-se lei em 3 de maio de 2015.

O futuro da lei de uso indevido de computadores

A Lei de Uso Indevido de Computadores é uma peça viva da legislação. É aquele que mudou ao longo de sua vida e provavelmente continuará a fazê-lo.

A próxima mudança provável ocorrerá como resultado do escândalo de hackers por telefone do News of The World, e provavelmente definirá smartphones como computadores (o que são) e introduzirá o crime de liberar em formação com intenção.

Até lá, quero ouvir seus pensamentos. Você acha que a lei vai longe demais? Não é longe o suficiente? Diga-me, e conversaremos abaixo.

Créditos fotográficos: hacker e laptop Via Shutterstock, Brendan Howard / Shutterstock.com, DDC_1233 anônimo / Thierry Ehrmann, Edifício GCHQ / MOD