Is een DoS een misdrijf? Een advocaat legt uit over de 'Japanse Wet op het belemmeren van zaken door vernietiging van elektronische computers, etc.
De misdaad van het verstoren van bedrijfsactiviteiten door het beschadigen van computers, ook bekend als de ‘Japanse Wet op het Beschadigen van Computers en het Verstoren van Bedrijfsactiviteiten’, werd in 1987 (Showa 62) nieuw geïntroduceerd. In die tijd, met de snelle economische groei en technologische vooruitgang, begonnen computers steeds meer te worden geïntroduceerd in kantoren.
Werk dat traditioneel door mensen werd gedaan, werd nu door computers uitgevoerd, en het bereik van het werk breidde zich ook uit. Daarom werd verwacht dat er bedrijfsverstoringen zouden optreden door schade gericht op computers, en om dit aan te pakken werd deze wet nieuw geïntroduceerd.
Echter, op het moment van de oprichting waren computers nog in ontwikkeling, en het internet was nog niet wijdverspreid, dus het was moeilijk om specifiek internetcriminaliteit te voorspellen. Bovendien, omdat deze wet is gedefinieerd in termen die lijken op die van het strafwetboek, zonder gebruik te maken van termen die worden gebruikt in computerwetenschap, informatiewetenschap, of in de algemene samenleving, zijn er verschillende interpretaties, en het kan worden gezegd dat het een moeilijk te begrijpen bepaling is voor het algemene publiek.
Daarnaast wordt deze misdaad algemeen erkend als een reactie op het type misdaad dat bekend staat als computercriminaliteit binnen cybercriminaliteit.
In dit artikel leggen we de details van de ‘Japanse Wet op het Beschadigen van Computers en het Verstoren van Bedrijfsactiviteiten’ op een begrijpelijke manier uit.
https://monolith.law/corporate/categories-of-cyber-crime[ja]
Wat is een DoS-aanval
Een DoS-aanval (Denial of Service-aanval) is een soort cyberaanval waarbij een overmatige hoeveelheid data of ongeldige data naar de website of server van het doelwit wordt gestuurd, waardoor het systeem overbelast raakt en niet meer normaal kan functioneren. In tegenstelling tot ongeoorloofde toegang, waarbij de aanvaller de controle over het systeem overneemt door middel van virussen of het omzeilen van toegangsrechten, belemmert een DoS-aanval legitieme gebruikers in het uitoefenen van hun toegangsrechten. Hoewel het een oude cyberaanvalstechniek is, wordt het nog steeds vaak gebruikt, vooral in de vorm van DDoS-aanvallen (Distributed Denial of Service-aanvallen), en veroorzaakt het nog steeds veel overlast.
Soorten DoS-aanvallen
DoS-aanvallen kunnen worden onderverdeeld in twee soorten: ‘flood’-type en ‘kwetsbaarheid’-type.
‘Flood’ is afgeleid van het Engelse woord ‘Flood’ (= overstroming), en verwijst naar het overweldigen van het doelwit door een grote hoeveelheid data te sturen, waardoor het doelwit niet in staat is om alle data te verwerken.
Aan de andere kant, het ‘kwetsbaarheid’-type maakt gebruik van de zwakke punten in servers of applicaties om ongeoorloofde acties uit te voeren en de functionaliteit te stoppen. Hoewel het onderscheid met ongeoorloofde toegang vaag kan zijn, is een typisch voorbeeld van een ‘kwetsbaarheid’-type DoS-aanval de LAND-aanval, waarbij pakketten worden verzonden waarbij het bron- en bestemmings-IP-adres en poortnummer hetzelfde zijn. Om het simpel uit te leggen, als aanvaller A een pakket naar server B stuurt met de boodschap “Ik ben B, ik wil een antwoord”, dan zal B een antwoord sturen naar zichzelf, en dit proces zal zich herhalen, waardoor een oneindige lus ontstaat. Hoewel dit gebruik maakt van de ‘kwetsbaarheid’ dat een antwoord wordt gegeven op pakketten waarvan men zelf de bron is, is het geen ‘ongeoorloofde toegang’ omdat het geen wachtwoordauthenticatie omzeilt, en wordt het daarom gecategoriseerd als een ‘kwetsbaarheid’-type DoS-aanval.
https://monolith.law/reputation/unauthorized-computer-access[ja]
Daarnaast is een DDoS-aanval een gedistribueerde methode waarbij duizenden computers die zijn geïnfecteerd met een botvirus op afstand worden bediend en elk een ‘flood’-type DoS-aanval uitvoeren.
Het mechanisme van een DoS-aanval
Het mechanisme van een DoS-aanval is technisch gezien eenvoudig, waarbij normaal toegestane acties binnen het bereik van TCP/IP herhaaldelijk en frequent worden uitgevoerd. Bijvoorbeeld, wanneer je probeert tickets te kopen voor een populaire idoolshow op de verkooppagina, kan de site traag worden of zelfs crashen door het grote aantal mensen dat tegelijkertijd toegang probeert te krijgen. Een DoS-aanval is een aanval die deze situatie opzettelijk creëert door misbruik te maken van legitieme rechten.
Valt een DoS-aanval onder de Japanse wet op computervredebreuk en bedrijfsverstoring?
Is een DoS-aanval een misdrijf? Laten we onderzoeken of het valt onder de Japanse wet op computervredebreuk en bedrijfsverstoring.
“Een persoon die een computer of magnetische opslag die wordt gebruikt voor zakelijke doeleinden beschadigt, of die valse informatie of onjuiste instructies geeft aan een computer die wordt gebruikt voor zakelijke doeleinden, of die op een andere manier de computer verhindert om naar behoren te functioneren, of die de computer dwingt om tegen zijn bedoelde doel in te werken, en daardoor de zakelijke activiteiten van een persoon verstoort, wordt gestraft met een gevangenisstraf van maximaal vijf jaar of een boete van maximaal een miljoen yen.”
Artikel 234-2, paragraaf 1 van het Japanse Wetboek van Strafrecht (Wet op computervredebreuk en bedrijfsverstoring)
Zoals hierboven vermeld, voor de toepassing van de wet op computervredebreuk en bedrijfsverstoring, zijn de objectieve vereisten:
- Een aanval gericht op een computer
- Belemmering van de werking van de computer
- Verstoring van de bedrijfsvoering
En het subjectieve vereiste is dat deze handelingen opzettelijk worden uitgevoerd.
Voldoen aan de objectieve vereisten
Laten we elk van deze punten afzonderlijk onderzoeken.
Een aanval gericht op een computer
De aanval (uitvoeringshandeling) moet een van de volgende zijn:
- “Beschadiging van een computer of magnetische opslag die wordt gebruikt voor zakelijke doeleinden”
- “Het geven van valse informatie of onjuiste instructies aan een computer”
- “Of een andere methode”
Wat betreft “computer”, er is geen geschil dat dit verwijst naar een elektronisch apparaat dat automatisch berekeningen en gegevensverwerking uitvoert, zoals kantoorcomputers, persoonlijke computers en besturingscomputers, zoals gedefinieerd in de jurisprudentie (Fukuoka High Court, 21 september 2000 (Heisei 12)). Magnetische opslag is gedefinieerd in artikel 7-2 van het Wetboek van Strafrecht. Het is duidelijk dat de servers die het doelwit zijn van DoS-aanvallen hieronder vallen.
“Beschadiging” verwijst niet alleen naar fysieke vernietiging, maar ook naar alle handelingen die de bruikbaarheid van een object schaden, zoals het wissen van gegevens. “Valse informatie” betekent informatie die in strijd is met de waarheid. “Onjuiste instructies” betekent het geven van instructies die door de betreffende computer kunnen worden verwerkt zonder toestemming. Bijvoorbeeld, als een flood-type DoS-aanval massaal en geconcentreerd wordt uitgevoerd, kan de server van het doelwit overbelast raken en kan de verwerking niet correct worden uitgevoerd. Zelfs als zo’n aanval niet leidt tot “beschadiging” zoals het wissen van gegevens, kan het worden beschouwd als “onjuiste instructies” omdat het toegang geeft tegen de wil van de servereigenaar en instructies geeft zonder toestemming.
Belemmering van de werking van de computer
Het is een kwestie of het “voorkomt dat de computer naar behoren functioneert” of “de computer dwingt om tegen zijn bedoelde doel in te werken”. Er is een geschil over wiens bedoelde doel als basis moet worden genomen, maar gezien het feit dat het beschermde belang van dit misdrijf de veilige en soepele uitvoering van zakelijke activiteiten is, zou het doel van de installateur als basis moeten worden genomen. Wanneer een DoS-aanval wordt uitgevoerd en de server overbelast raakt, kan de service onbruikbaar worden, waardoor de serverinstallateur niet in staat is om de juiste verwerkingsactiviteiten uit te voeren zoals bedoeld. In dergelijke gevallen kan worden gezegd dat “de computer niet naar behoren functioneert”, wat neerkomt op belemmering van de werking.
Verstoring van de bedrijfsvoering
De wet op computervredebreuk en bedrijfsverstoring is een verzwaarde vorm van het misdrijf van bedrijfsverstoring (artikelen 233 en 234 van het Wetboek van Strafrecht), dus voor deze bedrijfsverstoring wordt op dezelfde manier gedacht als voor het gewone misdrijf van bedrijfsverstoring. Dat wil zeggen, “bedrijfsvoering” verwijst naar het herhaaldelijk en continu uitvoeren van taken op basis van de sociale status, en het is niet nodig dat de bedrijfsvoering daadwerkelijk wordt geschaad om te kunnen spreken van “verstoring”. Wanneer een DoS-aanval wordt uitgevoerd, kan worden gezegd dat de “bedrijfsvoering” van het leveren van diensten op het internet door het gebruik van de server door de installateur wordt verstoord, wat neerkomt op bedrijfsverstoring.
Voldoen aan het subjectieve vereiste (opzet)
Nadat aan deze vereisten is voldaan, moet opzet (artikel 38, paragraaf 1 van het Wetboek van Strafrecht) worden erkend. Opzet betekent dat men zich bewust is van en instemt met de feiten die overeenkomen met de bovengenoemde punten ① tot ③ (de zogenaamde constitutieve elementen). Het is niet nodig om kwaadwilligheid of kwaadaardige bedoelingen te hebben, en zelfs als men niet van plan is om iemand te hinderen, kan opzet worden erkend als men zich ervan bewust is dat “de server misschien uitvalt en de service misschien onbruikbaar wordt”.
De zaak van de massale toegang tot de website van de openbare bibliotheek van Okazaki
In verband met het bovenstaande, wil ik u graag voorstellen aan de zaak van de massale toegang tot de website van de openbare bibliotheek van Okazaki (ook bekend als de Librahack-zaak).
Een man (39) uit de prefectuur Aichi werd gearresteerd omdat hij ervan werd verdacht een cyberaanval te hebben uitgevoerd door informatie over nieuwe boeken van de bibliotheekwebsite te verzamelen met een zelfgemaakt programma. Echter, volgens een analyse door een expert in opdracht van de Asahi Shimbun, bleek dat er een probleem was met de bibliotheeksoftware en dat het leek alsof er een aanval was geweest door massale toegang. Het bleek ook dat dezelfde problemen zich voordeden in zes andere bibliotheken die dezelfde software gebruikten. Het softwareontwikkelingsbedrijf is begonnen met het aanbrengen van wijzigingen in ongeveer 30 bibliotheken in het hele land.
Asahi Shimbun Nagoya ochtendeditie (21 augustus 2010)
Dit probleem deed zich voor in de openbare bibliotheek van Okazaki in dezelfde prefectuur. De software had een probleem waarbij elke keer dat de boekgegevens werden opgeroepen, de computer bleef verwerken, alsof de telefoon na een gesprek van de haak was. Na een bepaalde tijd werd de verbinding automatisch verbroken, maar in deze bibliotheek, als er meer dan 1000 toegangen waren in 10 minuten, kon de website niet worden bekeken en leek het alsof er massale toegang was geweest.
De man was een software-ingenieur en leende ongeveer 100 boeken per jaar van de openbare bibliotheek van Okazaki. De website van de bibliotheek was moeilijk te gebruiken, dus maakte hij een programma om dagelijks informatie over nieuwe boeken te verzamelen en begon het te gebruiken in maart.
Sinds die maand waren er klachten van burgers dat ze niet op de website konden komen. De politie van de prefectuur Aichi, die om advies was gevraagd, oordeelde dat de man opzettelijk verzoeken had gestuurd die de verwerkingscapaciteit overschreden, en arresteerde hem op verdenking van obstructie van zaken. In juni besloot de Okazaki-tak van het Nagoya District Public Prosecutor’s Office om de aanklacht uit te stellen omdat er geen sterke intentie was om zaken te verstoren.
De man die in deze zaak werd gearresteerd was een gebruiker van de openbare bibliotheek van Okazaki, en hij deed dit met het doel om informatie over nieuwe boeken op de website van de bibliotheek te verzamelen, en hij had geen intentie om de werking van de bibliotheek te verstoren. En hoewel de frequentie van toegang ongeveer één keer per seconde was, wat normaal gesproken niet als een DoS-aanval zou worden beschouwd, was er een probleem met de server van de bibliotheek en dit veroorzaakte een systeemfout.
Zelfs als er geen kwaadwilligheid is, kan worden erkend dat het neerhalen van de server van de bibliotheek door handelingen die als een DoS-aanval kunnen worden beschouwd, de werking ervan heeft verstoord, dus we zullen naar de objectieve vereisten kijken. En wat betreft opzet, zoals eerder vermeld, kan opzet worden erkend, zelfs als er geen kwaadwilligheid is. De politie van de prefectuur oordeelde dat deze man, omdat hij een computertechnicus was die bekend was met computers, wist dat het sturen van een groot aantal verzoeken een impact zou kunnen hebben op de server van de bibliotheek, en toch stuurde hij een groot aantal verzoeken, dus er was opzet, en het leek erop dat een misdrijf mogelijk was.
Problemen en kritiek op de zaak
De methode die de man gebruikte om mechanisch gegevens van openbare websites te verzamelen, zoals hij deed, is algemeen gebruikelijk, en er is niets illegaals aan het programmeren zelf. Deze man heeft de details en bedoelingen van de zaak uitgelegd op zijn eigen site, maar er is niets in de inhoud dat morele veroordeling als een “misdaad” verdient, en dit heeft veel technici die deze technologie gebruiken geschokt en er is veel kritiek en bezorgdheid geuit.
Bijvoorbeeld, het is in de eerste plaats een openbare website van een openbare bibliotheek die door een onbepaald aantal mensen wordt gebruikt, en als de server een probleem heeft waarbij het neerstort bij één toegang per seconde, is het te zwak en kwetsbaar, en als er een server was die normaal gesproken sterk genoeg zou moeten zijn, zou de man niet zijn gearresteerd, zo wordt erop gewezen.
Bovendien is er bij de man geen sprake van “wraak” of “pesterijen”, geen intentie om aan te vallen of zaken te verstoren, en geen duidelijke verzending van grote hoeveelheden gegevens die afwijken van normaal gebruik, en toch is er een wettelijk probleem dat een misdrijf mogelijk maakt. Er is ook kritiek op de discrepantie tussen de toepassing van de wet en het daadwerkelijke gebruik van het internet. Bijvoorbeeld, de indruk die iemand krijgt van 10.000 toegangen is anders voor iemand die bekend is met internet en informatietechnologie dan voor een gewoon persoon, inclusief de politie en het openbaar ministerie, en het is een probleem als deze discrepantie in perceptie wordt toegepast zonder te worden gecorrigeerd. Bovendien is er bezorgdheid en angst geuit dat als iedereen, zoals deze man, de mogelijkheid heeft om gearresteerd te worden, het gebruik en de ontwikkeling van het vrije internet en de industrie kunnen worden belemmerd.
De man kreeg uiteindelijk een voorwaardelijke aanklacht omdat er geen sterke intentie was om zaken te verstoren, maar hij werd gedurende 20 dagen gearresteerd en ondervraagd, en werd fysiek vastgehouden. Bovendien werd zijn echte naam gepubliceerd op het moment van zijn arrestatie. Bovendien, hoewel de aanklacht werd uitgesteld, is dit anders dan “onvoldoende verdenking” in het geval van niet-vervolging, en betekent het “er was een misdaad, maar de kwaadaardigheid was laag, of er was diepe spijt, dus deze keer zullen we de aanklacht uitstellen”, dus in feite wordt hij beschouwd als het hebben gepleegd van een misdaad. Zelfs als hij niet wordt aangeklaagd, is het een probleem dat hij een sterke sociale nadeel heeft geleden.
Samenvatting
Zoals u ziet, kan een DoS-aanval leiden tot een strafbaar feit onder de Japanse ‘Wet op het belemmeren van zaken door vernietiging van elektronische computers, etc’. Er zijn echter enkele problemen met de toepassing van deze wet, en er bestaat een risico dat zelfs handelingen die moeilijk als kwaadaardig kunnen worden beschouwd, als misdrijven worden beschouwd, zoals in de reeks van geïntroduceerde gevallen. In tegenstelling tot toen de wet werd aangenomen, bezitten tegenwoordig veel mensen internetapparaten zoals smartphones en computers, en de internetmaatschappij ontwikkelt zich snel. Om deze problemen te overwinnen en de vrijheid op het internet te beschermen, kan worden gezegd dat het noodzakelijk is om de toepassing van de wet te herzien en nieuwe wetgevende maatregelen te overwegen.
Als de server van een bedrijf schade oploopt door een cyberaanval zoals een DoS-aanval, zal het bedrijf de politie vragen om een onderzoek. Echter, veel gevallen zijn technisch zeer complex, en zoals in het geval van de hierboven genoemde bibliotheekincident, kan het zijn dat iemand zonder kennis en knowhow van zowel IT als recht niet in staat is om adequaat te reageren.
Als civiele oplossing, als de dader kan worden geïdentificeerd, is het mogelijk om schadevergoeding te eisen van de betreffende dader. Het kan dus een optie zijn om eens te overleggen met een advocaat die sterk is in internet- en bedrijfszaken.
Category: IT
Tag: CybercrimeIT