Re: [情報] 英國立法禁止DOS攻擊
※ 引述《ilstkevin (羽龍)》之銘言:
: ※ 引述《mobilefox (行動狐狸)》之銘言:
: : 英國國會最近通過一項法案,禁止對電腦系統發動阻絕服務式攻擊(denial-of-service)
: : ,消除專家過去所憂心的「法律的灰色地帶」。
: : 英國女王8日批准的Police and Justice Bill 2006,明訂禁止損害任何電腦系統,
: : 防止或阻礙存取電腦程式或資料,或損害任何電腦程式或資料。
: : 犯下此類網路罪行的最高刑責也提升為5到10年刑期。
: : 在新法通過前,英國處理電腦犯罪的適用法律,
: : 是網際網路開始大規模普及前制訂的Computer Misuse Act 1990(電腦濫用法,簡稱CMA)
: : 。所謂阻絕服務式攻擊,是特定人士用大量資料造成電腦系統超載而無法回應。
: : CMA僅禁止對系統的未授權變更,對於使用電郵發動阻絕服務式攻擊,沒有明確的規定。
: : 2005年11月,英國公民David Lennon對前雇主發出500萬封電郵,
: : 造成對方的電郵伺服器當機。他在法庭上宣稱電郵伺服器的功能本就是收發電子郵件,
: : 不論他寄出多少封電郵,都不算是對該伺服器的未授權變更。
: : 主審的地方法院法官Kenneth Grant接受他的主張,認為寄發電郵不算對電郵伺服器的
: : 未授權變更,此人得以無罪開脫。地方法院的判決後來在上級法院被推翻,
: : Lennon被判罰在家監禁兩個月,且需戴上電子追蹤標籤
: : http://taiwan.cnet.com/news/software/0,2000064574,20111606,00.htm
: : ====================================================================
: : 台灣呢?
: : 應該是刑法第360條
: : 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,
: : 處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。
: : 不過這應該是結果犯,
: : 所以, 萬一我一直對你的server實施DOS攻擊,
: : 但是因為你家防火牆設定的好, 所以都沒事,
: : 那我好像也不該當第360條構成要件.
: "所以, 萬一我一直對你的server實施DOS攻擊,
: 但是因為你家防火牆設定的好, 所以都沒事,"
: 很抱歉小弟對這兩句話有些疑問
: 1.一但對某特定SERVER發動DoS攻擊,即使有防火牆也不見能防禦,如果能防禦DoS那根本就不用擔心DoS的攻擊
: 2.即使防火牆都能將DoS對Server的攻擊擋住,但防火牆能撐得住如此大的loading嗎?
: 當防火牆撐不住時,是intranet裡的server全部都無法提供服務了
: 3.以目前的技術防火牆是無法能承受住DoS的攻擊,目前業界一般都是使用IPS
: 來作為DoS/DDoS的防禦
: 綜合以上所以即使使用防火牆也不代表能夠阻擋DoS/DDos攻擊
: 更不要說會不夠成第360條的構成要件...."無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備"
: 其他相關設備也包含防火牆,所以仍就構成第360條的構成要件
: 以上是小弟的小小見解,謝謝!!
: 添源
哈~ 添源你說的沒錯
其實, 我們研究所 懂IPS的意思的人可能並不多.
不過, 你提到的狀況都是, 對於DoS DDoS的防禦機制,
無論是最古老的防火牆, 後來的IDS, 再後來的IPS 技術上的效力問題
我想討論的法律重點都不是在 "哪種device or system 能否承受住DDoS的攻擊"
事實上你我都能了解, 防火牆不是"無法承受", 而是"根本沒有辦法"用來阻絕DoS,
除非發生狀況後, MIS根據log 去手動 deny 某個 ip range
否則, 防火牆只是policy regulator, 而不是intrusion detection 的概念,
兩者的差異點 我想我們都很清楚.
(ps. 但話雖如此, 個人還是覺得如果cisco router的指令會下, 還是有點基本作用)
但我還是覺得用"防火牆" 可能比較容易得到其他人的意見,
原因有二,
第一, 我用意是要突顯刑法第360條, 只處罰結果犯,而不處罰危險犯的缺失
(複習刑法概念)
第二, 有幾個法律人知道IPS是什麼東西呢?
得到鼎哥的專業法律見解重要, 還是讓他們懂security的基本概念重要呢?
同樣的道理,
除非是特別針對virus or worm 等等的議題探討,
否則, 若同樣只是研究法律的觀念, 我會選擇以"病毒"一語帶過,
畢竟, 一定要去釐清 virus? worm? trojan? zombie? .... 的差異並沒有實益
所以,我必須以最概括性的"防火牆"來讓法律人知道我想講什麼東西,
大家聽過防火牆, 可是沒人聽過IDS、IPS、port、DMZ.....等等的,
否則, 和法律人討論資訊安全的法律問題, 容易失焦~ 會很累~
所以, 還是要回應一下你說的 -->"更不要說會不夠成第360條的構成要件"
事實上, 這就是詭異的地方,
因為第360條是結果犯, 必須要有 "致生損害於公眾或他人", 才是完整的符合構成要件,
所以, 這就是本法不完備的地方,
同樣的犯意, 甲對A公司, 乙對B公司進行Dos DDoS 攻擊, 姑且不論證據部份,
若A公司有個盡職的MIS, 沒有造成server 死掉, 則甲不夠成刑法第360條,
而B公司MIS 比較差, server 承受不了掛點了, 那乙符合第360條構成要件,
甲乙基於同樣的犯意, 相同的不法行為,
卻因為被害人A的網管技術比較好, 反而罰不到加害人甲,
這並不符合社會正義.
所以, 個人對於你的見解的小小回應就是,
也許刑法還沒修到抽象危險犯, 所以也許沒有完全瞭解我想表達的意思.
防火牆還是IPS哪個有用不重要, 法律方面的疑問才是重點,
我也是法律初學者, 以上也只是小弟的膚淺見解,
對於原先的疑問, 還是歡迎你給我更多的意見喔~~~~
--
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 編輯: mobilefox 來自: 210.209.162.76 (11/28 02:23)
討論串 (同標題文章)