åtal för försäljning av botnät och skadlig programvara

hotet från botnät — nätverk av offerdatorer som är smyginfekterade med skadlig programvara — har ökat dramatiskt under de senaste åren. I vårt andra inlägg i denna serie diskuterade vi ett förslag för att säkerställa att domstolarna har befogenhet att störa dem. En annan del av avdelningens svar på hotet om botnät har varit att identifiera och ställa dem som skapar och kontrollerar dem inför rätta. Även om vi har haft betydande framgångar hittills åtala dessa brottslingar, vi har stött på brister i den befintliga lagen.

brottslingar har hittat fler och fler sätt att olagligt tjäna pengar genom botnät. De brottsbekämpande myndigheterna konstaterar nu ofta att Skapare och operatörer av botnät inte bara använder botnät för sina egna olagliga ändamål utan också säljer eller till och med hyr ut till andra brottslingar tillgång till de infekterade datorerna. De brottslingar som köper tillgång till botnät fortsätter sedan att använda de infekterade datorerna för olika brott, inklusive stöld av personlig eller ekonomisk information, spridning av spam, för användning som fullmakter för att dölja andra brott eller i distribuerad denial of service (DDoS) attacker på datorer eller nätverk. Tänk på det: din dator kan hackas av en brottsling, och den brottslingen kan hyra hemlig åtkomst till din dator till en annan brottsling. Amerikaner lider omfattande, genomgripande invasioner av integritet och ekonomiska förluster i händerna på dessa hackare.

nuvarande straffrätt förbjuder skapandet av ett botnet eftersom det förbjuder hacking i datorer utan tillstånd. Det förbjuder också användning av botnät för att begå andra brott. Men det är inte lika klart att lagen förbjuder försäljning eller uthyrning av ett botnet. I ett fall upptäckte till exempel undercover officerare att en brottsling erbjöd sig att sälja ett botnet bestående av tusentals offerdatorer. Officerarna ”köpte” botnet från brottslingen och meddelade offren att deras datorer var smittade. Operationen resulterade emellertid inte i ett åtalbart amerikanskt brott eftersom det inte fanns några bevis för att säljaren hade skapat botnet i fråga, och följaktligen var säljaren fri att fortsätta sin verksamhet. Medan handel med botnät ibland kan debiteras enligt andra underavsnitt i Computer Fraud and Abuse Act, har detta problem resulterat i, och kommer alltmer att resultera i, oförmågan att åtala individer som säljer tillgång till tusentals infekterade datorer.

Vi hävdar att det bör vara olagligt att sälja eller hyra smyg kontroll över infekterade datorer till en annan person, precis som det redan är klart olagligt att sälja eller överföra dator lösenord. Därför rekommenderar administrationens förslag att ändra gällande lag för att förbjuda försäljning eller överföring inte bara av ”lösenord och annan information” (ordalydelsen i den befintliga stadgan) utan också av ”åtkomstmedel”, vilket skulle inkludera möjligheten att komma åt datorer i ett botnet. Dessutom skulle förslaget ersätta det nuvarande kravet att regeringen bevisar att gärningsmannen hade en ”avsikt att lura” med ett krav på att bevisa att gärningsmannen inte bara visste att hans beteende är ”felaktigt” utan också att han visste eller borde ha vetat att åtkomstmedlet skulle användas för att hacka eller skada en dator. Vi föreslår den senaste ändringen eftersom brottslingar, som nämnts ovan, inte bara använder botnät för att begå bedrägeri — de använder dem också för att begå en mängd andra brott.

vissa kommentatorer har väckt oro för att detta förslag skulle kyla verksamheten hos legitima säkerhetsforskare, akademiker och systemadministratörer. Vi tar denna oro på allvar. Vi har inget intresse av att åtala sådana individer, och vårt förslag skulle inte förbjuda sådan legitim verksamhet. Det är faktiskt just därför vårt förslag kräver att regeringen skulle ha bördan att bevisa, bortom rimligt tvivel, att individen avsiktligt åtagit sig en handling (handel med ett sätt att få tillgång) som han eller hon visste var felaktig. Och regeringen skulle på samma sätt behöva bevisa att individen visste eller hade anledning att veta att åtkomstmedlen skulle användas för att begå ett brott genom att hacka någon annans dator utan tillstånd.

vi anser att detta tillvägagångssätt klargör att vanligt, lagligt beteende av legitima säkerhetsforskare och andra inte riskerar att åtalas. Men vi engagerar oss också med säkerhetsforskningsgemenskapen och andra grupper, och med kongressen, för att se till att alla ändringar förbjuder det skadliga beteendet vi har beskrivit utan att kyla verksamheten hos dem som försöker förbättra cybersäkerheten för alla.

upp nästa: hur åtalar vi dem som säljer stulna kreditkort utomlands?

Lämna ett svar

Din e-postadress kommer inte publiceras.