home *** CD-ROM | disk | FTP | other *** search
/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Textfiles / zines / DNA / DNAV1I6.sit / DNAV1I6 / ARTICLE.004 < prev    next >
Text File  |  1993-12-01  |  18KB  |  321 lines
  1.  
  2.  
  3.                                Written 11/30/93
  4.                                   by The Shadow
  5.  
  6.  
  7.  
  8.  
  9.     This article only talks about California's criminal penalties for 
  10. hacking.  There are civil remedies, and provisions that permit the feds to 
  11. seize all equipment used in hacking, as well.  I've chosen California's law 
  12. because I live there, and because it is one of a number of virtually identical 
  13. "Computer Crime" laws that have been passed in various laws over the last 
  14. decade.  There may also be Federal anti-hacking laws, but I haven't looked at 
  15. them yet.  Furthermore, there are separate laws that deal with phreaking, 
  16. carding, and other matters.  I'm not dealing with any of those in this article, 
  17. but if the interest level is high enough, I may write about the other laws in 
  18. future DnA issues.
  19.  
  20.        First, the bad news.  California's anti-hacking laws are pretty broad.  
  21. No, I take that back.  They are incredibly broad.  "Computer Crime" is defined 
  22. by California Penal Code section 502.  If you haven't read it before, I urge 
  23. you to read it now.  Why?  for three reasons.  First, we, as hackers, need to 
  24. know what we're getting ourselves into legally.  That way, if we cross the line 
  25. (we almost always do) when we hack, we do it consciously.  Second, if we are 
  26. caught, we need to be aware of why the feds are asking a particular question--
  27. in effect, what part of the case against us are they trying to make?   Third -- 
  28. and most important -- we need to know how we can get around the law, or at 
  29. least, minimize any penalties if we are caught. 1/ 
  30.  
  31. _____________________
  32.  
  33. 1/  By the way, I hope that if ANY of you get caught and questioned, your first 
  34. response is, "I want to talk to a lawyer before I discuss anything with you."
  35. See, that means the feds have to stop questioning you, and let you talk to a 
  36. lawyer before they continue.  With the advice of a good lawyer, you know what 
  37. you're getting yourself into before answering any questions.  And regardless of 
  38. what any cop says, they don't "go easier on you" if you "cooperate" by telling 
  39. them everything.  They hate you and fear you, and all they care about is making 
  40. a case against you.  Only the D.A. can cut you a deal.   Read about Robert W.
  41. Clark's ordeal in Phrack 4.3 if you have any doubts.
  42.  
  43.      The heart of California Penal Code section 502 reads:
  44.  
  45. "Any person who commits any of the following acts is guilty of a public 
  46. offense:
  47.  
  48. (1)  Knowingly accesses and without permission alters, damages, deletes, 
  49. destroys, or otherwise uses any data, computer, computer system, or computer 
  50. network in order to either (A) devise or execute any scheme or artifice to 
  51. defraud, deceive, or extort, or (B) wrongfully control or obtain money, 
  52. property, or data.
  53.  
  54. (2)  Knowingly accesses and without permission takes, copies, or makes use of 
  55. any data from a computer, computer system, or computer network, or takes or 
  56. copies any supporting documentation, whether existing or residing internal or 
  57. external to a computer, computer system, or computer network.
  58.  
  59. (3)  Knowingly and without permission uses or causes to be used computer 
  60. services.
  61.  
  62. (4)  Knowingly accesses and without permission adds, alters, damages, deletes, 
  63. or destroys any data, computer software, or computer programs which reside or 
  64. exist internal or external to a computer, computer system, or computer network.
  65.  
  66. (5)  Knowingly and without permission disrupts or causes the disruption of 
  67. computer services or denies or causes the denial of computer services to an 
  68. authorized user of a computer, computer system, or computer network.
  69.  
  70. (6)  Knowingly and without permission provides or assists in providing a means 
  71. of accessing a computer, computer system, or computer network in violation of 
  72. this section.
  73.  
  74. (7)  Knowingly and without permission accesses or causes to be accessed any 
  75. computer, computer system, or computer network in violation of this section.
  76.  
  77. (8)  Knowingly introduces any computer contaminant into any computer, computer 
  78. system, or computer network."
  79.  
  80.      The law also defines most of the terms used above.  "Computer network" is 
  81. defined as "any system which provides communications between one or more 
  82. computer systems and input/output devices including, but not limited to, 
  83. display terminals and printers connected by telecommunication facilities."
  84.  
  85.      "Data" is defined as "a representation of information, knowledge, facts, 
  86. concepts, computer software, computer programs or instructions.  Data may be in 
  87. any form, in storage media, or as stored in the memory of the computer or in 
  88. transit or presented on a display device."
  89.  
  90.      "Access" means "to gain entry to, instruct, or communicate with the 
  91. logical, arithmetical, or memory function resources of a computer, computer 
  92. system, or computer network."
  93.  
  94.      "Permission" is not defined in the statute, but where a term is not 
  95. defined, you use the ordinary English meaning.  "Permission" is defined in the
  96. American Heritage Dictionary, second edition, as "formal consent."
  97.  
  98.      "Computer contaminant" is defined to include virii, trojans, and anything 
  99. else that damages a computer's software.
  100.  
  101.      Well, that's the heart of it.  Let's look at each of the sections above 
  102. and try to determine what they mean, and how they apply to hackers.
  103.  
  104. "(1)  Knowingly accesses and without permission alters, damages, deletes, 
  105. destroys, or otherwise uses any data, computer, computer system, or computer 
  106. network in order to either (A) devise or execute any scheme or artifice to 
  107. defraud, deceive, or extort, or (B) wrongfully control or obtain money, 
  108. property, or data."
  109.  
  110.      The section above should not apply to the pure hacker.  It is obviously 
  111. intended to catch people working the "Salami scheme," and similar scenarios.  
  112. (For those of you not familiar with it, the Salami scheme is the one that skims 
  113. a small amount of money off a lot of accounts in some relatively undetectable 
  114. pattern and transfers it to the "hacker" in some way.)  But read the section
  115. again.  You apparently violate it if you "access" and "without permission" "use 
  116. any data" in order to "obtain data."  Arguably if you download a user list and 
  117. use that list to obtain another user's password, you've violated the section!  
  118. But you also violate this section if you "access and without permission...use
  119. ...any computer...to obtain...data."  For example, if you are in a computer 
  120. store, go over to a computer and "without permission" use the demo of the CD-
  121. ROM Encyclopedia Britannica to look up an entry without first asking for 
  122. permission -- i.e., formal consent -- you've just commited a computer crime!
  123.  
  124.      Let's look at the next section.
  125.  
  126. "(2)  Knowingly accesses and without permission takes, copies, or makes use of 
  127. any data from a computer, computer system, or computer network, or takes or 
  128. copies any supporting documentation, whether existing or residing internal or 
  129. external to a computer, computer system, or computer network."
  130.  
  131.      It's fairly clear that this section was intended to make trashing illegal.  
  132. But there's a flaw in the section.  It requires you to "knowingly access" the 
  133. documentation.  And as you saw in the definition above, "access" requires you 
  134. "to gain entry to, instruct, or communicate with the logical, arithmetical, or 
  135. memory function resources of a computer, computer system, or computer network."  
  136. If you trash, you are not gaining entry to any part of a computer, so you can't 
  137. violate this section by trashing!!
  138.  
  139.      Let's look at section three.
  140.  
  141. "(3)  Knowingly and without permission uses or causes to be used computer 
  142. services."
  143.  
  144.      What the fuck is this!!??  "Computer services" is defined in the law as 
  145. "computer time, data processing, or storage functions, or other uses of a 
  146. computer, computer system or computer network."  So, in other words, if you use 
  147. a computer in any way without permission, you're fucked.
  148.  
  149.      Section four makes the following illegal:
  150.  
  151. "(4)  Knowingly accesses and without permission adds, alters, damages, deletes, 
  152. or destroys any data, computer software, or computer programs which reside or 
  153. exist internal or external to a computer, computer system, or computer network."
  154.  
  155.      This section makes it illegal to change any info on a computer.  Not a big 
  156. problem if you are into traditional hacking, and not into doing any damage to a 
  157. system you are on.  But, if you alter the user list to give yourself an 
  158. account, you've violated this section.
  159.  
  160.      Section five:
  161.  
  162. "(5)  Knowingly and without permission disrupts or causes the disruption of 
  163. computer services or denies or causes the denial of computer services to an 
  164. authorized user of a computer, computer system, or computer network."
  165.  
  166.      This refers to actual damage.  I think we all know that if you crash a 
  167. system or lock an authorized user out, we've committed a crime.  This is the 
  168. section that makes it a crime.
  169.  
  170.      Section six:
  171.  
  172. "(6)  Knowingly and without permission provides or assists in providing a means 
  173. of accessing a computer, computer system, or computer network in violation of 
  174. this section."
  175.  
  176.      This section says that if you help someone break into a system, you're as 
  177. guilty as if you were breaking in yourself.  That's standard law.  "Aiding and
  178. abbetting" is always considered the same as actually doing the act, and there's
  179. nothing particularly unusual about this section.
  180.  
  181.      Section seven:
  182.  
  183. "(7)  Knowingly and without permission accesses or causes to be accessed any 
  184. computer, computer system, or computer network in violation of this section."
  185.  
  186.      I've pondered this one for days.  I don't think it adds anything that 
  187. isn't already there in the other sections.  But it's here, anyway.
  188.  
  189.      Section eight:
  190.  
  191. "(8) Knowingly introduces any computer contaminant into any computer, computer 
  192. system, or computer network."
  193.  
  194.      Well, this is obvious.  Using a virus, trojan, or other destructive 
  195. program to trash a system is illegal.  This part of the law was passed later,
  196. in 1989, so apparently the legislature felt that the other sections of the 
  197. law do not apply to destruction of a computer system by virii or trojans.
  198. That's important to know, because if you are ever nabbed for uploading a
  199. virus and are charged with one of the other sections, you might be able to get
  200. the charges dismissed.
  201.  
  202.      Now, what happens if you are convicted under any of these sections?  Well,
  203. obviously it will depend on a lot of different things.  But, here is what the
  204. authorized penalties are.  The lightest penalties provided are for a first 
  205. violation of sections six, seven or eight where there is no injury.  A first 
  206. violation gets you a maximum fine of $250 and no jail time.  However, for 
  207. violations that cause damage, for violations of the other sections, and for 
  208. second violations, the penalty goes up increasingly, up to a maximum of $10,000 
  209. and 3 years in jail.
  210.    
  211.      Pretty broad, eh?  Well, that's the bad news.  Now the good news.  If you 
  212. find yourself charged with violating any of these sections, there are some 
  213. defenses you might try, some of which you would have to do before you even
  214. start to hack a system.
  215.  
  216.      First, paragraph (h) of the law provides that none of the above conduct is 
  217. illegal "to any person who accesses his or her employer's computer system, 
  218. computer network, computer program, or data when acting within the scope of his 
  219. or her lawful employment."  
  220.  
  221.      This means that if you are acting in the "lawful course of your 
  222. employment" on your employer's computer system or network or using your 
  223. employer's data, none of the above sections can be used to prosecute you.
  224.  
  225.      Second, paragraphs (h) and (i) provide that, even if you are NOT acting in 
  226. the "lawful course of your employment," you can not violate sections 2, 3, 4 or 
  227. 7 on your employer's computer system or network or by using your employer's 
  228. data, as long as you don't cause any harm and the value of "computer services" 
  229. used is less than $100.
  230.  
  231.      What does this mean?  Well, it means that, if you want to avoid illegal 
  232. hacking, use your "social engineering" skills to get a temporary or part-time 
  233. job at the company whose computers you plan to hack.  If you are a student, 
  234. hacking into a school system, get a work study or other part time job at some 
  235. admin office for a few days while you are hacking.  Yeah, I know, it feels a 
  236. lot safer hacking from the relative anonymity of a remote computer terminal.  
  237. You can still do that.  You don't have to be on the job while hacking--just 
  238. an "employee."  And besides, if it's not illegal, who cares whether you are 
  239. discovered?  What are they going to do, fire you?
  240.  
  241.      Third, the breadth of the law itself can be used against it.  You see, 
  242. there's this little thing in the 5th and 14th Amendments of the Constitution 
  243. called the "Due Process" clause.  It says that the government can't deprive you 
  244. of life, liberty or property "without Due Process of law."  That has been 
  245. interpreted to mean that, essentially, if a law is so broad that it prohibits a 
  246. lot of legal conduct along with the illegal conduct, and the law is not 
  247. "rationally related" to the evil that it is trying to prohibit, it is 
  248. unconstitutional.  "Due process" also makes it unconstitutional for a law to be 
  249. so vague that you can't reasonably understand what is illegal.  
  250.  
  251.       This "Computer Crime" law came about as the result of a lot of paranoia 
  252. about hackers, and in making itself as broad as it did, it appears to 
  253. prohibit a LOT of legitimate conduct.  Therefore, this law potentially violates 
  254. "due process" and is unconstitutional.  So, if you are ever in a situation 
  255. where you are on trial for a violation of this law, show this article to your 
  256. lawyer and ask him or her whether s/he thinks you should challenge the law as a 
  257. "due process" violation.
  258.  
  259.      A fourth potential defense to the law relies on common sense.  In the case 
  260. of Mahru versus Superior Court, volume 237 of the California Reporter, page 
  261. 298, one of the only two cases decided under Penal Code Section 502, the 
  262. California Court of Appeal in Los Angeles said:
  263.  
  264.              "The urge to spite others is one of the more miserable 
  265.              concomitants of human intelligence.  Compared to human 
  266.              behavior as a whole, relatively few forms of spiteful 
  267.              conduct are [criminal].  More often they are merely 
  268.              upsetting and reprehensible.  The legislature could not 
  269.              have meant, by enacting section 502, to bring the Penal 
  270.              Code into the Computer Age by making annoying or spiteful
  271.              acts criminal offenses whenever a computer is used to 
  272.              accomplish them.  Individuals and organizations use computers 
  273.              for typing and other routine conduct in the course of their 
  274.              affairs, and sometimes in the course of these affairs they do 
  275.              vexing, annoying, and injurious things.  Such acts cannot all 
  276.              be criminal."
  277.  
  278. Page 300.  This quote clearly expresses the Court's concern over the breadth of
  279. the statute.  What the Court seems to be doing here is trying to save an 
  280. unconstitutional statute by saying that, just because an act appears to violate 
  281. the statute, it may not be a crime.  Instead, the court will look at whether 
  282. what you did is inherently evil, or just a "vexing, annoying or injurious" 
  283. prank.  In the Mahru case, a company had a contract to provide data processing
  284. services to a credit union.  The company put its terminal in the credit union, 
  285. and helped credit union employees operate it.  The credit union later broke its 
  286. contract with the data processing company and hired another company to provide 
  287. data processing services.  The first company re-named some of the programs on 
  288. the system and did not run the procedures to bring the tellers on line, so that 
  289. the relatively computer-illiterate credit union employees could not use the 
  290. system.  The court held that this did not violate Penal Code section 502.
  291.  
  292.      What does all this mean?  Well, first of all, it's just one more reason 
  293. that the law can be said to be unconstitutionally vague.  Second of all, it 
  294. probably means that, unless you do some serious damage to the system, you're 
  295. not likely to get hit very hard for hacking, if you are hit at all.  (Perhaps 
  296. this is why the only other case decided under Penal Code section 502, People of 
  297. California versus Gentry, California Reporter volume 285, page 591, involved a
  298. "credit repair scam," where the computer crime charge was just one of a number 
  299. of fraud charges against the defendant, who created fake IDs for his clients, 
  300. went into TRW's records, and created fake credit histories so that they could 
  301. get credit.)  
  302.  
  303.      So, if you want to avoid criminal prosecution, use common sense.  Don't 
  304. trash a system once you are inside.  If you decide to trash it, the penalties 
  305. are more severe, so you darned well had better not go around bragging about it.  
  306.  
  307.      And, in the meantime, if you think that this law is ridiculously draconian 
  308. and paranoid (I do), do something about it.  There are a lot of ways to get 
  309. involved with changing your world, and files on some of them can be found on 
  310. DnA.  Check it out, and don't be one of the mindless, directionless minions 
  311. that accept tyranny, facism and mediocrity in lawmaking and government.  Make 
  312. a difference.  Educate yourself on what's out there, and change what you don't 
  313. like!
  314.  
  315.  
  316. -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
  317.  
  318.  
  319.     If you have any questions about any of the things in this article, I 
  320. can be found both on the DnA and on the Digital Decay BBSes in Orange County, 
  321. California.