Điều gì làm cho DoS trở thành tội phạm? Luật sư giải thích về 'Tội phạm cản trở công việc bằng cách phá hủy máy tính điện tử' theo luật Nhật Bản

Tội phạm cản trở công việc bằng cách phá hủy máy tính điện tử, được thiết lập mới vào năm Showa 62 (1987). Vào thời điểm đó, do sự phát triển cao độ của kinh tế xã hội và công nghệ, máy tính đã được đưa vào sử dụng rộng rãi trong các văn phòng.

Công việc trước đây được thực hiện bởi con người giờ đây được thực hiện bằng máy tính, và phạm vi công việc cũng mở rộng, do đó, việc cản trở công việc bằng cách gây hại cho máy tính đã trở thành một vấn đề cần giải quyết, và pháp luật này đã được thiết lập mới để đối phó với điều đó.

Tuy nhiên, vào thời điểm thiết lập, máy tính vẫn đang trong quá trình phát triển, và Internet cũng chưa được phổ biến, nên việc dự đoán cụ thể về tội phạm trên Internet là khó khăn. Hơn nữa, pháp luật này không sử dụng các thuật ngữ từ khoa học máy tính, khoa học thông tin, hay thuật ngữ thông thường trong xã hội, mà sử dụng các thuật ngữ theo hình thức của bộ luật hình sự, nên có nhiều cách giải thích khác nhau, và có thể nói đây là quy định khó hiểu đối với công chúng.

Ngoài ra, tội phạm này thông thường được nhận biết là đối ứng với loại tội phạm máy tính trong số các loại tội phạm mạng.

Bài viết này sẽ giải thích một cách dễ hiểu về chi tiết của tội phạm cản trở công việc bằng cách phá hủy máy tính điện tử.

https://monolith.law/danh-muc-toi-pham-mang[ja]

Cuộc tấn công DoS là gì

Cuộc tấn công DoS (Denial of Service attack) là một loại tấn công mạng, bằng cách gửi một lượng lớn dữ liệu hoặc dữ liệu không hợp lệ đến trang web hoặc máy chủ mục tiêu, gây ra quá tải, khiến hệ thống của đối tác không thể hoạt động bình thường. Đây không phải là việc lợi dụng quyền truy cập trái phép như việc truy cập trái phép, hoặc lấy quyền kiểm soát hệ thống thông qua vi-rút, mà là cản trở người dùng hợp lệ sử dụng quyền truy cập của họ. Đây là một phương pháp tấn công mạng đã tồn tại từ lâu, nhưng cũng được sử dụng trong phương pháp tấn công phân tán DDoS (Distributed Denial of Service attack), và vẫn gây ra nhiều thiệt hại do quấy rối trong những năm gần đây.

Các loại cuộc tấn công DoS

Cuộc tấn công DoS được chia thành hai loại: “Kiểu lụt” và “Kiểu yếu kém”.

‘Lụt’ bắt nguồn từ từ tiếng Anh ‘Flood’ (= lũ lụt), nó gửi một lượng lớn dữ liệu bằng cách khai thác giao thức, khiến mục tiêu tấn công không thể xử lý.

Ngược lại, kiểu yếu kém sử dụng lỗ hổng của máy chủ hoặc ứng dụng, thực hiện xử lý không hợp lệ, làm dừng chức năng. Sự phân biệt giữa nó và việc truy cập trái phép trở nên mơ hồ, nhưng ví dụ, cuộc tấn công DoS kiểu yếu kém điển hình là cuộc tấn công LAND, nó gửi gói tin có địa chỉ IP và số cổng nguồn và đích giống nhau. Để giải thích một cách đơn giản và dễ hiểu, nếu kẻ tấn công A gửi một gói tin có nội dung “Tôi là B và tôi muốn nhận phản hồi” đến máy chủ B mục tiêu, B sẽ “phản hồi” cho chính mình, và B nhận “phản hồi” từ chính mình và tiếp tục “phản hồi” cho chính mình… điều này sẽ lặp lại, tạo ra vòng lặp vô hạn. Điều này sử dụng “lỗ hổng” trong nghĩa “phản hồi cho gói tin mà chính mình là nguồn gửi”, nhưng vì nó không vượt qua xác thực mật khẩu, nó không phải là “truy cập trái phép”, mà được phân loại là “cuộc tấn công DoS kiểu yếu kém”.

https://monolith.law/reputation/unauthorized-computer-access[ja]

Ngoài ra, cuộc tấn công DDoS là một phương pháp phân tán, điều khiển từ xa hàng nghìn máy tính bị nhiễm vi-rút bot và thực hiện cuộc tấn công DoS kiểu lụt từ mỗi máy.

Cơ chế hoạt động của cuộc tấn công DoS

Cơ chế hoạt động của cuộc tấn công DoS là lặp lại nhiều lần một cách liên tục những việc được chấp nhận là hợp lệ trong phạm vi TCP/IP, một cách kỹ thuật đơn giản. Ví dụ, khi bạn cố gắng mua vé xem buổi biểu diễn của một ngôi sao nổi tiếng thông qua bán hàng công khai và truy cập vào trang bán hàng, do nhiều người truy cập cùng một lúc, trang web trở nên chậm hoặc bị hỏng, khó kết nối. Cuộc tấn công DoS là một cuộc tấn công tạo ra tình huống như vậy một cách cố ý bằng cách lạm dụng quyền hợp lệ.

Có phải tấn công DoS là tội phá hoại máy tính và gây cản trở công việc không?

Vậy, liệu tấn công DoS có phải là hành vi phạm tội không? Chúng tôi sẽ xem xét xem nó có phải là tội phá hoại máy tính và gây cản trở công việc hay không.

Người nào phá hoại máy tính điện tử hoặc bản ghi từ tính dùng cho công việc của người khác, hoặc cung cấp thông tin giả mạo hoặc chỉ dẫn không chính xác cho máy tính điện tử dùng cho công việc của người khác, hoặc bằng cách khác, không cho máy tính điện tử hoạt động theo mục đích sử dụng, hoặc làm cho nó hoạt động trái với mục đích sử dụng, gây cản trở công việc của người khác, sẽ bị phạt tù dưới 5 năm hoặc phạt dưới 1 triệu yên.

Điều 234-2, Điều 1 của Bộ luật Hình sự Nhật Bản (Phá hoại máy tính và gây cản trở công việc)

Như vậy, để xác định tội phạm phá hoại máy tính và gây cản trở công việc, yêu cầu khách quan bao gồm:

1. Hành vi gây hại đối với máy tính
2. Ngăn chặn hoạt động của máy tính
3. Gây cản trở công việc

Và yêu cầu chủ quan là cần có ý định xuyên suốt trong những yêu cầu trên để xác định tội phạm.

Đủ yêu cầu khách quan

Chúng tôi sẽ xem xét từng yêu cầu sau:

Hành vi gây hại đối với máy tính

Hành vi gây hại (hành động thực hiện) cần phải:

• “Phá hoại máy tính điện tử hoặc bản ghi từ tính dùng cho công việc”
• “Cung cấp thông tin giả mạo hoặc chỉ dẫn không chính xác cho máy tính”
• “Hoặc bằng cách khác”

Đối với điều này, “máy tính” được định nghĩa trong một phán quyết (Fukuoka High Court, ngày 21 tháng 9 năm 2000 (năm 2000 theo lịch Gregory)) là thiết bị điện tử tự động thực hiện các phép tính và xử lý dữ liệu, và không có tranh cãi về việc máy tính văn phòng hoặc máy tính cá nhân, máy tính điều khiển, v.v. là đại diện cho nó. Bản ghi từ tính được định nghĩa trong Điều 7-2 của Bộ luật Hình sự. Máy chủ, mục tiêu của cuộc tấn công DoS, rõ ràng thuộc về những điều này.

“Phá hoại” không chỉ là phá hủy vật lý mà còn bao gồm việc xóa dữ liệu và mọi hành động làm hại chức năng của vật. “Thông tin giả mạo” là thông tin trái với sự thật. “Chỉ dẫn không chính xác” là việc cung cấp lệnh có thể xử lý bởi máy tính đó mà không có quyền. Ví dụ, nếu bạn thực hiện tấn công DoS kiểu flood một cách lớn mạnh và tập trung, máy chủ mục tiêu sẽ quá tải và không thể thực hiện xử lý đúng cách. Cuộc tấn công như vậy, ngay cả khi không “phá hoại” bằng cách xóa dữ liệu, vẫn là truy cập trái ý chủ sở hữu máy chủ và cung cấp lệnh mà không có quyền, do đó nó thuộc về “chỉ dẫn không chính xác”.

Ngăn chặn hoạt động của máy tính

Câu hỏi là liệu nó có phù hợp với “không cho máy tính hoạt động theo mục đích sử dụng” hoặc “làm cho nó hoạt động trái với mục đích sử dụng” hay không. Có tranh cãi về việc mục đích sử dụng nên dựa trên ai, nhưng vì lợi ích pháp lý được bảo vệ của tội này là sự an toàn và thuận lợi trong việc thực hiện công việc, chúng ta nên xem xét mục đích của người lắp đặt. Khi tấn công DoS được thực hiện và máy chủ bị quá tải, dịch vụ có thể trở nên không thể sử dụng, và máy chủ không thể thực hiện các hoạt động xử lý đúng mà người lắp đặt đã mục đích. Trong trường hợp như vậy, có thể nói rằng “hoạt động theo mục đích sử dụng” không được thực hiện, và nó thuộc về việc ngăn chặn hoạt động.

Gây cản trở công việc

Tội phạm phá hoại máy tính và gây cản trở công việc là loại tội phạm nặng hơn của tội phạm gây cản trở công việc (Điều 233, 234 của Bộ luật Hình sự), vì vậy, về việc gây cản trở công việc này, chúng ta nên xem xét giống như tội phạm gây cản trở công việc thông thường. Đó là, “công việc” là việc làm được thực hiện liên tục dựa trên vị trí trong xã hội, và để có thể nói là “cản trở”, không cần thiết phải gây hại cho công việc thực tế.
Khi tấn công DoS được thực hiện, “công việc” của người lắp đặt cung cấp dịch vụ trên Internet bằng cách sử dụng máy chủ bị cản trở, và nó thuộc về việc gây cản trở công việc.

Đủ yêu cầu chủ quan (có ý định)

Sau khi đáp ứng những yêu cầu này, cần phải công nhận ý định (Điều 38, Điều 1 của Bộ luật Hình sự). Ý định là việc nhận biết và chấp nhận sự thật phù hợp với các điều kiện từ ① đến ③ (được gọi là yêu cầu cấu tạo). Điều này không cần thiết phải có ý định xấu hoặc ý định gây hại, ngay cả khi không có ý định như vậy, nếu có nhận thức rằng “có thể máy chủ sẽ bị ngắt kết nối và dịch vụ sẽ không thể sử dụng”, thì có thể công nhận ý định.

Vụ việc truy cập lớn đến trang web của Thư viện Trung tâm Thành phố Okazaki

Liên quan đến vấn đề trên, chúng tôi xin giới thiệu vụ việc truy cập lớn đến trang web của Thư viện Trung tâm Thành phố Okazaki (còn được gọi là vụ việc Librahack).

Một người đàn ông ở tỉnh Aichi (39 tuổi) đã bị bắt vì đã sử dụng chương trình tự viết để thu thập thông tin về sách mới từ trang web của thư viện, dẫn đến một cuộc tấn công mạng. Tuy nhiên, theo phân tích của chuyên gia mà Asahi Shimbun đã yêu cầu, đã phát hiện ra rằng phần mềm của thư viện có lỗi và đã nhận được cuộc tấn công truy cập lớn. Điều này cũng đã xảy ra tại sáu thư viện khác trên toàn quốc sử dụng cùng một phần mềm. Công ty phát triển phần mềm đã bắt đầu sửa chữa tại khoảng 30 thư viện trên toàn quốc.
Vấn đề này đã xảy ra tại Thư viện Thành phố Okazaki. Phần mềm có lỗi khiến dữ liệu sách trong kho bị giữ trong trạng thái xử lý liên tục mỗi khi được gọi, giống như trạng thái khi điện thoại vẫn được nâng lên sau cuộc gọi. Nó sẽ bị ngắt kết nối sau một thời gian nhất định, nhưng tại thư viện này, nếu số lượng truy cập vượt quá khoảng 1.000 lần trong 10 phút, việc duyệt trang web sẽ không thể thực hiện và dường như đã nhận được một lượng lớn truy cập.
Người đàn ông là một kỹ sư phần mềm và đã mượn khoảng 100 cuốn sách mỗi năm từ Thư viện Thành phố Okazaki. Trang web của thư viện khó sử dụng, vì vậy anh ta đã tạo một chương trình để thu thập thông tin về sách mới hàng ngày và bắt đầu sử dụng từ tháng 3.
Kể từ tháng đó, thư viện đã nhận được khiếu nại từ người dân rằng “không thể kết nối với trang web”. Cảnh sát tỉnh Aichi, sau khi nhận được tư vấn, đã quyết định rằng người đàn ông đã cố ý gửi yêu cầu vượt quá khả năng xử lý và đã bắt anh ta với cáo buộc cản trở công việc. Văn phòng công tố Nagoya, chi nhánh Okazaki, đã quyết định không khởi tố vào tháng 6, vì “không thể thừa nhận ý định mạnh mẽ cản trở công việc”.

Asahi Shimbun, phiên bản Nagoya sáng (ngày 21 tháng 8 năm 2010)

Người đàn ông bị bắt trong vụ việc này là một người sử dụng Thư viện Trung tâm Thành phố Okazaki, và anh ta đã thực hiện việc này với mục đích thu thập thông tin về sách mới từ trang web của thư viện, không có ý định cản trở công việc của thư viện. Tần suất truy cập của anh ta cũng chỉ khoảng một lần mỗi giây, điều này thường không được coi là một cuộc tấn công DoS, nhưng do máy chủ của thư viện có lỗi, nên đã xảy ra sự cố hệ thống ngay cả với mức độ này.

Mặc dù không có ý đồ xấu, nhưng việc thực hiện hành động giống như một cuộc tấn công DoS đã làm cho máy chủ của thư viện bị hỏng và cản trở công việc của nó có thể được công nhận, vì vậy chúng tôi sẽ xem xét các yêu cầu khách quan. Và về ý định, như đã nói ở trên, ngay cả khi không có ý đồ xấu, ý định vẫn có thể được công nhận. Cảnh sát tỉnh đã quyết định rằng người đàn ông này, là một kỹ sư máy tính thông thạo, đã gửi một lượng lớn yêu cầu, mặc dù anh ta đã nhận thức được rằng việc gửi một lượng lớn yêu cầu có thể ảnh hưởng đến máy chủ của thư viện, vì vậy có ý định và tội phạm có thể được thành lập.

Vấn đề và phê phán về vụ việc

Phương pháp thu thập dữ liệu từ trang web công khai như người đàn ông đã thực hiện là một phương pháp phổ biến và không có tính phạm pháp trong việc lập trình. Người đàn ông này sau đó đã giải thích về quá trình và ý định của mình trên trang web của mình, nhưng không có điểm nào đáng bị chỉ trích đạo đức như “tội phạm” từ nội dung đó, làm rung động nhiều kỹ sư sử dụng công nghệ tương tự và đã thảo luận nhiều lời phê phán và lo ngại.

Ví dụ, trước hết, trang web công khai của thư viện công cộng là một trang web mà một số lượng lớn người dùng không xác định sử dụng, nhưng nếu máy chủ của nó có lỗi khiến nó bị hỏng với một lần truy cập mỗi giây, thì nó quá yếu đuối và dễ vỡ, và nếu có một máy chủ mạnh mẽ như thường được chuẩn bị, người đàn ông này không nên bị bắt.
Một vấn đề khác là người đàn ông không có “trả đũa” hoặc “quấy rối”, không có ý định tấn công hoặc cản trở công việc, không gửi một lượng lớn dữ liệu khác thường, không có yếu tố rõ ràng như tội phạm, nhưng vẫn có thể thành lập tội phạm theo quy định, đây là một vấn đề về luật pháp. Cũng có những chỉ trích về sự tách rời giữa việc áp dụng pháp luật và thực tế sử dụng Internet. Ví dụ, cùng một 10.000 lần truy cập, ấn tượng mà những người thông thạo công nghệ thông tin và xử lý thông tin nhận được khác với ấn tượng mà người dân thông thường, bao gồm cảnh sát và công tố viên, nhận được, và việc điều này không được điều chỉnh khi áp dụng là một vấn đề. Ngoài ra, cũng có lo ngại và cảm giác lo lắng rằng việc sử dụng và phát triển Internet tự do và ngành công nghiệp có thể bị suy giảm nếu bất kỳ ai cũng có khả năng bị bắt giống như người đàn ông này.

Người đàn ông đã được quyết định không khởi tố vì không thể thừa nhận ý định mạnh mẽ cản trở công việc, nhưng anh ta đã bị bắt và giam giữ trong 20 ngày để thẩm vấn và bị giam cầm về mặt thể chất. Ngoài ra, tên thật của anh ta đã được công bố khi bị bắt. Ngoài ra, việc không khởi tố là “không đủ nghi ngờ”, khác với việc “tội phạm đã xảy ra nhưng không nghiêm trọng, hoặc đã thể hiện sự hối hận sâu sắc, vì vậy lần này chúng tôi sẽ không khởi tố”, tức là anh ta đã phạm tội. Điều này là một vấn đề vì, ngay cả khi không bị khởi tố, anh ta đã phải chịu những bất lợi lớn về mặt xã hội.

Tóm tắt

Như vậy, các cuộc tấn công DoS có thể bị xử phạt theo điều luật ‘Tội phá hoại máy tính điện tử và gây cản trở công việc’ của Nhật Bản. Tuy nhiên, việc áp dụng pháp luật này cũng gặp một số vấn đề, và có nguy cơ xử phạt những hành vi khó coi là xấu, giống như các vụ việc mà chúng tôi đã giới thiệu. So với thời điểm ban hành, ngày nay nhiều người sở hữu các thiết bị kết nối Internet như điện thoại thông minh và máy tính, và xã hội Internet đang phát triển nhanh chóng. Để vượt qua những vấn đề này và bảo vệ tự do trên Internet, có thể nói rằng cần phải xem xét lại việc áp dụng pháp luật và cần xem xét các biện pháp lập pháp mới.

Nếu máy chủ của công ty bị tấn công bởi các cuộc tấn công mạng như DoS, công ty sẽ phải yêu cầu cảnh sát điều tra. Tuy nhiên, nhiều trường hợp liên quan đến các vấn đề kỹ thuật cao, và giống như vụ việc thư viện mà chúng tôi đã đề cập, có thể không thể xử lý đúng nếu không có kiến thức và kỹ năng về cả IT và pháp luật.

Về phương pháp giải quyết dân sự, nếu có thể xác định được thủ phạm, việc yêu cầu bồi thường thiệt hại đối với thủ phạm là khả thi. Do đó, một trong những biện pháp là tham vấn với một luật sư giỏi về Internet và kinh doanh.