home *** CD-ROM | disk | FTP | other *** search
/ ftp.pasteur.org/FAQ/ / ftp-pasteur-org-FAQ.zip / FAQ / computer-virus / alt-faq / part3 < prev    next >
Encoding:
Internet Message Format  |  2000-03-24  |  13.8 KB

  1. Path: senator-bedfellow.mit.edu!dreaderd!not-for-mail
  2. Message-ID: <computer-virus/alt-faq/part3_953842042@rtfm.mit.edu>
  3. Supersedes: <computer-virus/alt-faq/part3_952514862@rtfm.mit.edu>
  4. Expires: 21 Apr 2000 20:07:22 GMT
  5. References: <computer-virus/alt-faq/part1_953842042@rtfm.mit.edu>
  6. X-Last-Updated: 2000/02/29
  7. Organization: none
  8. From: George Wenzel <gwenzel@telusplanet.net>
  9. Newsgroups: alt.comp.virus,comp.virus,alt.answers,comp.answers,news.answers
  10. Followup-To: alt.comp.virus
  11. Subject: [alt.comp.virus] FAQ Part 3/4
  12. Approved: news-answers-request@MIT.EDU
  13. X-no-archive: yes
  14. Originator: faqserv@penguin-lust.MIT.EDU
  15. Date: 23 Mar 2000 20:09:06 GMT
  16. Lines: 312
  17. NNTP-Posting-Host: penguin-lust.mit.edu
  18. X-Trace: dreaderd 953842146 2960 18.181.0.29
  19. Xref: senator-bedfellow.mit.edu alt.comp.virus:101520 comp.virus:30978 alt.answers:47998 comp.answers:40197 news.answers:180076
  20.  
  21. Archive-name: computer-virus/alt-faq/part3
  22. Posting-Frequency: Fortnightly
  23. URL: http://www.sherpasoft.org.uk/acvFAQ/
  24. Maintainer: Co-maintained by David Harley, Bruce Burrell, and George Wenzel 
  25.  
  26. -----BEGIN PGP SIGNED MESSAGE-----
  27.  
  28.                alt.comp.virus (Frequently Asked Questions) 
  29.                *******************************************
  30.  
  31.                        Version 1.1 : Part 3 of 4
  32.                       Last modified 19th August 1999
  33.  
  34.  
  35.                     ("`-''-/").___..--''"`-._
  36.                      `6_ 6  )   `-.  (     ).`-.__.`)
  37.                      (_Y_.)'  ._   )  `._ `. ``-..-'
  38.                    _..`--'_..-_/  /--'_.' ,'
  39.                   (il),-''  (li),'  ((!.-'
  40.  
  41.  
  42.  
  43. ADMINISTRIVIA
  44. =============
  45.     
  46. Disclaimer
  47. - ----------
  48.  
  49. This document is an honest attempt to help individuals with computer
  50. virus-related problems and queries. It can *not* be regarded as being
  51. in any sense authoritative, and has no legal standing. The authors
  52. accept no responsibility for errors or omissions, or for any ill effects
  53. resulting from the use of any information contained in this document.
  54.  
  55. It should not be assumed that this document is up-to-date in all
  56. respects.
  57.  
  58. Not all the views expressed in this document are those of the maintainers,
  59. and those views which *are* those of the maintainers are not necessarily 
  60. shared by their respective employers.
  61.  
  62. Copyright Notice
  63. - ----------------
  64.  
  65. Copyright on all contributions to this FAQ remains with the authors
  66. and all rights are reserved. It may, however, be freely distributed
  67. and quoted - accurately, and with due credit. B-)
  68.  
  69. It may not be reproduced for profit or distributed in part or as a whole
  70. with any product or service for which a charge is made, except with
  71. the prior permission of the copyright holders. To obtain such permission,
  72. please contact one of the co-maintainers of the FAQ.
  73.  
  74.       David Harley  <D.Harley@icrf.icnet.uk>
  75.         George Wenzel <gwenzel@telusplanet.net>
  76.         Bruce Burrell <bpb@umich.edu>
  77.  
  78. [Please check out the more detailed copyright notice at the beginning
  79. of part 1 of the FAQ]
  80.  
  81. - ------------------------------------------------------------------------
  82.  
  83. TABLE OF CONTENTS
  84. *****************
  85. ++ See Part 1 of this FAQ for the full Table of Contents
  86.  
  87.     Part 3
  88.     ------
  89.     (13) What are the legal implications of computer viruses?
  90.  
  91. (13) What are the Legal Implications of Computer Viruses? 
  92. =========================================================
  93.  
  94. **********************************************************************
  95. The material in this section has no formal legal standing. It consists
  96. of several persons' attempts to interpret and clarify the legal
  97. issues, and cannot possibly be authoritative.  If you want bona-fide
  98. legal advice, seek a qualified lawyer.
  99.  
  100. This section hasn't been updated in a good while, and isn't likely
  101. to be in the near future, so it can't possibly be more than a rough
  102. guide to the issues.  
  103. **********************************************************************
  104.  
  105. Overview
  106. - --------
  107.  
  108. It isn't possible to deal briefly with all the relevant legislation in 
  109. one country, let alone all of them. In the USA, local statutes may be
  110. much more rigorous than federal legislation, which is, arguably, more
  111. concerned with computers in which the government has an interest than 
  112. it is with those belonging to individuals.
  113.  
  114. In many countries, writing of viruses is not an offence in itself, 
  115. whereas in others, not only is this not the case, but distribution, 
  116. even the sharing of virus code between antivirus researchers is, 
  117. at least technically, also an offence. 
  118.  
  119. Once a virus is released 'into the wild', it is likely to cross 
  120. national boundaries, making the writer and/or distributor answerable 
  121. for his/her actions under a foreign legal system, in a country 
  122. he/she may never have visited.
  123.  
  124. Where virus writing and distribution may not apply locally in a
  125. particular case, the individual may nevertheless be subject to
  126. civil action: in other words, where you may be held to have
  127. committed no offence, you may still be sued for damage.
  128.  
  129. Some of the grounds on which virus writing or distribution may be 
  130. found to be illegal (obviously I'm not stating that all these grounds
  131. will apply at all times in all states or countries!) include:
  132.  
  133. * Unauthorized access - you may be held to have obtained unauthorised
  134.   access to a computer you've never seen, if you are responsible for
  135.   distribution of a virus which infects that machine.
  136. * Unauthorized modification - this could be held to include an infected
  137.   file, boot sector, or partition sector.
  138. * Loss of data - this might include liability for accidental damage as
  139.   well as intentional disk/file trashing. 
  140. * Endangering of public safety
  141. * Incitement (e.g. making available viruses, virus code, information
  142.   on writing viruses, and virus engines) 
  143. * Denial of service 
  144. * Application of any of the above with reference to computer systems or 
  145.   data in which the relevant government has an interest.
  146.  
  147. Since the law does vary widely from country to country (and even
  148. within countries), it is entirely possible for one to break
  149. the law of another country, state, province, or whatever, without ever 
  150. leaving your own, and since extradition treaties do exist, perhaps it's
  151. best to assume that any act that might be construed as being or causing 
  152. wilful and malicious damage to a computer or computer system could 
  153. get you a roommate with undesirable tendencies and no social graces. :)
  154.  
  155. The best advice to give to any one contemplating a possibly illegal act
  156. would be to contact their local Crown Prosecutor, Crown Attorney, 
  157. District Attorney, or whatever label the local government prosecutor 
  158. wears.  Acting on the advice of one's own attorney doesn't render one 
  159. immune from prosecution, and the cost of defence can be high, even if 
  160. successful.
  161.  
  162. An extremely biased opinion is that very often attorneys attempt to
  163. provide the answer they believe the client wishes to hear, or give an
  164. opinion in areas where they have no real expertise.  Prosecutors, on
  165. the other hand, tend to look at a particular action in the light of
  166. whether a successful prosecution can be mounted.  If the local Crown
  167. Prosecutor were to suggest that something was a Bad Thing, I should be
  168. extremely nervous about doing it. :)
  169.  
  170. USA & Canada
  171. - ------------
  172.  
  173. The following is an interpretation of the laws in the USA and 
  174. Canada, and has no legal standing as an authoritative document in 
  175. those countries or any other. Relevant legislation in other parts of 
  176. the world may be very different and in some cases far stricter.
  177.  
  178. Many thanks to David J. Loundy for his assistance with the legalities
  179. regarding computer crime.  A valuable source of information on this
  180. topic can be found in his E-Law paper, which can be accessed
  181. via the URL: 
  182.  
  183.     http://www.Loundy.com/E-LAW/E-Law4-full.html
  184.  
  185. It is illegal in both the USA and Canada to damage data within
  186. a computer system which is used or operated by the
  187. government. This means that if you write a virus, and it
  188. eventually infects a government system (highly probable),
  189. you are in violation of the law. Inclusive in this category
  190. are damages incurred due to computer stoppages (i.e.
  191. writing a virus that causes a computer to crash or become
  192. unusable), and viruses that destroy data.
  193.  
  194. The question regarding the writing of malevolent computer
  195. viruses being illegal isn't really that hard to answer: It is
  196. illegal to write and spread a virus that infects a government
  197. system.  Federal law is unclear as to whether this extends to
  198. private computer systems as well, but State statutes are frequently 
  199. unequivocal about defining virus-related crimes against property.
  200.  
  201. The question has come up, however, about the distribution
  202. of viruses and virus-related programs.  A general guideline
  203. is that it is legal to distribute viruses, for example, on a BBS,
  204. as long as the people who are downloading the virus know
  205. EXACTLY what they are getting.  If you intentionally infect a
  206. file and make it available for downloading, you may be
  207. subject to prosecution.  Your conscience should be your
  208. guide in this kind of a situation.  If a virus distributed by you
  209. is used to damage or otherwise modify a major system, you can be 
  210. held accountable.
  211.  
  212. Note that there are different kinds of distribution for viruses.  
  213. If you simply make a virus available on a web page, and clearly 
  214. label it as such, then you are unlikely to face any (criminal)
  215. consequences.  The possibility exists, however, that you could
  216. be charged under "incitement" laws - in other words, it could
  217. be argued that distributing viruses on web pages (even if clearly
  218. labeled as such) amounts to inciting other people to use the 
  219. viruses to break laws.  
  220.  
  221. If you distribute the virus via newsgroups, however,
  222. you may be held liable.  Distributing viruses via newsgroups, e-mail 
  223. lists, and the like can lead to prosecution because these media 'push'
  224. viruses to people who would otherwise not want them on their systems.  
  225. This is not the case with simply placing a virus on a web page (provided
  226. your ISP doesn't have problems with it).   Keep in mind, however, that
  227. an ISP's stance on viruses can change quickly if negative publicity 
  228. comes about due to their inaction in removing the viruses on their
  229. systems.
  230.  
  231. The reason that the explanations in this section are vague
  232. is that the laws in various states, provinces, etc., are
  233. different, and you should check with your local police before
  234. you decide you want to distribute viruses. 
  235.  
  236. If you spread a virus unknowingly, you generally cannot be
  237. prosecuted unless it can be proven that you spread the
  238. virus due to pure carelessness.  The definition of
  239. carelessness has not been tested in a court of law, as
  240. far as I know at the date of writing (9/22/95)
  241.  
  242.  
  243. The Canadian Criminal Code
  244. - --------------------------
  245.  
  246. Please bear in mind that the following information was culled from the
  247. Criminal Code in 1993 and those sections may have been expanded or 
  248. revised since then, or possibly some computer-specific legislation may
  249. have been enacted of which we are unaware.
  250.  
  251. No mention is made in the Code (as of 1993) of computer viruses as such, 
  252. but it would seem that prosecution under Sec. 430 (Mischief) or 
  253. section 342.1 (Unauthorized use of computer) would be appropriate.
  254.  
  255. Apparently the laws governing trespass have not been considered as
  256. having any application in cyberspace.  Offenders under section 342.1
  257. would be charged with mischief, which covers a multitude of sins 
  258. under Canadian law.  The penalties stipulated in Sec. 342.1 are the 
  259. same as the penalties for sabotage, just as a point of interest.
  260.  
  261. A prosecutor would probably deal with incitement (i.e. inciting 
  262. somebody else to maliciously use viruses) under Sec. 21 (Parties 
  263. to offence), Sec. 463 (Attempts), or Sec. 465 (Conspiracy).
  264.  
  265. Sec. 21-24 of the Criminal Code may be of interest because they
  266. detail aiding and abetting, incitement, and related issues which 
  267. have some application in the realm of viruses. 
  268.  
  269. Under certain circumstances, laws in other countries may be applicable
  270. in cyberspace, where there are no formal territorial boundaries.  For 
  271. instance, Sec. 465 (4) of the Canadian Criminal Code stipulates that every 
  272. one, "while in a place outside Canada" conspires to commit an offence in 
  273. Canada "shall be deemed to have conspired in Canada to do that thing."
  274.  
  275. The UK
  276. - ------
  277.  
  278. In the UK, the Computer Misuse Act makes it a crime to make an
  279. unauthorised modification on a computer. If you own a computer, you
  280. can authorise anything you want for that computer, so you can
  281. spread a virus on a computer you own. A virus makes a modification,
  282. so if someone deliberately spreads a virus on someone else's
  283. computer, that's a crime. Giving a virus to someone else isn't a
  284. crime if it's with his/her knowledge and permission, however. So,
  285. sending a diskette with a virus on to an AV company, together with
  286. a note saying "There's a virus on this disk, please investigate it
  287. for me" is legal.
  288.  
  289. If an action is a crime, then encouraging that action can also be a
  290. crime ("incitement").
  291.  
  292. If you spread a virus unwittingly, then it isn't a crime, as you
  293. don't have "intent".
  294.  
  295. If someone is negligent, and so spreads a virus (even unwittingly),
  296. then there could be a civil action for damages through negligence.
  297.  
  298. Further Information
  299. - -------------------
  300.  
  301. Computer Crime (Icove, Seger, Von Storch) - O'Reilly
  302. Computer Law & Security Report (periodical) - Elsevier Advanced Technology
  303.  
  304. Dr. Alan Solomon includes information on Hacking and Virus Laws in the
  305. UK and elsewhere on his webpage at:
  306.  
  307.     http://www.pcug.co.uk/~drsolly/
  308.  
  309. The ICSA has details on state computer crime laws:
  310.       
  311.       http://www.icsa.net/icsalaws/
  312.  
  313. Try also:
  314.  
  315.     http://www.law.cornell.edu/
  316.  
  317.  
  318. - -----------------------------------------------------------------------
  319.  
  320. End of a.c.v. FAQ Part 3 of 4
  321.  
  322. -----BEGIN PGP SIGNATURE-----
  323. Version: PGPfreeware 6.5.1 for non-commercial use <http://www.pgp.com>
  324. Comment: PGP Key ID 0xDCC35C75 available on Keyservers
  325.  
  326. iQCVAwUBN7xpObcpzG7cw1x1AQELYAP/XC7bnLxDZLO46JQNy5SN9Y7nlVbGhzen
  327. 31HAtN1Xsz2vLaqHV/EUKgFQFz+JFUJY35F24iVGqknZLYu2edyC/tjO/FOAv/kX
  328. qHOh4mEeXYXEf/AsXck3hrnwDMw3z+DR7lgSqeJzE4bri8DKEDsBrCyuBmE0DmsK
  329. BpFyL0Jc6ak=
  330. =ogr9
  331. -----END PGP SIGNATURE-----
  332.  
  333.