home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / cud5 / cud509d.txt < prev    next >
Encoding:
Internet Message Format  |  1995-01-03  |  4.8 KB
  1. Date: 22 Dec 92 15:31:52 EST
  2. From: Ken Citarella <70700.3504@COMPUSERVE.COM>
  3. Subject: 4--Balancing Computer Crime Statutes and Freedom
  4.  
  5.         An Illustration of How Computer Crime Statutes Try To
  6.         Balance Competing Interests of Security and Freedom
  7.               -- and Come Up With Interesting Answers
  8.  
  9.                 copyright 1992, Kenneth C. Citarella
  10.                 (CompuServe; 70700,3504)
  11.  
  12.         Computers deserve protection.  If we did not all agree on that
  13. state legislatures and the Congress would not have passed computer
  14. crime statutes.  Exactly how much protection to afford them, however,
  15. is the crux of the problem.  Sometimes resolving that gets confused
  16. with a desire to avoid criminalizing inquisitive and youthful computer
  17. intruders.
  18.  
  19.         The New York State computer crime statutes illustrate this
  20. confusion.  The basic computer crime in New York is Unauthorized Use
  21. of a Computer, a misdemeanor.  A person commits this crime when he
  22. uses, or causes to be used, a computer without authorization, and the
  23. computer is programmed to prevent unauthorized use.  Thus, the
  24. unauthorized use of any computer in New York which does not have
  25. user-id/password security or some equivalent is arguably lawful under
  26. this statute.  Moreover, under the definition of "uses a computer
  27. without authorization", the unauthorized user must be notified orally,
  28. in writing, or by the computer itself that unauthorized users are not
  29. welcome.
  30.  
  31.         There are, therefore, two threshold protections that a system
  32. owner must install to have his computer come under the protection of
  33. the New York unauthorized use statute.  First, there must be
  34. protective programming; second, there must a warning to the
  35. prospective intruder.  These obligations do not seem excessive
  36. regarding misuse by an employee or other user with limited access to
  37. the computer in question.  It is difficult to include with everyone's
  38. employment materials a written warning regarding unauthorized use of
  39. the computer, and it is certainly common enough to issue user-ids and
  40. passwords.
  41.  
  42.         Consider, however, the remote unauthorized user.  If a
  43. business has a computer with an unlisted modem number, has issued
  44. user-ids and passwords to its authorized users, has dial back modems,
  45. and has encrypted log-in procedures,  its computer may still not be
  46. protected by the unauthorized use statute.  Should an intruder locate
  47. the modem number by random demon dialling, guess at a password and
  48. encryption code, and enter the system to install and operate a pirate
  49. bulletin board, it may not be a criminal act.  As long as the intruder
  50. does not access government records, medical records, or corporate
  51. secrets, alter any file or program, or download anything from the
  52. system, there may not be a crime.  As long as the system did not
  53. display a warning that unauthorized users were not welcome, the crime
  54. of unauthorized use cannot occur.  Thus, the legislature has elevated
  55. the display of a few words almost certain to deter no one to far
  56. greater legal importance than actual technical protective steps, all
  57. in the name of not criminalizing our inquisitive youths.  Yet, if
  58. technical security procedures cannot convince them not to intrude upon
  59. a system, what importance can be attached to the displayed warning?
  60. Aren't unlisted phones, passwords, and other standard security
  61. procedures sufficient warning in and of themselves?  Or, is form
  62. really more important than substance?
  63.  
  64.         It is curious to note that the legislature seized upon notice
  65. as the prerequisite for computer crime law protection.  It is a crime
  66. to enter and drive away with a car without permission, even if the car
  67. door is open, the key in the ignition, and the engine running.  It is
  68. a crime to enter a premises without permission, even if the door is
  69. open, the lights on, and dinner on the table.  In either scenario,
  70. notice is implicit in the intruder's knowledge that he does not belong
  71. there.  The prosecutor must prove the absence of permission at trial,
  72. just as he rightly should in a computer crime case.  But under current
  73. legislation, egregious computer intrusions must go unprosecuted if,
  74. despite extensive technical protection, three little words --
  75. "Authorized Users Only" -- do not appear to warn an intruder not to
  76. enter where he already knows he does not belong.
  77.  
  78.         If computers are ever to become as integrated into our lives
  79. as cars and homes should they not be afforded the same protection
  80. under the criminal law?
  81.  
  82. ((The author is a Deputy Bureau Chief of the Frauds Bureau in the
  83. District Attorney's Office, Westchester County, New York.  The
  84. opinions expressed herein are purely personal and do not necessarily
  85. reflect the opinions or policies of the District Attorney's Office.))
  86.  
  87. Downloaded From P-80 International Information Systems 304-744-2253
  88.