Соединенные Штаты против Морриса (1991 г.)
| Соединенные Штаты против Морриса | |
|---|---|
 | |
| Суд | Апелляционный суд США второго округа |
| Полное название дела | Соединенные Штаты против Роберта Тэппана Морриса |
| Спорил | 4 декабря 1990 г. |
| Решенный | 7 марта 1991 г. |
| Цитирование | 928 Ф.2д 504 |
| Холдинг | |
| Правительству не нужно доказывать, что ответчик намеренно препятствовал использованию компьютеров, представляющих федеральный интерес, тем самым причинив убытки. Кроме того, Моррис действовал «без разрешения» в соответствии с разделом (a)(5)(A). Таким образом, решение подтверждено. | |
| Членство в суде | |
| Судьи сидят | Джон Ньюман , Ральф Уинтер , Т. Ф. Дэйли |
| Мнения по делу | |
| Большинство | Джон О. Ньюман |
| Примененные законы | |
| 18 Кодекса США § 1030(а)(5)(А) | |
Дело «Соединенные Штаты против Морриса» представляло собой апелляцию на приговор Роберту Тэппану Моррису за создание и распространение червя Морриса , одного из первых интернет- червей . По этому делу был вынесен первый приговор по Закону о компьютерном мошенничестве и злоупотреблениях . В ходе спора прояснилась большая часть формулировок, использованных в законе, который был существенно переработан в ряде обновлений, принятых за годы после его первоначальной разработки. Также было разъяснено понятие «несанкционированного доступа», которое занимает центральное место в законах США о компьютерной безопасности. [1] Это решение стало первым решением суда США, в котором упоминается « Интернет ». [2] которую он описал просто как «национальную компьютерную сеть». [1]
Предыстория дела
[ редактировать ]Роберт Таппан Моррис был студентом Корнеллского университета , который в 1988 году начал работу над одним из первых интернет- червей. При входе в школу ему был предоставлен явный доступ к компьютерной учетной записи Корнелла, и он использовал этот доступ для разработки своего червя. Моррис выпустил червя из Массачусетского технологического института , пытаясь скрыть его источник. Червь распространяется посредством четырех механизмов: [3]
- Из-за ошибки в Sendmail , почтовой программе.
- Через ошибку в Finger — программе, используемой для поиска информации о других пользователях на сетевых компьютерах.
- Благодаря функции «доверенных хостов», которая позволяет пользователям одной системы использовать другую систему без пароля.
- пароля Через перебор .
Червь был разработан таким образом, чтобы он не распространялся на уже зараженные им компьютеры. Однако, чтобы компьютеры не могли защититься от этого, притворяясь, что у них есть червь, в одном из семи раз он все равно заражал уже зараженный компьютер. Червь также был разработан таким образом, чтобы он удалялся при выключении зараженного компьютера, что предотвращало возникновение проблем при множественном заражении. Недооценка Моррисом скорости повторного заражения привела к тому, что эта защита оказалась неэффективной, и «десятки тысяч» компьютеров оказались в кататоническом состоянии из-за повторных заражений. [3] [4] По оценкам, на очистку после заражения червем требовалось от 200 до 53 000 долларов США на одно зараженное учреждение. [3]
Моррис был признан виновным Окружным судом США Северного округа Нью-Йорка в нарушении статьи 18 USC 1030(a)(5)(A) и приговорен к трем годам условно, 400 часам общественных работ, штрафу в размере 10 050 долларов США. и стоимость его надзора. [3]
Обсуждение
[ редактировать ]Юридический дискурс велся по трем основным вопросам: должен ли Моррис намереваться причинить ущерб, действительно ли Моррис получил несанкционированный доступ и правильно ли окружной суд проинформировал присяжных о тонкостях дела.
Намерение причинить ущерб
[ редактировать ]Как говорилось в 1991 году, § 18 USC § 1030(a)(5)(A) , являющийся частью Закона о компьютерном мошенничестве и злоупотреблениях, распространялся на всех, кто: [3]
(5) умышленно получает доступ к компьютеру федерального интереса без разрешения и посредством одного или нескольких случаев такого поведения изменяет, повреждает или уничтожает информацию на любом таком компьютере федерального интереса или предотвращает разрешенное использование любого такого компьютера или информации, и тем самым
(A) причиняет убытки одному или нескольким другим лицам на общую сумму 1000 долларов США или более в течение любого годичного периода;
Моррис утверждал, что к нему это не относится, поскольку правительство не могло убедительно доказать, что он намеревался нанести ущерб компьютеру, представляющему федеральные интересы. Компьютеры федерального значения определяются как компьютеры, участвующие в национальной или международной торговле или используемые в федеральных или правительственных учреждениях. [5] Правительство не согласилось, заявив, что, поскольку фраза «намеренно» отделяется запятой от остальной части раздела, она не обязательно применима. Такое использование знаков препинания для разделения наречий имеет прецеденты в деле Берлингтон № Р. Ко против Налогового комитета штата Оклахома и Комитета по безопасности потребительских товаров против GTE Sylvania, Inc. [6]
Суд также принял во внимание формулировку, использованную в предыдущих версиях закона, чтобы определить намерения Конгресса. В поправке 1986 года к закону в разделе 1030(a)(2) требование о психическом состоянии было изменено с «сознательно» на «намеренно». Это было сделано для того, чтобы запретить целенаправленный несанкционированный доступ, а не «ошибочные, непреднамеренные или неосторожные» действия. [7] Суд постановил, что, поскольку эта фраза «намеренно» была включена в закон, чтобы избежать наказания пользователей, которые случайно получили доступ к компьютеру, к которому у них не было разрешения, она применялась исключительно к статье «доступ», а не к статье «ущерб». . Нет никаких доказательств того, что Конгресс намеревался сделать законным случайное повреждение другого компьютера, поэтому спецификация «намеренно» там не была сделана. Кроме того, правительство предложило, чтобы многие другие подразделы статьи 1030, в частности (а)(1), продолжали повторять требование о психическом состоянии перед каждым пунктом, указывая, что отсутствие такого повторения в (a)(5)(A) является показательным. о кратковременности наречия «намеренно». [8]
Чтобы оспорить это утверждение, Моррис процитировал другой раздел отчета Сената: «Новый подраздел 1030(a)(5), который будет создан законопроектом, предназначен для наказания тех, кто намеренно изменяет, повреждает или уничтожает определенные компьютеризированные данные, принадлежащие другому». [9] Однако суд счел доказательства властей Российской Федерации об изменении формулировок закона более убедительными. [8]
Несанкционированный доступ
[ редактировать ]Моррис утверждал, что, поскольку ему был предоставлен доступ к компьютерам в Корнелле , Гарварде и Беркли , выпустив червя, он просто превысил разрешенный доступ, а не получил несанкционированный доступ. По этой причине он предположил, что его должным образом охватывает раздел (a)(3), а не (a)(5)(A). [10] Эта защита основана на другом разделе отчета Сената, в котором говорится, что Закон о компьютерном мошенничестве и злоупотреблениях будет нацелен на «посторонних» (людей, не уполномоченных использовать компьютеры федерального значения). [9] Поскольку Моррис действительно имел доступ к компьютерам такого рода, он заявил, что его действия не были полностью несанкционированными. Однако в вышеупомянутом отчете Сената также говорится, что закон применяется «в тех случаях, когда нарушение права собственности правонарушителем носит межведомственный характер». Суд пришел к выводу, что, поскольку червь Морриса проник в компьютеры правительственных ведомств США, в том числе военных, [4] 18 USC 1030, применимая к нему должным образом.
Суд также отметил, что, поскольку Моррис использовал программы sendmail и Finger не по назначению, его защита о «превышении авторизации» была еще больше ослаблена. Поскольку Моррис использовал эти программы только потому, что в них были дыры в безопасности, которые он мог использовать для получения доступа к компьютерам, к которым иначе он не мог бы получить доступ, такое использование является примером «несанкционированного доступа». Тот факт, что червь угадывал пароли для взлома других систем, еще раз подчеркивает этот момент. [10]
Правильная инструкция жюри
[ редактировать ]Моррис утверждал, что окружной суд неправильно ознакомил присяжных с особенностями его дела. Во-первых, он жаловался, что районный суд не предоставил присяжным определение «разрешения». Суд заявил, что слово «разрешение» является общеупотребительным и не требует определения. Апелляционный суд по этому делу согласился, сославшись на прецедент. [11] Моррис также утверждал, что окружной суд ошибочно не проинструктировал присяжных о «превышении разрешенного доступа», используя предложенное им определение. И снова Апелляционный суд согласился с решением Окружного суда, заявив, что дополнительное определение потенциально могло бы сбить с толку и что предложенная Моррисом инструкция была неверной. Кроме того, термин «превышение разрешенного доступа» подразумевает, что он менее серьезен, чем «несанкционированный доступ», но даже если бы это было так, Моррис нес ответственность по многим частям Закона о компьютерном мошенничестве и злоупотреблениях. [10]
Решение суда
[ редактировать ]Апелляционный суд США второго округа подтвердил решение окружного суда низшей инстанции, в котором Моррис был признан виновным в нарушении статьи 18 USC 1030(a)(5)(A), которое является уголовным преступлением. [1]
Прием кейса
[ редактировать ]В 1996 году в Закон о компьютерном мошенничестве и злоупотреблениях снова были внесены поправки, чтобы прояснить проблемы с намерениями, которые составляли большую часть дел США против Морриса . Наречия «сознательно» и «намеренно» были вставлены в большее количество мест в статуте, чтобы упростить судебные разбирательства с законом в будущем. [12]
Этот случай подтвердил силу Закона о компьютерном мошенничестве и злоупотреблениях. [13] До этого решения предполагалось, что Закон требует намерения причинить ущерб, что считалось очень трудно доказать. [13] Решение здесь показало, что это не так.
Ссылки
[ редактировать ]- ^ Перейти обратно: а б с Соединенные Штаты против Морриса (1991 г.) , 928 F.2d 504 , 505 (2-й округ 1991 г.).
- ^ Путь интернет-права: аннотированный путеводитель по юридическим ориентирам . 2011 Duke L. & Tech. 12 ред.
- ^ Перейти обратно: а б с д и Соединенные Штаты против Морриса (1991 г.) , 928 F.2d 504 , 506 (2-й округ 1991 г.).
- ^ Перейти обратно: а б Элмер-Девитт, Филип (14 ноября 1988 г.). «Технологии: Малыш вывел нас из строя» . Время.
- ^ Руководство по преследованию компьютерных преступлений. Архивировано 1 августа 2010 г. в Wayback Machine . Министерство юстиции США.
- ^ Соединенные Штаты против Морриса (1991) , 928 F.2d 504 , 507 (2-й округ 1991 г.).
- ^ С.Представитель. № 99-432, 99-й Конгресс, 2-я сессия. 5 (1986), переиздано в 1986 году USCode Cong. и Админ.Новости 2479, 2483
- ^ Перейти обратно: а б Соединенные Штаты против Морриса (1991 г.) , 928 F.2d 504 , 508 (2-й округ 1991 г.).
- ^ Перейти обратно: а б Отчет Сената, 10, USCode Cong. & Admin.News на 2488
- ^ Перейти обратно: а б с Соединенные Штаты против Морриса (1991 г.) , 928 F.2d 504 , 510 (2-й округ 1991 г.).
- ^ Соединенные Штаты против Шено , 844 F.2d 1124 , 1131 (5-й округ 1988 г.).
- ^ Стейплс, Уильям. Энциклопедия конфиденциальности: AM. Издательская группа Greenwood, 2007. Страница 108. ISBN 0-313-33477-3 .
- ^ Перейти обратно: а б Мелло, Сьюзен М. Применение противоядия от компьютерных вирусов: комментарий по делу США против Морриса 19 Rutgers Computer & Tech. ЖЖ 260 (1993)