DoS je trestný čin? Advokát vysvětluje o trestném činu poškození elektronických počítačů a dalších forem narušení obchodní činnosti
Trestný čin narušení provozu elektronických počítačů byl nově zaveden v roce Šówa 62 (1987). V té době, s rychlým růstem ekonomiky a rozvojem technologií, se počítače začaly hojně využívat v kancelářích.
Práce, které byly dříve prováděny lidmi, začaly být prováděny počítači, a také se rozšiřoval rozsah obchodních činností. Proto se začalo předpokládat, že by mohlo dojít k narušení provozu zaměřenému na počítače, a aby se tomu čelilo, byl tento zákon nově zaveden.
Avšak v době jeho zavedení byly počítače stále ve vývoji a internet nebyl ještě rozšířený, takže bylo obtížné konkrétně předvídat kybernetickou kriminalitu. Navíc tento zákon nepoužívá termíny z oblasti počítačové vědy nebo informačních věd, ani termíny běžně používané v společnosti, ale je formulován v jazyce typickém pro trestní zákoník, což vede k různým interpretacím a může být pro občany obtížně srozumitelný.
Tento trestný čin je obecně považován za odpovídající typ trestného činu zvaného počítačová kriminalita, který je součástí kybernetické kriminality.
V tomto článku podrobně a srozumitelně vysvětlíme trestný čin narušení provozu elektronických počítačů.
https://monolith.law/corporate/categories-of-cyber-crime[ja]
Co je to útok DoS
Útok DoS (Denial of Service attack) je typ kybernetického útoku, který zahrnuje zasílání velkého množství dat nebo neoprávněných dat na webové stránky nebo servery cíle útoku, což způsobuje nadměrné zatížení a následné neschopnosti systému fungovat správně. Na rozdíl od neoprávněného přístupu, který obejde oprávnění k použití, nebo virů, které převezmou kontrolu nad systémem, útok DoS brání regulérním uživatelům v přístupu. Tato metoda kybernetického útoku existuje již dlouho a je často používána v útocích DDoS (Distributed Denial of Service attack), což je distribuovaný typ útoku. I v posledních letech jsou takové útoky častým zdrojem obtěžování a škod.
Typy útoků DoS
Útoky DoS se dělí na dva typy: “flood” a “exploit”.
“Flood” pochází z anglického slova pro povodeň a znamená, že útočník překoná protokol a zašle obrovské množství dat, které cíl útoku není schopen zpracovat.
Na druhé straně, “exploit” typ útoku využívá zranitelnosti serveru nebo aplikace, provádí neoprávněné operace a zastaví jejich funkci. Hranice mezi tímto typem útoku a neoprávněným přístupem může být nejasná. Například typický “exploit” útok DoS, známý jako LAND útok, zahrnuje odeslání paketu, jehož zdrojová a cílová IP adresa a číslo portu jsou stejné. Jednoduše řečeno, útočník A pošle serveru B paket s významem “Jsem B a chci odpověď”. B pak odpoví sám sobě, což vede k nekonečné smyčce. Tento útok využívá “zranitelnost” v tom smyslu, že odpovídá na pakety, jejichž zdrojem je sám. Nicméně, protože neobejde autentizaci hesla, je klasifikován jako “exploit” typ útoku DoS, nikoli jako neoprávněný přístup.
https://monolith.law/reputation/unauthorized-computer-access[ja]
DDoS útoky jsou distribuované útoky, které využívají tisíce počítačů infikovaných bot viry, které jsou ovládány na dálku a provádějí “flood” typ útoku DoS.
Mechanismus útoku DoS
Mechanismus útoku DoS je technicky jednoduchý a zahrnuje opakované a časté provádění akcí, které jsou obecně povoleny v rámci protokolu TCP/IP. Například, když se mnoho lidí pokusí koupit vstupenky na koncert populárního idolu v době veřejného prodeje a přistoupí na prodejní stránku, stránka se může zpomalit nebo spadnout kvůli přetížení. Útok DoS zneužívá legitimní oprávnění k vytvoření takové situace úmyslně.
Je DoS útok trestným činem podle zákona o poškození počítače a narušení provozu?
Takže, je DoS útok trestným činem? Zkoumejme, zda se jedná o trestný čin podle zákona o poškození počítače a narušení provozu.
Kdo poškodí počítač nebo magnetický záznam používaný v provozu, nebo kdo poskytne falešné informace nebo neoprávněné pokyny počítači používanému v provozu, nebo kdo jiným způsobem způsobí, že počítač neprovádí operace podle svého účelu, nebo že provádí operace v rozporu se svým účelem a tím naruší provoz, bude potrestán trestem odnětí svobody až na pět let nebo pokutou do jednoho milionu jenů.
Paragraf 234-2, odstavec 1 Japonského trestního zákona (Zákon o poškození počítače a narušení provozu)
Takto, pro splnění zákona o poškození počítače a narušení provozu jsou potřeba následující objektivní požadavky:
- Útok na počítač
- Překážení operace počítače
- Narušení provozu
A subjektivní požadavek, že tyto činy byly provedeny úmyslně.
Splnění objektivních požadavků
Podívejme se na následující body podrobněji.
Útok na počítač
Útok (čin) musí splňovat jednu z následujících podmínek:
- “Poškození počítače nebo magnetického záznamu používaného pro jeho provoz”
- “Poskytnutí falešných informací nebo neoprávněných pokynů počítači”
- “Nebo jiným způsobem”
Co se týče “počítače”, soudní případ (Fukuoka High Court, 21. září 2000) definoval počítač jako elektronické zařízení, které automaticky provádí výpočty a zpracování dat. Office počítače, osobní počítače a řídící počítače jsou typickými příklady. Magnetický záznam je definován v paragrafu 7-2 trestního zákona. Server, který je cílem DoS útoku, je samozřejmě považován za jeden z těchto.
“Poškození” zahrnuje nejen fyzické poškození, ale také všechny činy, které poškodí užitečnost věci, jako je smazání dat. “Falešné informace” znamenají, že obsah je v rozporu s pravdou. “Neoprávněné pokyny” znamenají poskytnutí pokynů, které mohou být zpracovány daným počítačem, bez oprávnění. Například, pokud je proveden masivní a soustředěný DoS útok typu flood, cílový server se přetíží a nebude schopen provádět správné zpracování. Takový útok, i když nedosáhne “poškození” jako je smazání dat, je přístup proti vůli majitele serveru a poskytuje pokyny bez oprávnění, takže je považován za “neoprávněné pokyny”.
Překážení operace počítače
Otázkou je, zda se jedná o “neprovádění operací podle svého účelu” nebo “provádění operací v rozporu se svým účelem”. Existují názory na to, kdo by měl být považován za účel použití, ale vzhledem k tomu, že zákon chrání bezpečný a hladký provoz, by měl být považován za účel instalatéra. Když je proveden DoS útok a server je přetížen, služba může být nedostupná a server nemůže provádět správné operace, které instalatér zamýšlel. V takovém případě se dá říci, že “neprovádí operace podle svého účelu”, což je překážení operace.
Narušení provozu
Zákon o poškození počítače a narušení provozu je závažnější formou trestného činu narušení provozu (paragrafy 233 a 234 trestního zákona), takže toto narušení provozu by mělo být považováno za stejné jako obvyklé narušení provozu. Jinými slovy, “provoz” znamená úkoly prováděné opakovaně a kontinuálně na základě sociálního postavení, a “narušení” nevyžaduje skutečné poškození provozu.
Když je proveden DoS útok, “provoz” poskytování služeb na internetu prostřednictvím použití serveru instalatérem je narušen, což je narušení provozu.
Splnění subjektivních požadavků (úmysl)
Po splnění těchto požadavků je nutné uznat úmysl (paragraf 38, odstavec 1 trestního zákona). Úmysl znamená, že si uvědomujete a akceptujete skutečnosti, které odpovídají výše uvedeným bodům ① až ③ (tzv. konstitutivní prvky). To nevyžaduje zlý úmysl nebo záměr narušit, dokonce i když nemáte takový úmysl, pokud máte povědomí, že “server může spadnout a služba může být nedostupná”, může být uznán úmysl.
Případ masivního přístupu na webové stránky Městské knihovny Okazaki
V souvislosti s tímto bych vám rád představil případ masivního přístupu na webové stránky Městské knihovny Okazaki (známý také jako případ Librahack).
Muž (39) z prefektury Aichi byl zatčen, protože se domníval, že provedl kybernetický útok, když shromažďoval informace o nových knihách z webových stránek knihovny pomocí vlastního programu. Nicméně podle analýzy odborníka, kterého požádal Asahi Shimbun, bylo zjištěno, že knihovní software měl chybu a vypadalo to, jako by byl napaden masivním přístupem. Zjistilo se také, že stejný problém se vyskytl v šesti knihovnách po celé zemi, které používají stejný software. Společnost, která software vyvinula, začala provádět opravy v přibližně třiceti knihovnách po celé zemi.
Asahi Shimbun Nagoya Morning Edition (21. srpna 2010)
Tento problém se vyskytl v Městské knihovně Okazaki v prefektuře Aichi. Software měl chybu, která způsobovala, že po každém vyvolání dat knihovny se zpracování dat pokračovalo, jako by byl telefon po hovoru stále zdvižený. Po určité době bylo spojení nuceně přerušeno, ale v této knihovně, pokud počet přístupů překročil tisíc za deset minut, nebylo možné prohlížet webové stránky a vypadalo to, jako by byl napaden masivním přístupem.
Muž byl softwarový inženýr a půjčoval si z Městské knihovny Okazaki asi sto knih ročně. Webové stránky knihovny byly nepřehledné, takže vytvořil program, který shromažďoval informace o nových knihách každý den, a začal ho používat od března.
Od té doby knihovna obdržela stížnosti od občanů, že “nemohou přistupovat na webové stránky”. Na základě konzultace s policií prefektury Aichi byl muž zatčen za podezření z narušení obchodní činnosti, protože se domnívali, že úmyslně odesílal požadavky přesahující zpracovatelskou kapacitu. Okazaki pobočka prokuratury v Nagoyi v červnu rozhodla o odkladu obžaloby, protože “nebyl uznán silný úmysl narušit obchodní činnost”.
Muž, který byl v tomto případě zatčen, byl uživatelem Městské knihovny Okazaki a prováděl to s cílem shromažďovat informace o nových knihách na webových stránkách knihovny, a neměl úmysl narušovat činnost knihovny. Frekvence přístupu byla také nízká, asi jednou za sekundu, což by obvykle nebylo považováno za DoS útok, ale kvůli chybě na serveru knihovny došlo k systémové poruše i při této frekvenci.
I když nebyl žádný zlý úmysl, je uznáno, že došlo k narušení činnosti knihovny tím, že byl server knihovny sestřelen prováděním akce, která by mohla být považována za DoS útok, takže se podíváme na objektivní požadavky. A co se týče úmyslu, jak jsme již uvedli, i když nebyl žádný zlý úmysl, může být uznán úmysl. Prefektura Aichi se domnívala, že tento muž, který je odborníkem na počítače, byl schopen si uvědomit, že pokud pošle velké množství požadavků, může to mít vliv na server knihovny, a přesto poslal velké množství požadavků, takže byl úmysl a zločin mohl být dokonán.
Problémy a kritika případu
Metoda, kterou muž používal k mechanickému získávání dat z veřejných webových stránek, je široce a obecně používána a programování samo o sobě není nelegální. Tento muž vysvětlil průběh a úmysl případu na svých webových stránkách, ale z jeho obsahu nebylo nic, co by mohlo být odsouzeno jako “zločin” nebo co by si zasloužilo morální odsouzení, což otřáslo mnoha techniky, kteří používají tuto technologii, a vyvolalo mnoho kritiky a obav.
Například, v první řadě, na veřejných webových stránkách veřejné knihovny, které používá nespecifikovaný počet lidí, pokud server má chybu, která ho sestřelí při jednom přístupu za sekundu, je to příliš slabé a křehké, a pokud by měl server, který by měl být normálně silný, muž by neměl být zatčen, což je bod, který byl zdůrazněn.
Dalším bodem je, že muž neměl žádný “zlý úmysl” nebo “šikanování”, jako je útok nebo narušení obchodní činnosti, a neodesílal velké množství dat, které by se lišily od běžného použití, což je zřejmě trestný prvek, a přesto byl zločin dokonán podle takového ustanovení, což je legislativní problém. Dalším bodem je rozdíl mezi uplatňováním práva a skutečným používáním internetu. Například stejný počet 10 000 přístupů může být vnímán jinak technicky zdatnými lidmi, včetně policie a prokuratury, a obecnými lidmi, kteří nejsou tak zdatní v technologiích informačního zpracování, a je problémem, pokud je toto rozdílné vnímání uplatňováno bez korekce. Kromě toho bylo zdůrazněno, že existuje obava a úzkost, že by mohlo dojít k omezení svobodného využití a rozvoje internetu a průmyslu, pokud by kdokoli mohl být zatčen jako tento muž.
Muž byl nakonec odsunut k obžalobě, protože “nebyl uznán silný úmysl narušit obchodní činnost”, ale byl vyslýchán po dobu dvaceti dnů během zatčení a vazby a byl fyzicky omezen. Kromě toho bylo jeho skutečné jméno zveřejněno v době zatčení. Navíc odklad obžaloby je odlišný od “nedostatečného podezření” v případě neobžalování a je to typ, který říká, že “zločin byl spáchán, ale závažnost je nízká, nebo je hluboce litoval”, což znamená, že byl považován za to, že spáchal zločin. I když nebyl obžalován, je problém, že utrpěl silnou sociální nevýhodu.
Shrnutí
Jak jsme viděli, DoS útoky mohou být postiženy trestem za poškození elektronických počítačů a narušení obchodní činnosti. Nicméně, aplikace tohoto zákona má několik problémů a existuje riziko, že se trestný čin může uskutečnit i v případech, které jsou těžko označitelné jako závažné, jako jsou případy, které jsme představili. Od doby svého zavedení se situace změnila a nyní mnoho lidí vlastní internetové terminály, jako jsou smartphony a počítače, a internetová společnost se rychle rozvíjí. Abychom překonali tyto problémy a chránili svobodu na internetu, je třeba přehodnotit uplatňování zákona a zvážit nové legislativní opatření.
Pokud je server vaší společnosti poškozen kybernetickým útokem, jako je DoS útok, budete muset požádat policii o vyšetření. Nicméně, mnoho případů je technicky velmi složitých a, jak ukazuje případ knihovny, pokud nemáte znalosti a know-how v oblasti IT a práva, nemusíte být schopni řádně reagovat.
Jako občanské řešení, pokud můžete identifikovat pachatele, je možné požádat o náhradu škody od daného pachatele, takže jednou z možností je konzultovat se s právníkem, který je odborníkem na internet a podnikání.
Category: IT
Tag: CybercrimeIT