Stany Zjednoczone przeciwko Morrisowi (1991)
| Stany Zjednoczone przeciwko Morrisowi | |
|---|---|
 | |
| Sąd | Sąd Apelacyjny Stanów Zjednoczonych dla Drugiego Okręgu |
| Pełna nazwa sprawy | Stany Zjednoczone przeciwko Robertowi Tappanowi Morrisowi |
| Argumentował | 4 grudnia 1990 |
| Zdecydowany | 7 marca 1991 |
| cytaty | 928 F.2d 504 |
| Holding | |
| Rząd nie musi udowadniać, że pozwany umyślnie uniemożliwił korzystanie z komputerów należących do federalnych interesów, powodując w ten sposób stratę. Ponadto Morris działał „bez zezwolenia” zgodnie z sekcją (a)(5)(A). Decyzja zostaje zatem potwierdzona. | |
| Członkostwo w sądzie | |
| Sędziowie posiedzą | Jon Newman , Ralph Winter , TF Daly |
| Opinie o sprawach | |
| Większość | Jona O. Newmana |
| Stosowane przepisy | |
| 18 USC § 1030(a)(5)(A) | |
United States v. Morris był apelacją od wyroku skazującego Roberta Tappana Morrisa za stworzenie i wypuszczenie robaka Morris , jednego z pierwszych robaków internetowych . Sprawa ta zakończyła się pierwszym wyrokiem skazującym na podstawie ustawy o oszustwach i nadużyciach komputerowych . W trakcie sporu wyjaśniono znaczną część języka użytego w ustawie, która została mocno zmieniona w wielu aktualizacjach wprowadzonych w latach po jej pierwotnym zredagowaniu. Wyjaśniono również pojęcie „nieautoryzowanego dostępu”, które jest centralnym elementem amerykańskich przepisów dotyczących bezpieczeństwa komputerowego. Decyzja sądu w USA była pierwszą, w której odniesiono się do „Internetu ” , który opisał po prostu jako „krajową sieć komputerową”.
Tło sprawy
Robert Tappan Morris był studentem Cornell , który w 1988 roku rozpoczął pracę nad wczesnym robakiem internetowym . Po wejściu do szkoły otrzymał bezpośredni dostęp do konta komputera Cornell i wykorzystał ten dostęp do opracowania swojego robaka. Morris wypuścił robaka z MIT , próbując ukryć jego źródło. Robak rozprzestrzeniał się za pośrednictwem czterech mechanizmów:
- Przez błąd w Sendmail , programie pocztowym .
- Przez błąd w Finger , programie służącym do wyszukiwania informacji o innych użytkownikach na komputerach w sieci.
- Poprzez funkcję „zaufanych hostów”, która umożliwia użytkownikom z jednego systemu korzystanie z innego systemu bez hasła.
- atak brute-force na hasło .
Robak został zaprojektowany tak, aby nie rozprzestrzeniał się na komputery, które już zainfekował. Jednak aby uniemożliwić komputerom obronę przed tym, udając, że mają robaka, nadal infekuje on już zainfekowany komputer jeden na siedem razy. Robak został również zaprojektowany w taki sposób, aby był usuwany po wyłączeniu zainfekowanego komputera, zapobiegając w ten sposób problemom z wielokrotnymi infekcjami. Niedoszacowanie przez Morrisa tempa ponownej infekcji spowodowało, że to zabezpieczenie było nieskuteczne, a „dziesiątki tysięcy” komputerów uległo katatonii w wyniku powtarzających się infekcji. Oszacowano, że na jeden zainfekowany obiekt potrzeba było od 200 do 53 000 USD, aby posprzątać po robaku.
Morris został uznany przez Sąd Okręgowy Stanów Zjednoczonych dla Północnego Dystryktu Nowego Jorku za winnego naruszenia 18 USC 1030(a)(5)(A), skazany na trzy lata w zawieszeniu, 400 godzin prac społecznych, grzywnę w wysokości 10 050 USD, oraz koszt jego nadzoru.
Dyskusja
Dyskurs prawniczy toczył się wokół trzech głównych kwestii: czy Morris musiał mieć zamiar wyrządzenia szkody, czy Morris naprawdę uzyskał nieautoryzowany dostęp oraz czy Sąd Okręgowy właściwie poinformował ławę przysięgłych o subtelnościach sprawy .
Zamiar wyrządzenia szkody
Jak czytamy w 1991 roku, 18 USC § 1030(a)(5)(A) , część ustawy o oszustwach i nadużyciach komputerowych, obejmuje każdego, kto:
(5) celowo uzyskuje dostęp do komputera interesu federalnego bez zezwolenia i za pomocą jednego lub więcej przypadków takiego zachowania zmienia, uszkadza lub niszczy informacje na takim komputerze interesu federalnego lub uniemożliwia autoryzowane korzystanie z takiego komputera lub informacji, a tym samym (A) powoduje stratę dla jednej lub więcej osób o łącznej wartości 1000 USD lub więcej w dowolnym okresie jednego roku;
Morris argumentował, że to go nie dotyczyło, ponieważ rząd nie mógł ostatecznie udowodnić, że zamierzał wyrządzić szkodę komputerowi będącemu przedmiotem zainteresowania federalnego. Komputery federalne definiuje się jako komputery uczestniczące w handlu krajowym lub międzynarodowym lub używane w instytucji federalnej lub rządowej. Rząd nie zgodził się z tym, stwierdzając, że skoro przecinek oddziela wyrażenie „celowo” od reszty sekcji, niekoniecznie ma to zastosowanie. Takie użycie interpunkcji do oddzielania przysłówków ma precedensy w sprawach Burlington No. R. Co. przeciwko Okla. Tax Comm'n i Consumer Product Safety Comm'n przeciwko GTE Sylvania, Inc. .
Sąd wziął również pod uwagę język używany w poprzednich wersjach prawa do określenia intencji Kongresu. W poprawce do ustawy z 1986 r., artykuł 1030 (a) (2) zmienił wymóg dotyczący stanu psychicznego z „świadomie” na „umyślnie”. Dokonano tego w celu uniemożliwienia celowego nieautoryzowanego dostępu, a nie „błędnych, nieumyślnych lub nieostrożnych” działań. Sąd argumentował, że skoro to „celowo” sformułowanie zostało wprowadzone do prawa w celu uniknięcia karania użytkowników, którzy przypadkowo uzyskali dostęp do komputera, do którego nie mają uprawnień, odnosi się ono ściśle do klauzuli „dostęp”, a nie „odszkodowań”. . Nie ma dowodów na to, że Kongres zamierzał zalegalizować przypadkowe uszkodzenie innego komputera, dlatego specyfikacja „celowo” nie została tam sporządzona. Ponadto Rząd zasugerował, aby wiele innych podsekcji artykułu 1030, w szczególności (a)(1), nadal powtarzało wymóg dotyczący stanu psychicznego przed każdą klauzulą, wskazując, że brak takiego powtórzenia w (a)(5)(A) ma charakter orientacyjny krótkiego zasięgu przysłówka „celowo”.
Aby zakwestionować to twierdzenie, Morris zacytował inny fragment raportu Senatu: „Nowy podsekcja 1030 (a) (5), który ma zostać utworzony przez projekt ustawy, ma na celu karanie tych, którzy celowo zmieniają, uszkadzają lub niszczą niektóre skomputeryzowane dane należące do innego”. Sąd uznał jednak dowody Rządu dotyczące zmiany języka ustawy za bardziej przekonujące.
Nieautoryzowany dostęp
Morris argumentował, że skoro uzyskał dostęp do komputerów w Cornell , Harvardzie i Berkeley , uwalniając robaka, po prostu przekroczył autoryzowany dostęp, a nie uzyskał nieautoryzowany dostęp. Z tego powodu teoretyzował, że sekcja (a)(3), a nie (a)(5)(A), właściwie go obejmuje. Ta obrona opiera się na innej części raportu Senatu, w którym stwierdzono, że ustawa o oszustwach i nadużyciach komputerowych będzie skierowana do „osób z zewnątrz” (osób nieupoważnionych do korzystania z komputerów należących do interesów federalnych). Ponieważ Morris miał dostęp do komputerów tego rodzaju, stwierdził, że jego działania nie były całkowicie nieautoryzowane. Jednak we wspomnianym raporcie Senatu stwierdza się również, że prawo ma zastosowanie „w przypadku, gdy wykroczenie sprawcy ma charakter międzywydziałowy”. Sąd argumentował, że skoro robak Morrisa dotarł do komputerów obejmujących departamenty rządowe USA, w tym wojskowe, 18 USC 1030 prawidłowo go dotyczył.
Sąd zwrócił również uwagę, że ponieważ Morris używał programów sendmail i finger w sposób niezgodny z ich przeznaczeniem, jego obrona „przekroczenia uprawnień” została jeszcze bardziej osłabiona. Ponieważ Morris używał tych programów tylko dlatego, że miały one luki w zabezpieczeniach, które mógł wykorzystać, aby uzyskać dostęp do komputerów, do których inaczej nie miałby dostępu, to użycie jest przykładem „nieautoryzowanego dostępu”. Fakt, że robak odgadywał hasła w celu włamania się do innych systemów, dodatkowo podkreśla tę kwestię.
Właściwa instrukcja jury
Morris twierdził, że Sąd Rejonowy niewłaściwie pouczył ławę przysięgłych o specyfice jego sprawy. Po pierwsze, skarżył się, że Sąd Rejonowy nie przedstawił ławie przysięgłych definicji „upoważnienia”. Trybunał stwierdził, że „zezwolenie” jest powszechnie używane i nie wymaga definiowania. Sąd Apelacyjny w tej sprawie zgodził się, powołując się na precedens. Morris twierdził również, że Sąd Okręgowy błędnie nie poinstruował ławy przysięgłych w sprawie „przekroczenia dozwolonego dostępu”, używając jego proponowanej definicji. Ponownie Sąd Apelacyjny zgodził się z decyzją Sądu Okręgowego, stwierdzając, że dodatkowa definicja byłaby potencjalnie myląca, a proponowana instrukcja Morrisa była błędna. Ponadto termin „przekroczenie dozwolonego dostępu” sugeruje, że jest to mniej poważne niż „nieautoryzowany dostęp”, ale nawet gdyby tak było, Morris ponosił odpowiedzialność na mocy wielu części ustawy o oszustwach i nadużyciach komputerowych.
Decyzja sądu
Amerykański Sąd Apelacyjny, Drugi Okręg potwierdził decyzję niższego Sądu Okręgowego, w której Morris został uznany za winnego naruszenia 18 USC 1030(a)(5)(A), co jest przestępstwem.
Przyjęcie sprawy
W 1996 r. ustawa o oszustwach i nadużyciach komputerowych została ponownie zmieniona w celu wyjaśnienia problemów związanych z intencjami, które stanowiły większość sprawy USA przeciwko Morrisowi . Przysłówki „świadomie” i „umyślnie” zostały wprowadzone w większej liczbie miejsc w statucie, aby w przyszłości ułatwić spory z prawem.
Ta sprawa potwierdziła siłę ustawy o oszustwach i nadużyciach komputerowych. Przed podjęciem tej decyzji przyjmowano, że ustawa wymaga zamiaru wyrządzenia szkody – co uważano za bardzo trudne do udowodnienia. Orzeczenie w tej sprawie pokazało, że tak nie było.