home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / cud / cud505a.txt < prev    next >
Text File  |  1995-01-03  |  10KB  |  188 lines
  1. Date: 22 Dec 92 15:31:52 EST
  2. From: Ken Citarella <70700.3504@COMPUSERVE.COM>
  3. Subject: File 1--Balancing Computer Crime Statutes and Freedom
  4.  
  5.        Computer Crime, Computer Security and Human Values
  6.  
  7.         - The Prosecutor's Perspective -
  8.  
  9.  
  10.               Kenneth C. Citarella
  11.      Assistant District Attorney, Westchester County
  12.             copyright 1991
  13.  
  14.  
  15.      I am a prosecutor.  I specialize in white collar crime, and
  16. more particularly in computer crime and telecommunication fraud.
  17. My professional interest regarding computer crime, computer
  18. security, and the human values involved with them comes from that
  19. perspective.  I study motive, intent, criminal demographics,
  20. software security and other topics to help me identify,
  21. investigate, and prosecute a criminal.
  22.  
  23.      A crime is an act prohibited by law.  Criminal statutes define
  24. acts deemed so inimical to the public that they warrant the
  25. application of the police power of the state.  Computer crimes only
  26. exist because the legislature has determined that computers and
  27. what they contain are important enough, like your house, money and
  28. life, that certain acts directed against them merit the application
  29. of that power.
  30.  
  31.      A curious distinction arises with regard to computers,
  32. however.  Your house can be burglarized even if you leave the door
  33. open.  If you drop your money on the street, a finder who keeps it
  34. may still be a thief.  The foolish trust you place in an investment
  35. swindler does not absolve him of guilt for his larceny.  Yet much
  36. of the discussion on what constitutes computer crime, and even the
  37. computer crime statutes of many states, place a responsibility on
  38. the computer owner to secure the system.  Indeed, in New York
  39. State, unless an unauthorized user is clearly put on notice that he
  40. is not wanted in the system, the penetrated system falls outside
  41. the protection of several of the computer crime statutes.  The
  42. intrusion, no matter how unwanted by the system owner, has actually
  43. been legitimized by the legislature.  Since I participated in the
  44. writing of the New York computer crime statutes, I can attest to
  45. the desire of legislative counsel to force the computer owner to
  46. declare his system off limits.  So the societal debate over how
  47. much protection to afford computers has very practical consequences
  48. in the criminal arena.
  49.  
  50.      Commentators frequently address with much anguish whether
  51. computer intruders are truly to be blamed for breaking into a
  52. computer system.  They treat such people as a new phenomenon for
  53. whom new rules must be established.  ("Hacking" and "hackers" are
  54. terms that have become so romanticized and distorted from their
  55. original context, that I refuse to use them; they simply do not
  56. describe the behavior which is of interest.)  I suggest, to the
  57. contrary, that examining the victim impact of computer intrusions
  58. provides a more meaningful analysis.
  59.  
  60.       Consider some examples of the facts typically presented to
  61. law enforcement.  A computer intruder penetrates the system of a
  62. telecommunications carrier and accesses valid customer access
  63. codes.  She distributes these codes to a bulletin board host who
  64. posts them for the use of his readership.  Within 48 hours, the
  65. numbers are being used throughout the United States.  The carrier
  66. experiences $50,000.00 in fraudulent calls before the next billing
  67. cycle alerts the customers to the misuse of their numbers.  Or,
  68. they could be credit card numbers taken from a bank and used for
  69. hundreds of thousands of dollars of larcenous purchases.  Or, it
  70. could be experimental software stolen from a developer who now
  71. faces ruin.
  72.  
  73.      Stories like these have something in common with all criminal
  74. activity, computer based or not.  The criminal obtains that which
  75. is not his, violating one of the lessons we all should have learned
  76. in childhood.  The computer intruder ignores that lesson and
  77. substitutes a separate moral imperative:  I can, therefore, I may;
  78. or, might makes right.  The arguments about exposing system
  79. weaknesses, or encouraging the development of youthful computer
  80. experts, amount to little more than endorsing these behavioral
  81. norms.  These norms, of course, we reject in all other aspects of
  82. society.  The majority may not suppress the minority just because
  83. they have the numbers to do so.  The mob cannot operate a
  84. protection racket just because it has the muscle to do so.  The
  85. healthy young man may not remove an infirm one from a train seat
  86. just because he can.  Instead, we have laws against discrimination,
  87. police to fight organized crime, and seats reserved for the
  88. handicapped.
  89.  
  90.      I suspect that part of our reluctance to classify many
  91. computer intrusions as crimes arises from a reluctance to recognize
  92. that some of our bright youths are engaging in behavior which in a
  93. non-computer environment we would unhesitatingly punish as
  94. criminal.  The fact they are almost uniformly the white, middle
  95. class, and articulate offspring of white middle class parents makes
  96. us less ready to see them as criminals.  Although there are
  97. questions to be resolved about computer crime, we are sadly
  98. mistaken to focus on what may be different about computer crime, to
  99. the exclusion of what it has in common with all other criminal
  100. conduct.  Refer back to the simple scenarios outlined above.  The
  101. computer intruder may have all the attributes some commentators
  102. find so endearing: curiosity, skill, determination, etc.  The
  103. victims have only financial losses, an enormous diversion of
  104. resources to identify and resolve the misdeeds, and a lasting sense
  105. of having been violated.  They are just like the victims of any
  106. other crime.
  107.  
  108.      Of course, there are computer intruders who take nothing from
  109. a penetrated system.  They break security, peruse a system, perhaps
  110. leaving a mystery for the sysop to puzzle over.  Would any computer
  111. intruder be as pleased to have a physical intruder enter his or her
  112. house, and rearrange their belongings as he toured the residence?
  113. The distinctions on the intruders' part are basically physical
  114. ones: location, movement, physical contact, manner of penetration,
  115. for example.  The victims' perspectives are more similar:  privacy
  116. and security violated, unrest regarding future intrusions, and a
  117. feeling of outrage.  Just as a person can assume the law protects
  118. his physical possession of a computer, whether he secures it or
  119. not, why can he not assume the same for its contents?
  120.  
  121.      What after all is the intent of the intruder in each
  122. situation?  To be where he should not be and alter the property
  123. that is there without the approval of its owner.  Each case
  124. disregards approved behavior and flaunts the power to do so.
  125.  
  126.      Of course, computer intrusions have many levels of
  127. seriousness, just as other crimes do.  A simple trespass onto
  128. property is not a burglary; an unauthorized access is not software
  129. vandalism.  The consequences must fit the act.  Prosecutors and
  130. police must exercise the same discretion and common sense with
  131. computer intruders they do regarding conventional criminals.  No
  132. reasonable law enforcement official contends that every computer
  133. intrusion must be punished as a criminal act.  Youth officers and
  134. family courts commonly address the same behavior in juveniles that
  135. other agencies address in adults.  Sometimes a youth is warned, or
  136. his parents are advised about his behavior, and that is the best
  137. response.  But to insist that some computer intrusions are to be
  138. legitimized, assumes that law enforcement lacks the common sense
  139. and discretion to sort out prosecutable incidents from those best
  140. handled less formally.  If we choose not to trust the discretion
  141. and experience in our law enforcement authorities regarding
  142. computer crime, then how can we trust these same people to decide
  143. what drug trafficker to deal with to get someone worse, or to
  144. decide which child has been abused and which was properly
  145. disciplined.  The point is that law enforcement makes far more
  146. critical decisions outside of the context of computer crime than
  147. within.  The people involved are trained and have the experience to
  148. make those decisions.  Yet much of the debate over computer crime
  149. assumes just the opposite.
  150.  
  151.      In my personal experience, prosecutorial discretion has worked
  152. just as well in computer crimes as it has regarding other criminal
  153. behavior.  Some complaints result in a prosecution; some are
  154. investigated and no charges filed; some are not even entertained.
  155.  
  156.      Lastly, I should point out that frequently computer intruders
  157. are also involved in a variety of other crimes.  Typically, credit
  158. card fraud and software piracy are in their repertoire.  And, let
  159. us not forget that the telecommunication charges for all their long
  160. distance calls are being borne by the carrier or the corporate PBX
  161. they have compromised.  With telecommunication fraud exceeding a
  162. billion dollars a year,  the societal cost of tolerating these
  163. intruders is too large to be blindly accepted.
  164.  
  165.      If the challenge of penetrating a system you do not belong on
  166. is an essential way of developing computer skills, as some people
  167. contend, then let computer curricula include such tests on systems
  168. specifically designed for that.  Surgeons develop their skills on
  169. cadavers, not the unsuspecting.  Pilots use simulators.  Why should
  170. computer specialists practice on someone else's property at someone
  171. else's expense?
  172.  
  173.      There are privacy and Fourth Amendment issues involved in
  174. computer crime.  But they are the same issues involved in any other
  175. criminal investigation.  The public debate is needed and cases must
  176. go to court as has always been the case with constitutional aspects
  177. of criminal law.  Whenever law enforcement follows criminal
  178. activity into a new arena, problems arise.  It is as true with
  179. computer crime as it was with rape and child abuse cases.  The
  180. answers lie in understanding the common forest of all criminal
  181. behavior not in staring at the trees of computer crime.
  182.  
  183.      (Adapted from a paper presented at the National Conference on
  184. Computing and Values, Southern Connecticut State University, August
  185. 14, 1991)
  186.  
  187. Downloaded From P-80 International Information Systems 304-744-2253
  188.