Автор работы: Пользователь скрыл имя, 28 Апреля 2015 в 20:06, реферат
Первые вирусы для IBM PC-совместимых компьютеров появились более 20 лет назад. С тех пор характер угроз стал принципиально другим, отразив изменения в технологии, внедрение компьютеров во все новые сферы жизни и непрекращающийся рост числа пользователей. В любой сфере человеческой деятельности каждое новое поколение принимает эстафету у предыдущего, учась на его достижениях, заново применяя приемы, которые доказали свою успешность, и при этом стремясь прокладывать новые пути.
Еще несколько лет назад вирусы и другие вредоносные программы использовались для осуществления одиночных актов компьютерного вандализма и антисоциального самовыражения с применением сложных технических средств. Большинство вирусов ограничивались заражением компьютерных дисков и программ. А ущерб в основном сводился к потере данных, поскольку вирусы стирали или (реже) портили данные на диске.
Киберпреступность и закон:
обзор положений законодательства Великобритании,
касающегося компьютерных преступлений
Общая ситуация с вредоносными
программами
Первые вирусы для IBM PC-совместимых
компьютеров появились более 20 лет назад.
С тех пор характер угроз стал принципиально
другим, отразив изменения в технологии,
внедрение компьютеров во все новые сферы
жизни и непрекращающийся рост числа пользователей.
В любой сфере человеческой деятельности
каждое новое поколение принимает эстафету
у предыдущего, учась на его достижениях,
заново применяя приемы, которые доказали
свою успешность, и при этом стремясь прокладывать
новые пути.
Еще несколько лет назад вирусы и другие
вредоносные программы использовались
для осуществления одиночных актов компьютерного
вандализма и антисоциального самовыражения
с применением сложных технических средств.
Большинство вирусов ограничивались заражением
компьютерных дисков и программ. А ущерб
в основном сводился к потере данных, поскольку
вирусы стирали или (реже) портили данные
на диске.
Теперь все иначе. Сегодня киберпреступность — масштабная проблема, а вредоносные программы пишутся с целью незаконного получения денег. Развитие интернета стало одним из ключевых факторов, определивших эти перемены. Компании и отдельные пользователи уже не мыслят без него свою жизнь, и все больше финансовых операций проводятся через интернет. Киберпреступники осознали, какие огромные возможности для «зарабатывания» денег с помощью вредоносного кода появились в последнее время, и многие из нынешних вредоносных программ написаны по заказу или с целью последующей продажи другим преступникам.
Современное общество трудно себе представить без преступности, которая затрагивает практически все сферы его жизни. Поэтому неудивительно, что применение, или употребление, компьютерных технологий развивается параллельно со злоупотреблением — это две стороны одной медали. Более того, по мере проникновения компьютеров во все новые стороны нашей жизни у преступников появляется все больше возможностей для использования технологии в своих целях.
Реакция государства на любые виды преступлений всегда одинакова: оно пытается найти способы предотвратить преступления и наказать преступников. Для этого необходимо создать законодательные акты, которые поставят определенные виды деятельности вне закона.
В настоящей статье в общих
чертах описано развитие законодательства
о компьютерных преступлениях в Соединенном
Королевстве.
Компьютерные преступления
Компьютерные преступления можно разделить на две больших категории. Первая — традиционные, для которых компьютер является не неотъемлемым элементом преступления, а только инструментом реализации преступного замысла. В эту категорию попадает шантаж — например, когда жертве вместо обычного письма посылается сообщение по электронной почте. Вторая группа — это собственно компьютерные преступления.
В качестве наглядного примера
преступлений второго типа можно привести
троянскую программу Aids Information Diskette. Этот
троянец рассылался на дискетах в конце
1989 года компанией, именовавшейся PC Cyborg.
После 90 перезагрузок программа шифровала
содержимое жесткого диска жертвы, оставляя
лишь файл README, содержащий счет на оплату
и адрес почтового ящика в Панаме, на который
пользователю предлагалось отправить
платеж. Предполагаемый автор троянца
— Джозеф Попп (Joseph Popp) — был впоследствии
экстрадирован в Великобританию и предстал
перед судом по обвинению в шантаже и повреждении
компьютерных систем (в конце концов он
был признан невменяемым на основании
своего поведения в зале суда и отпущен
на свободу).
Закон о неправомерном использовании
компьютерных технологий (Computer Misuse Act)
Первым законом Соединенного
Королевства, направленным непосредственно
против ненадлежащего использования компьютерных
технологий, был Computer Misuse Act — Закон о неправомерном
использовании компьютерных технологий,
принятый в 1990 году. Он стал ответом на
растущую тревогу о том, что существующее
в то время законодательство не позволяло
адекватно бороться с хакерами.
В Законе о неправомерном использовании
компьютерных технологий, принятом «для
обеспечения защиты компьютерных материалов
от несанкционированного доступа или
изменения», были выделены три вида преступлений,
связанных с неправомерным использованием
компьютерных технологий:
1. Несанкционированный доступ
к компьютерным данным;
2. Несанкционированный доступ к компьютерным
данным с намерением совершить или способствовать
совершению дальнейших преступлений;
3. Несанкционированное изменение компьютерных
данных.
Пайл создал вирусы Pathogen и Queeg. В обеих вредоносных программах был использован созданный им полиморфик-генератор SMEG (Simulated Metamorphic Encryption Generator), что затрудняло их обнаружение. Оба вируса уничтожали значительную часть данных на жестком диске жертвы. Пайл разместил свои вредоносные программы на электронных досках объявлений под видом игр и (в одном случае) антивирусной программы. Ущерб, нанесенный его творениями, оценивался в один миллион фунтов стерлингов (The Independent, 16 ноября 1995 г.).
Еще один важный обвинительный
приговор был вынесен в соответствии с
данным законом Саймону Вэллору (Simon Vallor),
Он признал свою вину по обвинению в создании
и распространении червей Gokar, Redesi и Admirer,
которые массово рассылали себя по электронной
почте. Эти преступления подпадали под
раздел 3 указанного Закона. В январе 2003
года Вэллор был приговорен к двум годам
тюремного заключения. По опубликованным
данным, его черви попали на 27 000 компьютеров
в 42 странах мира (The Register, 21 января 2003 г.).
Спам, вредоносное ПО и закон
Практически всем, кто пользуется электронной почтой, приходится иметь дело со спамом. Но проблема спама не ограничивается переполненными почтовыми ящиками, увеличением трафика и неприемлемым содержанием писем. Спам также применяется для доставки вредоносного кода; спам-сообщения часто используются как отправная точка для drive-by загрузок вредоносных программ, поскольку в них можно включать ссылки на веб-сайты, которые киберпреступники заразили вредоносным кодом. Кроме того, спам — основной инструмент, с помощью которого фишеры завлекают своих жертв на фальшивые сайты, где у пользователей выманивают конфиденциальные данные.
В попытке справиться с проблемой спама министерство торговли и промышленности в 2003 году приняло Положение о частной информации и электронной связи (Privacy and Electronic Communications Regulations (EC Directive) 2003). Выполнение этого Положения, которое явилось реализацией в Соединенном Королевстве директивы ЕС 2002/58/EC (конкретная реализация директивы оставлена на усмотрение каждой страны — члена ЕС), обеспечивается Администрацией Уполномоченного по информации (Information Commissioner’s Office) — независимым органом Соединенного Королевства, учрежденным для облегчения доступа граждан к официальной информации и защиты личных данных (Подробную информацию о применении Положения можно найти на веб-сайте Администрации Уполномоченного по информации).
В соответствии с Положением, компании обязаны получить разрешение физического лица, прежде чем посылать ему сообщения по электронной почте или SMS (положения закона относятся также к телефонным звонкам и факсам). Относительно электронной почты в законе указано, что никто не должен отправлять или побуждать кого-либо к отправке незапрошенных сообщений для целей, связанных с непосредственным сбытом товаров и услуг, посредством электронной почты, если получатель электронного сообщения предварительно не уведомил отправителя о своем согласии на отправку подобных сообщений отправителем или по его поручению.
Однако возможности применения закона серьезно ограничены. Во-первых, Положения применимы только к сообщениям, отправляемым на адреса физических лиц, а не на адреса компаний. Предусмотренные Положением санкции также значительно менее суровы, чем наказания, предусмотренные Законом о неправомерном использовании компьютерных технологий. Нарушения Положения должны доводиться до сведения Управления Уполномоченного по информации, которое должно решить, подавать ли на организацию-нарушителя в суд. Нарушитель может быть оштрафован на сумму до 5000 фунтов стерлингов по решению мирового суда или на любую сумму по решению суда присяжных.
Имеется и более серьезное ограничение.
Закон может быть применен только к отправителям,
находящимся на территории Соединенного
Королевства. Однако большая часть спама
рассылается не оттуда (в настоящее время
ведущими источниками спама являются
Россия и Соединенные Штаты) (Источник:
Kaspersky Security Bulletin. Спам в 2008 г.), поэтому законодательство
Соединенного Королевства не окажет на
спамеров почти или совсем никакого воздействия.
Такое положение — наглядная иллюстрация
проблемы, возникающей в связи со всеми
мерами по борьбе с киберпреступниками:
из-за геополитических ограничений законодательные
и правоохранительные органы, в отличие
от киберпреступников, не имеют возможности
действовать через границы государств
и юрисдикций.
Новое вино в старых мехах
Как уже упоминалось во введении, характер угрозы для компаний и отдельных людей, исходящей от вредоносного ПО, коренным образом изменился за время, прошедшее с появления первых вирусов в 1986 году. Технология с тех пор продвинулась далеко вперед и проникла практически во все сферы нашей жизни. В результате развития онлайн-рынков изменилась мотивация авторов вредоносных программ и появилась «теневая экономика», в которой вредоносные программы и личные данные пользователей продаются и покупаются на коммерческой основе.
Несмотря на то что положения законов носят общий характер, что позволяет охватить максимально широкий диапазон существующих и будущих правонарушений, законодательство, как правило, отстает от реальности из-за быстрого развития технологий. Не факт, что законы, принятые для борьбы с кибервандалами, занимающимися распространением вирусов и взломом компьютерных систем, эффективны против сегодняшних — гораздо более сложных — вредоносных программ, предназначенных для кражи данных, рассылки спама и вывода компьютерных систем из строя.
В ноябре 2004 года судья постановил, что молодой человек, обвинявшийся в выводе из строя сервера путем отправки по электронной почте нескольких миллионов сообщений, не нарушил положения Закона о неправомерном использовании компьютерных технологий, поскольку в его действиях не содержалось предусмотренное Законом несанкционированное внесение изменений в компьютерную систему(viruslist.com, 4 ноября 2005 г.). Несмотря на то, что впоследствии это решение было отменено апелляционным судом (viruslist.ru, 12 мая 2006 г.), это дело усилило позиции тех, кто сомневался в эффективности закона, принятого в эпоху, когда главенствовали технологии, уже устаревшие на момент описываемых событий — такие как DOS, дискеты и электронные доски объявлений.
В 2002 году граф Нортеск, член Межпартийной парламентской группы по интернету, внес личный законопроект с поправками к Закону о неправомерном использовании компьютерных технологий. Авторы законопроекта, в частности, старались прояснить положения Закона, относящиеся к DoS-атакам (т.е. атакам с целью вызвать отказ в обслуживании). Эта попытка оказалась неудачной, но она придала еще больший вес призывам к обновлению существующего законодательства.
В принятом в 2006 году Закон о полиции и юстиции (регулирующем более широкий круг проблем, чем только компьютерные преступления) содержались поправки к Закону о неправомерном использовании компьютерных технологий. Максимальный срок тюремного заключения за правонарушения, подпадающие под действие раздела 1 первоначальной редакции Закона, был увеличен с шести месяцев до двух лет. Формулировка «несанкционированное изменение компьютерных материалов» в разделе 3 Закона была изменена на следующую: «несанкционированные действия, умышленно или по неосторожности препятствующие нормальной работе компьютера и т.п.». При этом максимальное наказание по данной статье было увеличено до 10 лет тюремного заключения.
В Закон был также добавлен новый раздел: «изготовление, предоставление или приобретение товаров для использования в правонарушениях, связанных с неправомерным применением компьютерных технологий», предусматривавший до двух лет лишения свободы. В этом разделе говорится:
1. Лицо является виновным
в совершении преступления, если
оно изготавливает, приспосабливает,
предоставляет или предлагает
предоставить товар в целях
его использования для
2. Лицо является виновным в совершении
преступления, если оно предоставляет
или предлагает предоставить товар, осознавая,
что этот товар, возможно, будет использован
для совершения преступления, подпадающего
под положения раздела 1 или 3 настоящего
закона, или способствовать совершению
такого преступления.
3. Лицо является виновным в совершении
преступления, если оно приобретает товар
в целях его дальнейшего предоставления
для совершения преступления, подпадающего
под положения раздела 1 или 3 настоящего
закона, или для того, чтобы способствовать
совершению такого преступления.
4. В данном разделе под «товаром» понимается
любая программа или данные в электронной
форме.
Этот раздел вызвал много нареканий.
Очевидно, что он писался с целью запретить
применение хакерских утилит. Но под его
действие также подпали предназначенные
для законного использования программы,
которые возможно было применять не по
назначению — для взлома компьютерных
систем, а также программы riskware, могущие
использоваться как для законных, так
и для незаконных целей. Многие представители
общественности, в том числе и некоторые
члены Межпартийной парламентской группы
по интернету надеются, что в этот раздел
Закона будут внесены изменения.
Европейская конвенция о киберпреступности
Как упоминалось ранее, одно из наиболее серьезных ограничений национального законодательства о компьютерных преступлениях состоит в том, что оно не позволяет эффективно бороться с глобальным явлением киберпреступности. Европейская конвенция о киберпреступности, разработанная с целью создания международной структуры для борьбы с киберпреступлениями, была принята Комитетом министров Совета Европы в ноябре 2001 года.
Конвенция охватывает широкий круг вопросов, в том числе все аспекты киберпреступности, включая незаконный доступ к компьютерным системам и перехват данных, воздействие на данные, воздействие на работу системы, противозаконное использование устройств, подлог и мошенничество с использованием компьютерных технологий, правонарушения, связанные с детской порнографией, и правонарушения, связанные с авторским правома и смежными правами. При подготовке конвенции также преследовались цели формирования общей правоохранительной системы для борьбы с киберпреступностью и создания условий для обмена информацией между всеми странами, подписавшими конвенцию.