A acusação de Kronos: É um crime criar e vender malwares? é um crime criar e vender malwares?

A acusação de Kronos: É um crime criar e vender malwares?

3 de agosto de 2017 às 10:52 PM
O Departamento de Justiça acusou Marcus Hutchins , um pesquisador de segurança, por criar e vender malwares. O Verge explica:
Um pesquisador de segurança notável foi preso pelo FBI, conforme relatado pela Motherboard. Marcus Hutchins (mais conhecido como MalwareTech) parece ter sido interrompido pelo FBI na tarde de ontem quando ele preparou-se para embarcar em Las Vegas de volta para sua casa em Londres. Hutchins estava nos EUA para as conferências de segurança Black Hat e Defcon, embora ele não apresentasse nenhuma pesquisa.
Hutchins foi preso por seu papel em "criar e distribuir o trojan bancário de Kronos", de acordo com uma acusação federal contra ele e um co-defensor não identificado. Kronos era um programa de malware que colhia credenciais bancárias on-line e dados de cartão de crédito, descobriu pela primeira vez em julho de 2014.


Hutchins foi preso por seu papel em "criar e distribuir o trojan bancário de Kronos", de acordo com uma acusação federal contra ele e um co-defensor não identificado. Kronos era um programa de malware que colhia credenciais bancárias on-line e dados de cartão de crédito, descobriu pela primeira vez em julho de 2014.
Isso levanta uma questão legal interessante: é um crime criar e vender malwares?
A acusação afirma que Hutchins criou o malware e um co-conspirador sem nome assumiu a liderança na sua venda. A acusação cobra uma série de crimes diferentes para isso: (1) conspiração para violar a Lei de Fraude e Abuso de Computadores; (2) três acusações de violar 18 USC 2512, que proíbe a venda e a publicidade de dispositivos de escuta telefônica; (3) uma contagem de escuta telefônica; E (4) uma contagem de violar a Lei de Fraude e Abuso de Computadores por meio da responsabilidade cúmplice - basicamente, ajudando e encorajando um crime de hacking.
As acusações são elevadas? Apenas com base em um primeiro olhar sobre o caso, meu sentido é que a teoria governamental do caso é bastante agressiva. Isso levará a alguns desafios legais significativos. É difícil dizer, neste ponto, como esses desafios serão lançados. A acusação é bastante buraco, e não temos todos os fatos ou mesmo o que o governo pensa serem os fatos. Então, embora não possamos dizer que essa acusação é claramente um excesso de alcance, podemos dizer que o governo está empurrando o envelope de algumas maneiras e pode ou não ter os fatos necessários para fazer o caso. Como sempre, teremos que ficar atentos.
Aqui está uma visão geral das seis contas na acusação, juntamente com meus pensamentos tentativos sobre eles.
Contagem Um: conspiração para danificar computadores
A primeira contagem carrega Hutchins e o co-conspirador sem nome (a quem chamarei de X) com conspirando para violar 18 USC 1030 (a) (5) (A). A seção 1030 (a) (5) (A) é o estatuto de danos ao computador. Ele punha o envio de um comando ou programa que intencionalmente danifica um computador sem autorização. Notavelmente, a acusação diz que a conspiração foi entre Hutchins e X. Juntos, diz, eles conspiraram para criar e vender o malware.
Esta carga me parece estranha. Se eu entendo corretamente, o governo está dizendo que o ato de vender o malware - distribuí-lo a um terceiro - foi o ato de causar danos ao computador. Com efeito, o governo trata a venda do malware como um uso do malware para danificar um computador. Eles estão dizendo que Hutchins e X conspiraram (formaram um acordo) para enviar o programa (distribuindo-o para o comprador) com a intenção de causar danos (eventualmente, embora indiretamente, quando o comprador o usou mais tarde para causar danos).
Nunca vi a Seção 1030 (a) (5) (A) usada dessa maneira antes. E para a cobrança de se adequar ao estatuto, o governo deve provar duas coisas que eles podem ou não conseguir provar.
Primeiro, o governo deve provar que Hutchins e X tiveram a intenção de danificar um computador. Ou seja, o objetivo de sua conspiração deve ter sido prejudicar a disponibilidade ou integridade de um programa ou dados. Talvez haja fatos que apoiem isso, mas, pelo menos, eles não aparecem na acusação. A acusação faz parecer que a finalidade de vender o malware era, bem, vender malware. Não é óbvio que Hutchins e X se importaram com o que o comprador fez com o malware depois de pagar. Se Hutchins e X não se importassem com o que o comprador fez com o malware, é difícil ver como eles poderiam ter um propósito de prejudicar a disponibilidade ou integridade de um computador.
Em segundo lugar, o governo deve provar que o acordo foi causar o resultado de danificar um computador. Num caso comum de 1030 (a) (5) (A), a causação é fácil. A pessoa envia o malware e o malware danifica a máquina. Aqui, porém, a teoria do governo agrega um intermediário: a teoria parece ser que Hutchins e X conspiraram, e o objetivo de sua atividade coletiva era causar danos, mesmo que o ato real de danificar um computador (se acontecesse) fosse Ser causado diretamente pelo comprador usando o malware em vez de por Hutchins e X.
Claro, provavelmente é o caso de Hutchins e X saberem que quem comprou o malware o usaria ilegalmente. Mas sob o estatuto, meramente o conhecimento não é suficiente. Para que Hutchins e X sejam responsáveis ​​por esta contagem, o comprometimento da disponibilidade e integridade da informação deve ter sido seu objetivo.
Counts Two, Three e Four: The 2512 Charges
Contesta dois, três e quatro violações alegadas de 18 USC 2512 . A seção 2512 é uma lei raramente usada que criminaliza a fabricação, venda ou publicidade para venda de dispositivos ilegais de escuta telefônica. A idéia básica é impedir a escutas telefônicas interferindo no mercado de dispositivos de telefonia móvel. Se você não pode anunciar, fabricar ou vender dispositivos de telefonia eletrônica legalmente, as pessoas que desejam se envolverem em escutas telefônicas ilegais não terão uma maneira fácil de encontrar os dispositivos ilegais e não estarão tão inclinados a se envolver em chamadas telefônicas.
Notavelmente, o crime aqui não é fazer, vender ou anunciar malware em geral. Em vez disso, está fazendo, vendendo ou anunciando "qualquer dispositivo eletrônico, mecânico ou outro, sabendo ou tendo motivos para saber que o design de tal dispositivo o torna principalmente útil para a intercepção sub-reptícia de comunicações de fio, oral ou eletrônica. "Em outras palavras, o problema é que o malware foi projetado para que seu principal uso fosse envolver-se em escuta telefônica secreta.
Uma questão legal levantada por essas taxas é se o software sozinho conta como um "dispositivo" na Seção 2512. A seção 2510 (5) define um "dispositivo eletrônico, mecânico ou outro" como "qualquer dispositivo ou aparelho que possa ser usado para interceptar um Comunicação por fio, oral ou eletrônica "sujeito a algumas exclusões não relevantes aqui. Na maioria dos casos de escuta telefônica, o uso de um programa de software para seqüência de fios pode ser considerado como um "dispositivo" porque o computador físico que executa o software é um dispositivo. Veja, por exemplo, Estados Unidos v. Szymuszkiewicz, 622 F.3d 701, 707 (7º Cir. 2010).
Isso não ajuda em um caso da Seção 2512, no entanto, pelo menos, quando o governo está cobrando a criação, venda e publicidade de código de computador sozinho. E há, pelo menos, autoridade de que um programa de computador não pode ser um "dispositivo" em um caso da Seção 2512.
Em Potter v. Havlice, 2008 WL 2556723 (SD Ohio, 2008), o demandante processou o réu na seção 2512 para fazer e vender "Activity Monitor", que foi faturado como "um pacote de software espião ideal para garantir que você tenha o controle que você precisa Sobre a atividade do filho ou do cônjuge quando estão online ". Depois de rejeitar a responsabilidade da Seção 2512 porque não há causa civil de ação nos termos do estatuto, o tribunal acrescentou uma participação alternativa que" Monitor de atividade não é um dispositivo conforme contemplado na Seção 2512. "
A seção 2512 torna ilegal o fabrico e / ou o tráfico de "qualquer dispositivo eletrônico, mecânico ou outro". A frase "dispositivo eletrônico, mecânico ou outro" é definida em 18 USC § 2510 (5) para significar geralmente "qualquer dispositivo ou aparelho que possa ser usado para interceptar uma comunicação eletrônica, eletrônica ou via ...". Claramente, Monitor de atividade Sozinho não pode ser usado para interceptar comunicações. Ele deve ser instalado em um dispositivo, como um computador, para poder fazê-lo.
Além disso, a definição da palavra "dispositivo" não abrange software como o Activity Monitor. O Merriam Webster Dictionary define "dispositivo" como "um equipamento ou um mecanismo projetado para servir um propósito especial ou executar uma função especial". O Monitor de atividade sozinho não é um equipamento ou um mecanismo.
Havlicek envia uma outra definição da palavra "dispositivo" para consideração. De acordo com Havlicek, o American Heritage Dictionary of the English Language afirma que um "dispositivo" é "algo concebido ou construído para um propósito específico" ou "um plano ou esquema". Novamente, no entanto, software de computador sozinho, Activity Monitor neste caso , Não se encaixa nesta definição.
Não sei se outro tribunal seguirá esse raciocínio. Mas é um problema que será litigado.
Count Five: Wiretapping
A quinta contagem da acusação carrega Hutchins e X com interceptação intencional, tentando interceptar ou procurar qualquer outra pessoa para interceptar ou tentar interceptar uma comunicação eletrônica. Basicamente, está dizendo que eles outransmitiram alguém, tentaram trocar alguém, tentaram persuadir alguém a fazer um telefonema para alguém, ou ajudou e encorajou a escutas telefônicas de outra pessoa. Não sabemos qual a teoria que o governo está buscando aqui, e não temos fatos suficientes para julgar o pedido. A acusação usa a data em que eles venderam uma cópia do programa como a data relevante, de modo que é provavelmente o ato que eles têm em mente. Mas nós não sabemos, então é difícil entrar em muitos detalhes sobre essa contagem.
No entanto, é importante notar que todas essas teorias exigem que o governo demonstre a intenção de promover um atentado ilegal. Hutchins e X precisam ter, de forma efetiva e intencionalmente, escutas telefônicas de alguém, terem dado um passo substancial em relação a escutas telefônicas de alguém ou ter auxiliado e encorajado alguém que realmente fez uma ligação telefônica com alguém. Simplesmente escrevendo o programa e vendendo - com o ato de escutas telefônico real sendo o ato do comprador e até o comprador - provavelmente não conta.
Count Six: Computer Damage
A última contagem na acusação impõe a Hutchins e X com a violação do estatuto de danos ao computador na data em que eles venderam uma cópia do programa. Isso é semelhante à contagem da conspiração na contagem, mas é alegar o crime substantivo. Não só eles concordaram em vender o programa na contagem um, mas eles realmente venderam o programa na contagem seis.
Essa contagem levanta os mesmos desafios que contam um. A teoria parece ser que vender uma cópia de malware é semelhante ao uso do malware para danificar um computador. Mas para chegar lá, eles precisam mostrar que Hutchins e X tiveram a intenção de prejudicar a disponibilidade ou integridade de informações em um computador e não apenas a intenção de distribuir o malware a um cliente pagante. O governo também precisa provar que seu ato de distribuir o malware foi a causa imediata do dano resultante, mesmo que o ato intencional de terceiros de enviar o malware fosse necessário para que isso acontecesse.

Orin Kerr é professora de pesquisa Fred C. Stevenson na Faculdade de Direito da Universidade George Washington, onde ensinou desde 2001. Ele ensina e escreve na área de procedimento criminal e lei de crime informático.