DPP kontra Lennon

DPP przeciwko Lennonowi to pierwsza zgłoszona sprawa karna w Wielkiej Brytanii dotycząca tak zwanych ataków „ odmowy usługi ” (DoS). Sąd apelacyjny uznał, że ataki DoS stanowiły przestępstwo nieautoryzowanej modyfikacji na podstawie art. 3 ustawy Computer Misuse Act 1990 (CMA), wyjaśniając w ten sposób prawo dotyczące DoS.

Fakty

Lennon, 16-letni nastolatek, był zatrudniony przez Domestic & General Group PLC (D&G) przez trzy miesiące, aż został zwolniony w grudniu 2003 r. W styczniu 2004 r. Lennon pobrał z Internetu program do bombardowania poczty, Avalanche v3 . 6 i używał go do bombardowania D&G e-mailami. Bombardowanie pocztą e-mail to działanie, w ramach którego program celowo wysyła dużą liczbę wiadomości e-mail na określony adres e-mail w firmie i jest przykładem ataku DoS, w ramach którego wysyłanych jest wiele żądań w celu spowolnienia lub wyłączenia sieci .

Avalanche została ustawiona na „mail, dopóki się nie zatrzymała”. E-maile sfałszowały również nazwisko Betty Rhodes, kierownika ds. Zasobów ludzkich w D&G, dlatego wydawały się pochodzić z Rhodes, a nie od Lennona. Oszacowano, że w weekend serwery grupy otrzymały prawie 5 milionów e-maili, z których ostatnia została wysłana do pani Rhodes z informacją „to się nie skończy”. To w konsekwencji przeciążyło serwery D&G i spowodowało ich awarię wraz z witryną korporacyjną. Metropolitan Police Service wyśledziła atak na adres w West Midlands. Lennon został aresztowany, przesłuchany i wysłany na proces do Wimbledon Youth Court .

Osąd

Oskarżony przyznał się podczas przesłuchania, że ​​pobrał program i wysłał e-maile „modyfikując” serwer D&G z zamiarem spowodowania „trochę bałaganu”. Jednak nie uważał, że zrobił coś przestępczego, ani nie zdawał sobie sprawy ze skutków swoich działań ani zamiaru wyrządzenia szkód D&G, które oszacowano na prawie 18 000 funtów. Ponadto stwierdził, że mógł przeprowadzić „atak ping”, ale tego nie zrobił, ponieważ spowolniłoby to jedynie sieć na kilka godzin. W ten sposób uznał, że przynajmniej rozważył względną możliwość przerwania dwóch kierunków działania i wybrał ten, który w większym stopniu mógł spowodować problemy dla D&G.

Lennon został następnie oskarżony o naruszenie art. 3 CMA za spowodowanie „nieautoryzowanej modyfikacji” komputera, ze świadomością, że modyfikacja była nieautoryzowana, i czyniąc to, trwale lub tymczasowo zakłócił prawidłowe działanie tego komputera. Zasadniczym pytaniem było, czy ta modyfikacja została zatwierdzona i czy D&G wyraziła zgodę na te modyfikacje. SS. 17(7b) i 17(8) zawierają ustawowe definicje „nieautoryzowanej modyfikacji”, gdzie pierwsza sekcja wyjaśnia, że ​​modyfikacja obejmuje dodanie dowolnego programu lub danych, a druga definiuje „nieautoryzowaną” jako gdzie (pozwany) nie ma zgody na modyfikację od osoby uprawnionej do decydowania o tym, czy takie uzupełnienie powinno być dokonane. W Wimbledon Magistrates' Court prokuratura stwierdziła, że ​​Lennon spełnił elementy art. 3 (1), ponieważ spowodował modyfikację zawartości serwerów pocztowych D&G .

Obrona nie kwestionowała, że ​​wysłanie i otrzymanie każdego e-maila skutkowało modyfikacją serwera D&G. Jednocześnie obrona złożyła wniosek o „brak odpowiedzi” na tej podstawie, że oskarżona modyfikacja poprzez wysyłanie e-maili nie była w stanie wskazać, że jego działania były nieuprawnione. Podstawą argumentu pozwanego było to, że ponieważ samą funkcją serwera poczty elektronicznej było odbieranie wiadomości e-mail, to każda pojedyncza wiadomość e-mail wysłana na serwer jest uprawniona do jej modyfikacji i nie może istnieć próg, powyżej którego ogromna liczba autoryzowanych transakcji staje się nieautoryzowana . Dlatego D&G musiał wyrazić zgodę na otrzymywanie wiadomości e-mail i modyfikowanie serwera, więc nie mógł być winny przestępstwa z art. 3 ust. 1.

Przeciwnie, prokuratura sprzeciwiła się po pierwsze, że może być tylko zgoda na e-maile w dobrej wierze , czego nie było w przypadku oskarżonego. Po drugie, e-maile były nieautoryzowane od momentu, gdy Avalanche otrzymała polecenie ich wysłania. Po trzecie, nawet jeśli istniała pewna liczba e-maili, które były dorozumiane autoryzowane, istniał próg, przy którym ich liczba stawała się nieautoryzowana. Wreszcie argumentowali, że wszystkie e-maile były nieautoryzowane, ponieważ pochodziły od pozwanego, a nie od rzekomego nadawcy.

Sędzia okręgowy Grant, zasiadający w sądzie dla nieletnich, przyjął argumentację obrony i uznał, że nie ma sprawy do odpowiedzi, oddalając zarzuty przeciwko Lennonowi. Utrzymywał również, że pkt 3 miał zajmować się wysyłaniem szkodliwych materiałów, takich jak wirusy , robaki i konie trojańskie , które modyfikują dane, ale nie wysyłaniem e-maili. Ponadto, ponieważ serwery D&G były skonfigurowane do otrzymywania wiadomości e-mail, z których każda była wysyłana indywidualnie przez pozwanego, dorozumiana zgoda na każdą z nich skutkowała zbiorową dorozumianą zgodą, a zatem dokonane modyfikacje zostały zatwierdzone.

Odwołanie

Dyrektor Prokuratury (DPP) złożył apelację od postanowienia o umorzeniu sprawy . Lord Justice Keene i Justice Jack nie zgodzili się z rozumowaniem sędziego Granta, uwzględnili apelację i przekazali sprawę sędziemu okręgowemu w celu kontynuowania rozprawy, stwierdzając , że sędzia okręgowy „raczej rozminął się z rzeczywistością sytuacji, błędnie uznając, że nie było sprawy odpowiedzieć". Kwestią, którą sąd ten musiał rozważyć, było to, czy dodanie do danych na serwerze D&G wynikające z otrzymywania e-maili wysyłanych przez Lennona było nieautoryzowane w rozumieniu art. 17 ust. 8. Odpowiedź na to nie była problematyczna, ponieważ Lennon nie był osobą uprawnioną do decydowania, czy taka „modyfikacja” powinna zostać dokonana. Zatem s.17(8a) jest spełniony. Następnie pytanie brzmiało, czy Lennon „miał zgodę na modyfikację od jakiejkolwiek osoby, która była do tego uprawniona” zgodnie z art. 17(8b).

W kwestii zgody Sąd Okręgowy zgodził się, że zgodę na otrzymywanie poczty wyraża właściciel serwera pocztowego. Uznał jednak, że ta dorozumiana zgoda nie była nieograniczona. Tak więc, chociaż D&G mogła udzielić dorozumianej zgody na wysłanie wiadomości e-mail, nie zgodziłaby się na przytłoczenie dużą liczbą wiadomości e-mail. Sąd dokonał analogii z chodnikiem na prywatnej posesji . Podobnie jak domownik z dorozumianym zezwoleniem udzielonym członkom społeczeństwa idącym po jego drodze i dostarczającym pocztę przez skrzynkę na listy, takie dorozumiane pozwolenie nie może dotyczyć włamywaczy korzystających ze ścieżki lub mających „zatkać skrzynkę pocztową” śmieci". Nie było potrzeby określania granic tej zgody; wystarczyło stwierdzić, że dorozumiana zgoda dotyczyła wiadomości e-mail wysyłanych w celu komunikacji z właścicielem i jest cofana w przypadku wiadomości e-mail wysyłanych w celu przerwania działania i korzystania z systemu.

Wbrew twierdzeniom oskarżonego, jego zachowania nie należy rozpatrywać indywidualnie, ale całościowo, ponieważ e-maile zostały wysłane przez jeden program. Co więcej, Avalanche miał działać, aż się zatrzyma, więc cel Lennona był oczywisty od momentu, gdy uruchomił program. Ponadto, w odniesieniu do ścigania czwartego podania sfałszowanych adresów e-mail, odnosząc się do art. 3 ust. 4 i sprawy Zezev, sąd stwierdził, że nie było zgody na wysyłanie wiadomości e-mail w imieniu pani Rhodes, otrzymywanie złośliwych wiadomości e-mail rzekomo pochodzących od pracownika. Sąd wyraźnie stwierdził jednak, że nie we wszystkich okolicznościach wiadomość rzekomo pochodzącą od osoby innej niż jej nadawca należy traktować jako nieautoryzowaną, ponieważ autoryzacja lub jej brak zależy od okoliczności, tj. miejsca, w którym została wysłana dla żartu.

Oddając sprawę do ponownego rozpatrzenia, sąd zasugerował sędziemu okręgowemu , aby potraktował to jako test: czy Lennon miał wiedzę, że to, co robi, jest niedozwolone, jakiej odpowiedzi oczekiwałby, gdyby zapytał D&G, czy mógłby rozpocząć program.

Lennon, wówczas 19-letni, został uznany za winnego i skazany na dwumiesięczną godzinę policyjną za pomocą elektronicznego znacznika. Lord Dixon zasiadający w WMC orzekł, że przyznanie się Lennona do winy wskazuje, że atak DoS jest poważnym przestępstwem.

Komentarz

Choć w postępowaniu odwoławczym sąd rozwiązał problem DoS tak, że wystarczy uświadomić sobie, że istnieje możliwość, że nieautoryzowana wiadomość może zakłócić działanie docelowego systemu, to problemy dotyczące dorozumianej zgody, a tym samym autoryzacji odbioru poczty, pozostają nierozwiązane.

Pierwotna decyzja Sądu Pokoju wywołała wiele komentarzy i konsternacji oraz doprowadziła do ponownych wezwań do aktualizacji CMA, tak aby uwzględniała zmiany w technologii i użytkowaniu. Ustawa o policji i wymiarze sprawiedliwości z 2006 r. (s. 36) zmieniła art. 3 CMA, kryminalizując ataki DoS, podlegające karze do 10 lat pozbawienia wolności. Ta poprawka zapewniła Wielkiej Brytanii zgodność z punktem A.5 Konwencji Rady Europy o cyberprzestępczości i punktem A.3 decyzji ramowej UE w sprawie ataków na systemy informatyczne .

Zobacz też

  1. ^ Fafiński, S. (2007). „Cyberprzestępczość”. Nowy dziennik prawniczy . 157 (7258): 159.
  2. ^ a b Pinsent Masons, DPP v Lennon (2007), dostęp 19 lutego 2012.
  3. ^ abc Georgina ; Kon, Kościół, Piotr (2006). „Odmowa usługi, ale nie odmowa sprawiedliwości”. Przegląd prawa komputerowego i bezpieczeństwa . 22 (5): 416–417. doi : 10.1016/j.clsr.2006.07.004 .
  4. ^ Creaton, J. (2006). „Ostatnie orzeczenia sądowe”. Dziennik policyjny . 79 (4): 371.
  5. ^ Creaton, Jane (2016). „Ostatnie orzeczenia sądowe”. Dziennik policyjny: teoria, praktyka i zasady . 80 (2): 167–183. doi : 10.1350/pojo.2007.80.2.167 .
  6. ^ Creaton, Jane (2016). „Ostatnie orzeczenia sądowe”. Dziennik policyjny: teoria, praktyka i zasady . 78 (2): 159–174. doi : 10.1350/pojo.2005.78.2.159 .
  7. ^ a b c Fafiński, S. (2006). „Odmowa usługi?”. Nowy dziennik prawniczy . 156 (7248): 1712–1713.
  8. ^ Oate, J. (23 sierpnia 2006). „Dziecko, które rozbiło serwer e-mail, zostaje otagowane” . Rejestr . Źródło 17 lutego 2012 r .
  9. ^ Fafiński, Stefan (2007). „Konsekwencje ustawy o policji i wymiarze sprawiedliwości z 2006 r.” dla bezpieczeństwa. Bezpieczeństwo sieci . 2007 (2): 8–11. doi : 10.1016/S1353-4858(07)70017-X .
  10. ^ a b Consulting C., (2006) „Ataki typu „odmowa usługi” - Lennon and the Computer Not much use Act”, Electronic Business Law 8, 1,9
  11. ^ s.17 Ustawa o niewłaściwym użytkowaniu komputera z 1990 r
  12. ^ a b c Hörnle, J. (2006), „UK-Computer Misuse-Denial of service attack”, Electronic Business Law 8 (6), 13
  13. ^ a b c d Fafiński, Stefan (2016). „Niewłaściwe użycie komputera: ataki typu „odmowa usługi” . Dziennik Prawa Karnego . 70 (6): 474–478. doi : 10.1350/jcla.2006.70.6.474 .
  14. ^ Fafiński, Stefan (2016). „Odmowa dostępu: niewłaściwe użycie komputera w dobie zmian technologicznych”. Dziennik Prawa Karnego . 70 (5): 424–442. doi : 10.1350/jcla.2006.70.5.424 .
  15. ^ Lloyd., I., Information Technology Law (wyd. 5, OUP Oxford, 2008), s. 236
  16. ^ a b „Niewłaściwe użycie komputera: zgoda na modyfikację komputera”, Archbold News , 2006 6, 1–2
  17. ^ a b [2006] EWHC 1201 (administrator), 2006 ALL ER (D) 147
  18. ^ Pinsent Masons, „Atakujący Denial of Service skazany na godzinę policyjną” (2006), dostęp 17 lutego 2012
  19. ^ Edwards, L. & Waelde, C. (2009), Prawo i Internet (wyd. 3), Oxford: Hurt Publishing, s. 677
  20. Bibliografia _ _ 237.
  21. ^ Fafiński, Stefan (2008). „Niewłaściwe użycie komputera: implikacje ustawy o policji i wymiarze sprawiedliwości z 2006 r.”. Dziennik Prawa Karnego . 72 : 53–66. doi : 10.1350/jcla.2008.72.1.477 .

Linki zewnętrzne

Dalsza lektura

Pobrano z „ https://en.wikipedia.org/w/index.php?title=DPP_v_Lennon&oldid=1137115048