processar a venda de Botnets e Software malicioso

a ameaça de botnets — redes de computadores vítimas infectadas sub — repticiamente com software malicioso-aumentou drasticamente ao longo dos últimos anos. No nosso segundo post desta série, discutimos uma proposta para garantir que os tribunais tenham autoridade para os perturbar. Outra parte da resposta do Departamento à ameaça dos botnets foi identificar e levar à justiça aqueles que os criam e controlam. Embora tenhamos tido sucessos significativos até à data em processar estes infractores, deparámo-nos com deficiências na lei existente.

os criminosos têm encontrado cada vez mais maneiras de ganhar dinheiro ilegalmente através de botnets. Os agentes da lei agora frequentemente verificam que os criadores e operadores de botnets não só usam botnets para seus próprios fins ilícitos, mas também vendem ou até alugam a outros criminosos acesso aos computadores infectados. Os criminosos que comprar o acesso a botnets, em seguida, passar a usar os computadores infectados por vários crimes, incluindo roubo de informação pessoal ou financeira, a disseminação de spam, para uso como proxies para encobrir outros crimes, ou em ataques distribuídos de negação de serviço (DDoS) ataques a computadores ou redes. Pense nisso: seu computador pode ser hackeado por um criminoso, e esse criminoso pode alugar acesso sub-reptício ao seu computador para outro criminoso. Os americanos estão a sofrer invasões extensas e invasivas de Privacidade e perdas financeiras às mãos destes hackers.

o direito penal vigente proíbe a criação de um botnet porque proíbe hackear computadores sem autorização. Também proíbe o uso de botnets para cometer outros crimes. Mas não é igualmente claro que a lei proíbe a venda ou aluguer de um botnet. Num caso, por exemplo, agentes infiltrados descobriram que um criminoso estava a oferecer-se para vender uma botnet composta por milhares de computadores vítimas. Os oficiais “compraram” a botnet do criminoso e notificaram as vítimas de que seus computadores estavam infectados. A operação, no entanto, não resultou em uma ofensa punível EUA porque não havia nenhuma evidência de que o vendedor tinha criado o botnet em questão, e, consequentemente, o vendedor estava livre para continuar sua atividade. Embora o tráfico de botnets seja, por vezes, imputável ao abrigo de outras subsecções da Lei da fraude e abuso de Computadores, este problema resultou, e irá resultar cada vez mais, na incapacidade de processar indivíduos que vendem acesso a milhares de computadores infectados.

mantemos que deve ser ilegal vender ou alugar controle sub-reptício sobre computadores infectados para outra pessoa, assim como já é claramente ilegal vender ou transferir senhas de computador. É por isso que a proposta da administração recomenda a alteração da lei atual para proibir a venda ou transferência não só de “senhas e outras informações” (a formulação do estatuto existente), mas também de “meios de acesso”, que incluiria a capacidade de acesso a computadores em uma botnet. Além disso, a proposta de substituir a atual exigência de que o governo provar que o agressor tinha uma “intenção de defraudar”, com o requisito de prova de que o infractor não apenas sabia que a sua conduta é “injusto”, mas também que ele sabia ou deveria ter sabido que os meios de acesso deve ser usado para cortar ou danificar um computador. Propomos esta última mudança porque, como já foi dito, os criminosos não usam apenas botnets para cometer fraude — eles também os usam para cometer uma variedade de outros crimes.

alguns comentaristas têm levantado a preocupação de que esta proposta iria refrescar as atividades dos legítimos pesquisadores de segurança, acadêmicos e administradores de sistemas. Levamos esta preocupação a sério. Não temos qualquer interesse em processar esses indivíduos, e a nossa proposta não proibiria essa actividade legítima. Na verdade, é precisamente por isso que a nossa proposta exige que o governo tenha o fardo de provar, para além de uma dúvida razoável, que o indivíduo intencionalmente empreendeu um ato (tráfico de um meio de acesso) que ele ou ela sabia estar errado. E o governo teria igualmente de provar que o indivíduo sabia ou tinha razões para saber que os meios de acesso seriam usados para cometer um crime ao piratear o computador de outra pessoa sem autorização. Pensamos que esta abordagem deixa claro que a conduta normal e legal por parte de investigadores de segurança legítimos e outros não está em risco de acção penal. Mas também estamos engajados com a comunidade de pesquisa de segurança e outros grupos, e com o Congresso, para garantir que qualquer emenda proíba a conduta perniciosa que descrevemos sem acalmar as atividades daqueles que estão tentando melhorar a segurança cibernética para todos.

a seguir: como processamos aqueles que vendem cartões de crédito roubados no exterior?

Deixe uma resposta

O seu endereço de email não será publicado.