Soru:
Bilgisayar Kötüye Kullanım Yasası kapsamında "yetkisiz" erişim nasıl belirlenir?
Bobby Tables
2016-08-05 18:09:30 UTC
view on stackexchange narkive permalink

Bir bütün olarak Bilgisayar Kötüye Kullanım Yasası ile ilgili olarak, ancak özellikle Bölüm 1: -

(1) Bir kişi şu durumlarda suçludur:

(a ) herhangi bir bilgisayarda tutulan herhangi bir programa veya veriye erişimi güvence altına almak [F1 veya bu tür bir erişimin güvence altına alınmasını sağlamak] amacıyla bir bilgisayarın herhangi bir işlevi gerçekleştirmesine neden olur;

(b) yetkisiz [F2 veya güvence altına alınmasını sağlamak] niyetinde; ve

(c) bilgisayarın bu işlevi yerine getirmesine neden olduğu anda bilir.

Erişim olup olmadığı nasıl belirlenir. "yetkisiz" mi?

Özellikle, bilgisayar yazılımı, kodlamadaki bir hata veya ihmal nedeniyle yanlışlıkla güvenli işlevlere erişime izin vermesiyle ünlüdür.

Örneğin, düşünün, aşağıdaki senaryolar: -

Alice, Bob'un bloguna gider. Bob tarafından yazılan bir makaleyi okur. Makale '1.jpg', '2.jpg', '3.jpg' resimlerine bağlantı veriyor. Bob'un fotoğrafından etkilenen Alice bir URL manipülasyon saldırısı gerçekleştirir , tarayıcısındaki adres çubuğuna "bob.com/4.jpg" yazar. '4.jpg' elbette Bob'un Alice'in görmesini istemediği müstehcen özçekimlerinden biridir.

Alice'in erişimi "yetkisiz" mi?

Alice, bağlantıyı sosyal medya hesabında "lolz, Bob'un görmenizi kesinlikle istemediği bu fotoğrafa bir bakın" başlığıyla paylaşıyor ve Charlie tıklıyor.

Charlie'nin erişimi "yetkisiz" mi?

Öfkeli Bob, Charlie'nin feed.me sayfasına gidip bir SQL enjeksiyon saldırısı yapıyor¹ ve Bob'un profil resmini utanç verici aşırı sağ propagandayla değiştiriyor.

Bob'un erişimi "yetkisiz" mi?

  • Her durumda, verinin sahipleri erişime izin verilmesini istemedi .

  • Her durumda, ihmal nedeniyle erişime açıkça izin verildi .

¹ Bir SQL Injection saldırısının tam olarak ne olduğunu bilmenin özellikle önemli olduğunu sanmıyorum, ancak ilgileniyorsanız burada stackoverflow hakkında bir örnek bulabilirsiniz. Sorum daha çok "yetkilendirme" nin nasıl belirlendiğine ilişkin genel bir soru ve benim senaryolarım spesifik olanlardan çok açıklama amaçlı. Teknik bir perspektiften bakıldığında, SQL enjeksiyonunun yalnızca karmaşıklık açısından URL manipülasyonundan farklı olduğunu söylemek yeterlidir. Her iki durumda da bir saldırgan, bir sunucuya gönderilen verileri istenmeyen erişim izni verecek şekilde değiştirir ve daha da önemlisi, saldırganın herhangi bir kimlik doğrulamasını (ör. Şifreleri tahmin et) engellemesini gerektirmez.

Benzer durumlar ortaya çıktı. polis tarafından araştırıldı, örneğin http://www.bbc.co.uk/news/uk-england-norfolk-17780084

Erişimin "yetkili" veya "yetkisiz" olup olmadığını belirleyen herhangi bir mekanizma var mı "? Veri sahibinin amacına mı yoksa bilgisayar sisteminin gerçek davranışına mı bağlı? Tüm örnek senaryolarım "yetkisiz" erişimi temsil ediyor ve bu nedenle yalnızca saldırganın niyetine göre farklılık gösteriyor mu?

Norfolk City olayına benzer vakalar mahkemeye gitmiş mi?

Bu soruyla ilgili ABD hukuk davalarına başvurmaya değer mi? Örneğin. http://blogs.reuters.com/alison-frankel/2016/09/20/facebook-to-millions-of-internet-users-relax-youre-not-engaged-in-computer-fraud/. Temel konu aynıdır ve muhakeme dikkate alınmaya değerdir. Sorunlardan biri, "yetkili" ifadesinin bir okumasının "Kabul Edilebilir Kullanım Politikasında söylediği şey" olmasıdır. Ancak bu, bir sivil sözleşme belgesini ciddi bir cezai suçun özelliğine dönüştürür.
Teknik açıdan bakıldığında, "URL manipülasyon saldırısı" bir SQL enjeksiyon saldırısına hiç benzemez. İlki, yöneticinin (yanlışlıkla) web sunucusunu yetkili bir kaynak olarak yapılandırdığı bir kaynağa erişirken, ikincisi yetkisiz olarak yapılandırılmış bir kaynağa erişiyor.
üç yanıtlar:
jimsug
2016-08-05 20:27:07 UTC
view on stackexchange narkive permalink

Erişimin "yetkili" veya "yetkisiz" olup olmadığını belirleyen herhangi bir mekanizma var mı?

Bilgisayarı Kötüye Kullanma Yasası s17 'den:

(5) Herhangi bir kişinin herhangi bir programa veya bir bilgisayarda tutulan verilere herhangi bir şekilde erişimi, şu durumlarda yetkisizdir: -
(a) kendisinin hakkı yoksa söz konusu türden programa veya verilere erişimi kontrol etmek; ve
(b) programa söz konusu türden erişim izni yok veya bu şekilde yetkili herhangi bir kişinin verilerine erişim izni yok, ancak bu alt bölüm 10. bölüme tabidir.

( 8) Bilgisayarla ilgili olarak yapılan bir eylem, eylemi yapan (veya yapılmasına neden olan) kişi yetkisizdir -
(a) kendisi bilgisayardan sorumlu bir kişi değilse ve bunun olup olmadığını belirleme hakkına sahiptir. eylem yapılabilir; ve
(b), böyle bir kişinin eylemi için rızaya sahip değildir. Bu alt bölümde "eylem" bir dizi eylemi içerir.

Bu muhtemelen sorunuzu tam olarak yanıtlamaz.

Veri sahibinin niyetine mi yoksa bilgisayar sisteminin gerçek davranışına mı bağlı?

Ceza hukukunda, bir kanun aksini belirtmedikçe, mens rea (suçlu zihin) gerekli bir unsurdur. Bu, failin suçu işlemeye niyetinde olması gerektiği anlamına gelir.

Ancak , eylemin veya eylemin sonucunun suç teşkil ettiğini bilmek gerekli değildir - daha ziyade, eylemin veya sonuçlarının bilgisi yeterlidir.

Tüm örnek senaryolarım "yetkisiz" erişimi temsil ediyor ve bu nedenle yalnızca saldırganın niyetine göre farklılık gösteriyor mu?

Evet. Ancak:

  • Bir eylemin suçluluğunun cehaleti, eylemin iyi niyetle yapıldığı suçlamalara bir savunma olarak başarılı olmuştur. Bu nedenle, Charlie'nin başarılı bir savunma yapabileceği varsayılabilir olasılıklar dengesi üzerinde.

  • DPP v Lennon , bir şirketin eski bir çalışanının yaklaşık olarak Faaliyetlerini engellemek amacıyla bir şirketin sunucularına 5 milyon e-posta gönderilecek. Ancak, bir e-posta sunucusunun amacı e-postaları kabul etmek olduğundan, eylemlerin yetkisiz olduğunu bilemeyeceği bir savunma olarak ortaya atıldı. Keene LJ [14] 'te şu gözlemi yapıyor (vurgu yaptığım):

    Kritik mesele, Yasanın 17 (8) numaralı bölümünde kullanılan kelime "rıza" dır. Kendi adıma, alıcının yalnızca istemediği, ancak sunucuyu bunaltmayan veya başka bir şekilde zarar vermeyen e-postaların alınması ile onu bunaltan toplu e-postaların alınması arasında net bir ayrım görüyorum. Alıcının, sunucuyu onları hariç tutacak şekilde yapılandırmaması durumunda, alıcının ilkinin alınmasına rıza gösterdiği kabul edilebilir. Ancak benim düşünceme göre, sunucuyu bunaltacak bir miktar ve hızda gönderilen e-postaları almayı kabul etmiyor. Bu tür bir onay, kısıtlanmış bir yapılandırmanın aksine sunucunun açık olduğu gerçeğinden ima edilmemelidir .

    [9] 'da Jack J şunları belirtir:

    E-postaları alabilen bir bilgisayarın sahibi, normalde, bilgisayara e-postaların gönderilmesine rıza gösterir. Bilgisayarla ilgili davranışından onun rızası ima edilecektir. Bir ev sahibinin, meşru bir nedeni olduğunda ve ayrıca özel bir mektup kutusu kullanarak halkın kapısına giden yolda yürümesine rıza göstermesi ile bazı benzetmeler yapılabilir. Ancak bir bilgisayar sahibi tarafından verilen bu zımni onay sınırsız değildir. Mesele aynı benzetmelerle açıklanabilir. Ev sahibi, bir hırsızın yoluna çıkmasına izin vermez. Mektup kutusunun çöplerle tıkanmasına da razı değil. Bu ikinci örnek bana çok yerinde görünüyor.

    Ben fikrim var - ve aksine bir şey bulamadım, lütfen bunun yalnızca benim fikrim olduğunu unutmayın - Jack J'nin ilk örneğinin burada bulunduğunu.

    Maalesef , yasa net bir cevap vermiyor - ve muhtemelen asla yetkilendirmenin sınırlarını kesin olarak tanımlayın. Onun hakkında sorduğunuz ve belirli örnekler verdiğiniz gerçek , olanlar arasında bir fark olduğunu bildiğinizi gösterir.

+1, ama bence OP'nin sorusunu yanlış anladınız. Erkekler rea hakkında konuştuğunuz yerde, sözde saldırganın amacına hitap ediyorsunuz, ancak OP "Bu, ** veri sahibinin ** niyetine bağlı mı **?" Diye sordu.
bdsl
2016-10-12 18:02:22 UTC
view on stackexchange narkive permalink

Soruyu soran kişi " Veri sahibinin niyetine mi yoksa bilgisayar sisteminin gerçek davranışına mı bağlı? " diye sordu

Amaca bağlıdır veri sahibinin veya en azından iddia edilen failin bu niyet hakkındaki inancının.

Eğer bilgisayar sisteminin gerçek davranışına bağlıysa, o zaman herhangi birinin suçu işlemesi imkansız olurdu.

Bir benzetme olarak, kapımın gerçek davranışı, ya kilit açma becerisine ve araçlarına ya da bir balyoza sahip birinin evime girmesine izin vermektir. Bu, kimsenin hırsızlıktan suçlu olamayacağı anlamına gelmez.

gnasher729
2016-08-05 21:02:16 UTC
view on stackexchange narkive permalink

Her iki yönde de çeşitli mahkeme kararları verilmiştir.

Son vakada, bir kadın bir mağazada çalışıyordu ve görevlerinden biri piyango bileti basmak, müşterilere teklif vermek ve biletler için nakit para almaktı (örneğin bilet başına bir dolar) . Ama aynı zamanda günde bin adede kadar çok sayıda bilet bastı ve parasını ödemeden cebine koydu. O bulundu ve hırsızlık ve bilgisayara yetkisiz erişim nedeniyle mahkemeye çıkarıldı.

Hırsızlıktan suçlu bulundu, ancak bir bilgisayara yetkisiz erişimden suçlu bulunmadı. Mahkeme, piyango biletlerini yazdırmak için bilgisayara erişmeye gerçekten yetkili olduğunu tespit etti. Yetkiyi kötüye kullanmak istemesine rağmen, yetki hala oradaydı. Biletleri yazdırarak, yalnızca yapmaya yetkili olduğu şeyi yaptı. Daha sonra suç işlemiş olması yetkiyi değiştirmedi.

Savcıların çeşitli ceza davalarında "yetkisiz erişim" suçlamaları eklediği davalar olmuştur. IMO, arabasını başka bir eve götüren birini "ehliyetsiz araç kullanma" ile bir cinayet işlemesi için ücretlendirmekle aynıdır ve araba kullanma ehliyetine sahip olan birinin oraya gitmek için araba kullanma ruhsatı olmadığını iddia eder cinayet işlemek istedikleri yer. Tamamen alakasız iki şey.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...