home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / MAGS.ZIP / 40HEX-12.ZIP / 40HEX-12.008 < prev    next >
Encoding:
Text File  |  1993-12-04  |  17.7 KB  |  339 lines
  1. 40Hex Number 12 Volume 3 Issue 3                                      File 008
  2.  
  3. Article #1
  4. ----------
  5.  
  6. Subj:   Draft Swiss AntiVirus regulation
  7.  
  8. To whom it may concern:
  9.  
  10. The Swiss Federal Agency for Informatics (Bundesamt fuer Informatik, Bern) is
  11. preparing a legislative act against distribution of malicious code, such
  12. as viruses, via VxBBS etc. You may know that there have been several attempts
  13. to regulate the development and distribution of malicious software, in UK, USA
  14. and other countries, but so far, Virus Exchange BBS seem to survive even in
  15. countries with regulations and (some) knowledgeable crime investigators.
  16.  
  17. In order to optimize the input into the Swiss legal discussion, I suggested
  18. that their draft be internationally distributed,  for comments and suggestions
  19. from technical and legal experts in this area. Mr. Claudio G. Frigerio from
  20. Bern kindly translated the (Swiss) text into English (see appended text, both
  21. in German and English); in case of any misunderstanding, the German text is the
  22. legally relevant one! Any discussion on this forum is helpful; please send
  23. your comments (Cc:) also to Mr. Claudio G. Frigerio (as he's not on this list).
  24.  
  25. "The Messenger" (Klaus Brunnstein: October 9, 1993)
  26.  
  27. ###############################################################
  28. Appendix 1:
  29. Entwurf zu Art. 144 Abs. 2 des Schweizerischen Strafgesetzbuches
  30.  
  31. "Wer unbefugt elektronisch oder in vergleichbarer
  32. Weise gespeicherte oder uebermittelte Daten loescht,
  33. veraendert oder unbrauchbar macht, oder Mittel, die
  34. zum unbefugten Loeschen, Aendern oder Unbrauchbarmachen
  35. solcher Daten bestimmt sind, herstellt oder anpreist,
  36. anbietet, zugaenglich macht oder sonstwie in Verkehr
  37. bringt, wird, auf Antrag, mit der gleichen Strafe belegt."
  38.  
  39. P.S.: gleiche Strafe =JBusse oder Gefaengnis bis zu 3 Jahren;
  40.       bei grossem Schaden, bis zu 5 Jahren Gefaengnis sowie Verfolgung
  41.       von Amtes wegen (Offizialdelikt)
  42.  
  43. ###############################################################
  44. Draft of article 144 paragraph 2 of the Swiss Penal Code
  45. (English translation)
  46.  
  47. "Anyone, who, without authorization
  48.    - erases, modifies, or destructs
  49.      electronically or similarly saved or data,
  50. or anyone who,
  51.    - creates, promotes, offers, makes available, or circulates in
  52.      any way
  53.      means destined for unauthorized deletion, modification, or
  54.      destruction of such data,
  55. will, if a complaint is filed, receive the same punishment."
  56.  
  57. P.S.: same punishment =Jfine or imprisonment for a term of up to
  58.       three years; in cases of a considerable dam-age, five years with
  59.       prosecution ex officio
  60. ###############################################################
  61. Author: Claudio G. Frigerio, Attorney-At-Law
  62. Swiss Federal Office of Information Technology and System,
  63. e-mail: bfi@ezinfo.vmsmail.ethz.ch
  64. ###############################################################
  65.  
  66. Article 2:
  67. ---------
  68.  
  69. Subj: More about Swiss Anti-Virus Laws
  70.  
  71. Thanks to everybody who replied on the subject of Swiss Anti-Virus Legis-
  72. lation.
  73.  
  74. As somebody noticed there was a word missing in the English translation. It
  75. should have been: "... destructs electronically or similarly saved or TRANS-
  76. MITTED data will..."
  77.  
  78. The text posted to the net, was a trial to include into the "data damaging"
  79. even creation and dealing/circulating computer viruses. The idea behind this,
  80. is that the virus itself already carries the malicious intent of his author.
  81. Therefore it is dangerous in any circumstance. Actually a virus can not be
  82. abused, as the idea of abuse includes the possibility, that a virus can be
  83. used in a good way too. As I have been told by specialists, there is no such
  84. "good use" of a virus as any unauthorized change of data has the potential of
  85. interfering with other data and/or programs in environments, that the virus
  86. author did/could not foresee. And even the unauthorized use of storage space
  87. is a damage, as this space will not be available for authorized uses of the
  88. computer system. Computer virus are an "absolute danger", and as any other
  89. dangerous thing (like explosive, poison, radioactiv materials or genetic
  90. materials in specialized labs) computer virus should not be created or
  91. circulated without restrictions.
  92.  
  93. It has been remarked that in the text there was no word about the requisite
  94. intent or requisite knowledge of the committer. This way any BBS sysop would
  95. always risk criminal charges, if his BBS carries any virus infected software
  96. but the sysop isn't aware of it.
  97.  
  98. I apologize for not having told that Swiss Penal Law only considers inten-
  99. tional crimes, if there is no explicit indication that negligent acts are
  100. punished too. Therefore according to Swiss Penal Law terminology and system,
  101. the text posted to the net only considers who "knowingly and willingly"
  102. commits the act. That means that the author of the virus has to know it was
  103. a virus, what he created: this is always the case. And who circulates the
  104. virus has to know it was a virus and he wanted to circulate it. The know-
  105. ledge that SW was or carried a virus can be proved easily by the fact that 
  106. nobody knowingly stores viruses without labeling or marking them in any way,
  107. in order not to be infected himself (yes, I know: if there really is somebody
  108. so foolish, I have to find another way to prove his knowledge). For BBS a
  109. "Virus Directory" containing viruses or virus source codes is evidence enough
  110. for the "requisite knowledge and intent". The law does no want to punish
  111. accidental distribution of viruses.
  112.  
  113. The phrase "means destined for unauthorized deletion" has been considered
  114. unclear. "Means" certainly includes not only software, but source code (on
  115. paper as on disks) too. It has been remarked that it's the classical tool-
  116. maker problem: a knife can be used as woodcarver to make a great work, but
  117. it might be used aven as a thug to commit murder.
  118. I realized this problem, but would you consider a knife as generally
  119. destined to commit murder? Or would you consider explosive as generally
  120. destined to create damage? We have to be aware that most items can be used
  121. in a legal or abused in an illegal way. Seldom an item can only be used in
  122. an illegal way, but computer viruses are such items! I do not speak about
  123. software using virus specific reproduction techniques (like "killer viruses"
  124. for copyright enforcement or "anti-viruses" supposed to fight viruses) that
  125. make data changes with the explicit (contract/license) or implicit (highly
  126. probable agreement of the user) authorization of the user. This kind of SW
  127. is actually not included in the definition of "means destined for unatho-
  128. rized deletion, modification, or destruction of data".
  129. Therefore you cannot say that Norton Utilities, WipeFile or any other
  130. similar general purpose SW or utilities are "destined for unautorized
  131. deletion, modification or destruction", although they certainly could be
  132. used for this.
  133.  
  134. The text doesn't say anything about malice, malicious intents or the intent
  135. to damage, as these elements are very difficult to prove in trial, if the
  136. accused denies any such intention. Actually I considered these subjective
  137. elements as not really necessary, as the virus already carries the malicious
  138. intent of its author: the malice of the author is proved by his virus, and
  139. the malice of somebody circulating the virus is proved, if his knowledge,
  140. that he was circulating a virus, is proved.
  141.  
  142. According to general principles of penal law the site of crime is the main
  143. link to charge somebody. If a virus has been created or circulated outside
  144. the national borders of Switzerland, Swiss Penal law cannot be applied. But
  145. if a virus created outside Switzerland is transferred electronically to
  146. Switzerland, the downloader will be held responsible, no matter if he was
  147. in Switzerland or abroad, as "importing" as a way to circulate the virus.
  148. The "success" of the act will take place in Switzerland. Anyway Art. 7 of
  149. Swiss Penal Law follows the principle of territoriality and the
  150. "Ubiquitaetsprinzip" (sorry: didn't find the correct English word: an act
  151. is considered being committed not only where the committer was, when he
  152. started his crime, but also where the "success" has been realized. Anyway
  153. I do consider clearifing this by inserting that "importing" virus is 
  154. considered as "circulating in any way".
  155.  
  156. As this crime is prosecuted as soon as police or prosecution authority knows
  157. about it (so called "ex officio", there is no need for a specific complaint:
  158. a detailed information about a fact is enough to start investigations, no
  159. matter where the information came from (e.g. abroad).
  160.  
  161. There is no doubt, that professional ant-virus specialists and scientists
  162. should have access to viruses and be allowed to even create viruses. As
  163. long as this is covered by the aim of studying strategies to fight
  164. computer viruses, this is OK. I actually planned a system of registrering
  165. these people with a federal authority (e.g. the IS Security Dptm. at the
  166. Swiss Federal Office of Information Technology and Systems or the Ministery
  167. of Justice). The posted text would be then need to be completed as follows:
  168. "Who, without being registered with the proper federal authority, creates...
  169. Only trustworthy individuals, who are professionally or scientifically
  170. active in combatting such means, may be registered on demand."
  171.  
  172. The Swiss legislator is actually not only considering "data damaging" but
  173. "hacking", "time theft" and computer fraud too, but these ARE NOT subjects
  174. of the discussion in this forum now. The same applies to software piracy,
  175. already ruled by another law. I will gladly email/fax the German, French or
  176. Italian text of the Penal Law draft to anybody interested. Please do not
  177. ask me an English translation of these, as I am not a professional English
  178. translator of legal text.
  179.  
  180. I am aware that the UK and Italy have/are going to have laws allowing to
  181. prosecute the creation and circulation of computer viruses. If anybody
  182. knows of other contries, may he please let me know in any way and as soon
  183. as possible.
  184.  
  185. On Monday, 25 October 1993, there will a meeting with the Ministery of
  186. Justice in order to convince them to propose this to the Parliament. This
  187. will be very very difficult, as there generally is very little knowledge
  188. on, or concern for the threat through computer viruses. Most people have
  189. simply never suffered an attack of computer viruses.
  190.  
  191. Thanks again for following this item with your comments.
  192.  
  193. Claudio G. Frigerio
  194.  
  195. P.S.: Please do not suggest to me to send them a floppy with a ..... just
  196. to make them more aware of the risks...
  197. P.P.S.: You can phone/email/fax/write to me in Italian, German, French,
  198. Spanish or English.
  199.  
  200.  
  201. Article #3
  202. ----------
  203.  
  204. Subj:   Detection complexity of some newish viruses. (PC)
  205.  
  206. A while back (January 93) a few people posted sizes of their algorithmic
  207. virus detectors.  Here are the line counts for a couple more detectors
  208. included (or to be included) in IBM AntiVirus.
  209.  
  210. These counts are for lines of C; the code is not particularly dense.
  211. The SatanBug (*) count includes some tables.  (File I/O handling is
  212. *not* included in these counts.  The lines-of-code counter is a standard
  213. counter used in many IBM development projects.  I'm not completely sure
  214. what rules this lines-of-code counter uses.  Some lines are
  215. counted as both code and comment lines.)
  216.  
  217. SatanBug ::= 421 physical lines, 173 comment lines, and 187 code lines
  218. Tremor ::= 165 physical lines, 36 comment lines, and 107 code lines
  219.  
  220. (*) There is some disagreement about the name of this virus.
  221.  
  222. Bill Arnold, barnold@watson.ibm.com (IBM AntiVirus Development)
  223.  
  224. Article 4:
  225. ----------
  226.  
  227. Subj:  Electronic Warfare
  228.  
  229. The October 18th issue of Aviation Week has an interesting item in its
  230. Washington Outlook column on future developments in electronic warfare. 
  231. Paraphrase follows:
  232.  
  233.   A Pentagon official, H. Steven Kimmel, deputy director of C3I testing
  234.   and evaluation in the Pentagon acquisition office, said the next 
  235.   developments in "non-lethal electronic combat" should be on methods
  236.   of injecting deceptive information and computer viruses into enemy
  237.   command, control, communication and intelligence systems and into 
  238.   enemy communication nodes and data bases. Kimmel was speaking to the
  239.   Association of Old Crows, a group of electronic warfare specialists.
  240.   He further said that the U.S. needs this "nonlethal capability" both
  241.   defensively and offensively. It was pointed out that American C3I
  242.   systems are vulnerable because of their many nodes and reliance on
  243.   computers and commercial off the shelf components.
  244.  
  245. Article 5:
  246. ----------
  247.  
  248. Subj:  Swiss Anti Virus Law
  249.  
  250. On November 11, 1993 the Law Committee of the 2nd Chamber of the Parliament 
  251. (German: "Staenderat"; a kind of "Swiss Senate") decided to accept the anti-
  252. virus propositions. The Staenderat will probably discuss in Parliament and 
  253. decide on the subject by December 1993. In the Law Committee there was 
  254. practically no opposition to the law draft; thus it is very likely that the 
  255. Staenderat will accept it too. After this the "Nationalrat" (the 1st Chamber of 
  256. Parliament, a kind of "Swiss House of Representatives" or "Swiss Congress")
  257. will  discuss the draft and decide about it by Spring 1994.
  258.  
  259. The Swiss law draft, posted to the net, has been changed considerably in the
  260. last few weeks. The draft actually discussed in Parliament will be:
  261.  
  262. German text:
  263. Schweizerisches Strafgesetzbuch, Artikel 144bis, Datenbeschaedigung
  264. 1. Wer unbefugt elektronisch oder in vergleichbarer Weise
  265.    gespeicherte oder uebermittelte Daten loescht, veraendert oder
  266.    unbraucbar macht, wird, auf Antrag, mit Gefaegnis oder mit Busse
  267.    bestraft.
  268.    Hat der Taeter einen grossen Schaden verursacht, so kann auf
  269.    Zuchthaus bis zu fuenf Jahren erkannt werden. Die Tat wird von
  270.    Amtes wegen verfolgt.
  271. 2. Wer Programme, von denen er weiss oder annehmen muss, dass sie
  272.    zu den in Ziffer 1 genanten Zwecken verwendet werden sollen, 
  273.    herstellt, einfuehrt, in Verkehr bringt, anpreist, ueberlaesst oder
  274.    sonstwie zugaenglich macht oder zu ihrer Herstellung Anleitung gibt,
  275.    wird mit Gefaegnis oder mit Busse bestraft.
  276.    Handelt der Taeter gewerbsmaessig, so kann auf Zuchthaus bis zu
  277.    fuenf Jahren erkannt werden.
  278.  
  279. English text:
  280. Swiss Criminal Code, Article 144bis, Damaging of data
  281. 1. Anyone, who without authorization deletes, modifies or renders 
  282.    useless electronically or similarly saved or transmitted data, will, 
  283.    if a complaint is filed, be punished with the imprisonment for a 
  284.    term of up to 3 years or a fine of up to 40000 Swiss francs.
  285.    If the person charged has caused a considerable damage, the
  286.    imprisonment will be for a term of up to 5 years. The crime will
  287.    be prosecuted ex officio.
  288. 2. Anyone, who creates, imports, distributes, promotes, offers, 
  289.    makes available, circulates in any way, or gives instructions to 
  290.    create programs, that he/she knows or has to presume to be used
  291.    for purposes according to item 1 listed above, will be punished
  292.    with the imprisonment for a term of up to 3 years or a fine of up
  293.    to 40000 Swiss francs.
  294.    If the person charged acted for gain, the imprisonment will be for
  295.    a term of up to 5 years.
  296.  
  297. This English translation may not be perfect. The text will be available by
  298. January 1994 in all official Swiss languages: German, French and Italian.
  299.  
  300. The protected item of this article are just data (immaterial goods). Any damage 
  301. to computer systems, like the burning of floppies, plug-pulling, sledgehammers 
  302. etc. are damages to "physical/material things" covered by article 144 
  303. (Sachbeschaedigung, damage to property).
  304.  
  305. According to Swiss penal legislation the requisite knowledge and intent 
  306. ("knowingly and willingly") have not to be mentioned specifically.
  307.  
  308. As you may have noticed, the "registration" of IS security pros has been 
  309. dropped. The expression "that he/she knows or has to presume to be used for 
  310. purposes according to item 1 listed above" will exclude any penal responsibi-
  311. lity if the committer e.g. gave a virus to a professional anti-virus software 
  312. developer or is creating viruses for research, as in these and similar special 
  313. situations a misuse of the virus is highly unlikely. The committer will not be 
  314. prosecuted, if he had reasonable motives, to practically exclude a misuse. On a 
  315. retrospective analysis the judge will check if the person who gave a viruses to 
  316. somebody else (who misused it to cause damage) could in any way be blamed for 
  317. not having foreseen the occurred misuse. If you give a virus to a notorious 
  318. anti-virus professional, known for spreading viruses or source codes, or simply 
  319. to somebody who does not give a special guarantee for not misusing the virus, 
  320. you will be prosecuted. Who just trusted in the promise of a virus-recipient, 
  321. that the latter will not misuse it, will be in trouble, if he did not have a 
  322. very special additional reason to trust him. The law considers viruses as so 
  323. dangerous for the general public, that any act making them available to
  324. somebody else, represents a general risk to the general public. Who invokes an
  325. exception,that an act of making a virus available to somebody else, did not 
  326. represent such a risk has to prove it.
  327.  
  328. This may cause some concern, but law can not foresee any situation. Judges will 
  329. have to carefully check if the reasons to give a virus to somebody else, were 
  330. good enough to practically exclude any misuse.
  331.  
  332. Making a newly discovered virus available to McAfee or the Virus Test Center 
  333. will not be a crime, as long as the reputation of these recipients is above any 
  334. suspicion.
  335.  
  336. As the draft is now in the Parliament, there is practically no way to change
  337. any thing in this text anymore (by the administration). Now it is up to the 
  338. politicians to decide about the subject and to make any additional change.
  339.