home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / secpubs / cslaw.txt < prev    next >
Text File  |  1995-09-15  |  14KB  |  283 lines
  1. Gary S. Morris
  2. GSM Associates
  3. Suite 202
  4. 7338 Lee Highway
  5. Falls Church, Virginia 22046
  6. (703) 685-3021
  7.  
  8.  
  9.  
  10.                   Computer Security and the Law
  11.  
  12. I.  Introduction
  13.  
  14.      You are a computer administrator for a large manufacturing
  15. company.  In the middle of a production run, all of the
  16. mainframes on a crucial network grind to a halt.  Production is
  17. delayed costing your company hundreds of thousands of dollars.
  18. Upon investigating, you find that a virus was released into the
  19. network through a specific account.  When you confront the owner
  20. of the account, he claims he neither wrote nor released the
  21. virus, but admits that he has distributed his password to
  22. "friends" who need ready access to his data files.  Is he liable
  23. for the loss suffered by your company? In whole, or in part? And
  24. if in part, for how much?  These and related questions are the
  25. subject of computer security law.  The answers may vary depending
  26. on the state in which the crime was committed and the judge who
  27. presides at the trial.  Computer security law is a new field, and
  28. the legal establishment has yet to reach broad agreement on many
  29. key issues. Even the meaning of such basic terms as "data" can be
  30. the subject of contention.
  31.  
  32.      Advances in computer security law have been impeded by the
  33. reluctance on the part of lawyers and judges to grapple with the
  34. technical side of computer security issues [1].  This problem
  35. could be mitigated by involving technical computer security
  36. professionals in the development of computer security law and
  37. public policy.  This article is meant to help bridge the gap
  38. between the technical and legal computer security communities by 
  39. explaining key technical ideas behind computer security for
  40. lawyers and presenting some basic legal background for technical
  41. professionals.
  42.  
  43. II.  The Technological Perspective
  44.  
  45.      A. The Objectives of Computer Security
  46.  
  47.      The principal objective of computer security is to protect
  48. and assure the confidentiality, integrity, and availability of
  49. automated information systems and the data they contain. Each of
  50. these terms has a precise meaning which is grounded in basic
  51. technical ideas about the flow of information in automated
  52. information systems.  
  53.  
  54.      B.   Basic Concepts 
  55. Φ     There is a broad, top-level consensus regarding the meaning
  56. of most technical computer security concepts.  This is partly
  57. because of government involvement in proposing, coordinating, and
  58. publishing the definitions of basic terms [2].  The meanings of
  59. the terms used in government directives and regulations are
  60. generally made to be consistent with past usage.  This is not to
  61. say that there is no disagreement over definitions in the
  62. technical community. Rather, the range of such disagreement is
  63. much narrower than in the legal community.  For example, there is
  64. presently no legal consensus on exactly what constitutes a
  65. computer [3].
  66.  
  67.      The term used to establish the scope of computer security is
  68. "automated information system," often abbreviated "AIS."  An AIS
  69. is any assembly of electronic equipment, hardware, software, and
  70. firmware configured to collect, create, communicate, disseminate,
  71. process, store, and control data or information.  This includes
  72. numerous items beyond the central processing unit and associated
  73. random access memory, such as input/output devices (keyboards,
  74. printers, etc.)
  75.  
  76.      Every AIS is used by subjects to act upon objects.  A
  77. subject is any active entity that causes information to flow
  78. among passive entities called objects.  For example, subject
  79. could be a person typing commands which transfer information from
  80. a keyboard (an object) to memory (another object), or a process
  81. running on the central processing unit that is sending
  82. information from a file (an object) to a printer (another
  83. object).
  84.  
  85.      Confidentiality is roughly equivalent to privacy.  If a
  86. subject circumvents confidentiality measures designed to prevent
  87. its access to an object, the object is said to be "compromised." 
  88. Confidentiality is the most advanced area of computer security
  89. because the U.S. Department of Defense has invested heavily for
  90. many years to find ways to maintain the confidentiality of
  91. classified data in AIS [4].  This investment has produced the
  92. Department of Defense Trusted Computer System Evaluation
  93. Criteria [5], alternatively called the Orange Book after the
  94. color of its cover.  The Orange Book is perhaps the single most
  95. authoritative document about protecting the confidentiality of
  96. data in classified AIS. 
  97.  
  98.      Integrity measures are meant to protect data from
  99. unauthorized modification.  The integrity of an object can be
  100. assessed by comparing its current state to its original or
  101. intended state.  An object which has been modified by a subject
  102. without proper authorization is said to be "corrupted." 
  103. Technology for ensuring integrity has lagged behind that for
  104. confidentiality [4].  This is because the integrity problem has
  105. until recently been addressed by restricting access to AIS to
  106. trustworthy subjects. Today, the integrity threat is no longer
  107. tractable exclusively through access control.  The desire for
  108. wide connectivity through networks and the increased use of
  109. commercial-off-the-shelf software has limited the degree to whichΦmost AISs can trust its subjects.  Work in integrity has been
  110. accelerating over the past few years, and will likely become as
  111. important a priority as confidentiality in the future.
  112.  
  113.      Availability means having an AIS and its associated objects
  114. accessible and functional when needed by its user community. 
  115. Attacks against availability are called denial of service
  116. attacks.  For example, a subject may release a virus which
  117. absorbs so much processor time that the AIS becomes overloaded. 
  118. This area is by far the least well developed of the three
  119. security properties, largely for technical reasons involving the
  120. formal verification of AIS designs [4].  Although such
  121. verification is not likely to become a practical reality for many
  122. years, techniques such as fault tolerance and software
  123. reliability are used to mitigate the effects of denial of service
  124. attacks.
  125.  
  126.      C.  Computer Security Requirements
  127.  
  128.      The three security properties of confidentiality, integrity,
  129. and availability are achieved by labeling the subjects and
  130. objects in an AIS and regulating the flow of information between
  131. them according to a predetermined set of rules called a security
  132. policy.  The security policy specifies which subject labels can
  133. access which object labels.  For example, suppose you went
  134. shopping and had to present your driver's license to pick up some
  135. badges assigned to you at the entrance, each listing a brand
  136. name.  The policy at this store is that you can only buy brand
  137. names listed on one of your badges.  At the check-out line, the
  138. cashier compares the brand name of each object you want to buy
  139. with the names on your badges.  If there's a match, she rings it
  140. up.  But if you choose a brand name which doesn't appear on one
  141. of your badges, she puts it back on the shelf. You could be
  142. sneaky and alter a badge, or pretend to be your neighbor who has
  143. more badges than you, or find a clerk who will turn a blind eye. 
  144. No doubt the store would employ a host of measures to prevent you
  145. from cheating.  The same situation exists on secure computer
  146. systems.  Security measures are employed to prevent illicit
  147. tampering with labels, positively identify subjects, and provide
  148. assurance that the security measures are doing the job correctly. 
  149. A comprehensive list of minimal requirements to secure an AIS are
  150. presented in the Orange Book [5]. 
  151.  
  152. III.  The Legal Perspective
  153.  
  154.      A.   Sources of Computer Law
  155.  
  156.           The three branches of government, legislative,
  157. executive and judicial, produce quantities of computer law which
  158. are inveresly proportional to the amount of coordination needed
  159. for its enactment.  The legislative branch, consisting of the
  160. Congress and fifty state legislatures, produce the smallest
  161. amount of law which is worded in the most general terms.  For
  162. example, the Congress may pass a bill mandating that sensitive
  163. information in government computers must be protected.  TheΦexecutive branch, consisting of the Executive Office of the
  164. President and numerous agencies, issues regulations which
  165. implement the bills passed by legislatures.  Thus, the Department
  166. of Commerce may issue regulations which establish criteria for
  167. determining when economic information is sensitive and describe
  168. how it must be protected.  Finally, the judicial branch serves as
  169. an avenue of appeal and decides the meaning of the laws and
  170. regulations in specific cases.  After the decisions are issued
  171. (and in some cases appealed) they are taken as the word of the
  172. law in legally similar situations.  
  173.  
  174.      B. Current Views on Computer Crime
  175.  
  176.      Currently, there is no universal agreement in the legal
  177. community on what constitutes a computer crime.  One reason is
  178. the rapidly changing state of computer technology.  For example,
  179. in 1979, the U.S. Department of Justice publication [6]
  180. partitioned computer crime into three categories:  1) Computer
  181. abuse,  "the broad range of international acts involving a
  182. computer where one or more perpetrators made or could have made
  183. gain and one or more victims suffered or could have suffered a
  184. loss;"  2) Computer crime, "illegal computer abuse [that] implies
  185. direct involvement of computers in committing a crime;" and
  186. 3) Computer-related crime,  "any illegal act for which a
  187. knowledge of computer technology is essential for successful
  188. prosecution."  These definitions have become blurred by the vast
  189. proliferation of computers and computer related products over the
  190. last decade.  For example, does altering an inventory bar code at
  191. a store constitute computer abuse?  Should a person caught in
  192. such an act be prosecuted under both theft and computer abuse
  193. laws?  Clearly, advances in computer technology should be
  194. mirrored by parallel changes in computer law. 
  195.  
  196.      Another attempt to describe the essential features of
  197. computer crime has been made by Wolk and Luddy [1].  They claim
  198. that the majority of crimes committed against or with the use of
  199. a computer can be classified as follows:
  200.  
  201.      1) Sabotage: "Involves an attack against the entire
  202.      [computer] system or against its subcomponents, and may be
  203.      the product of foreign power involvement or penetration by a
  204.      competitor..."
  205.      2) Theft of services: "Using a computer at someone else's
  206.      expense."
  207.      3) Property crimes involving the "theft of property by and
  208.      through the use of computers." [7]  
  209.  
  210. A good definition of computer crime should capture all acts which
  211. are criminal and involve computers and only those acts. Assessing
  212. the completeness of a definition seems problematic, but is
  213. tractable using technical computer security concepts.  For
  214. example, consider the following matrix:
  215.  
  216.  
  217.                      Confidentiality    Integrity    AvailabilityΦ
  218. Sabotage                                    X             X
  219.  
  220. Theft of Services                                         X
  221.  
  222. Property Crimes             X                             X
  223.  
  224.  
  225. This shows that Wolk and Luddy's categorization is strong with
  226. respect to availability and weaker in the areas of
  227. confidentiality and integrity.  Indeed, upon closer examination
  228. it becomes apparent that there are ways to violate
  229. confidentiality and integrity which do not constitute sabotage,
  230. theft of services, or property crimes.  For example, a Trojan
  231. horse could append code to a word processor which sends copies of
  232. a user's confidential text as messages to the perpetrator's
  233. electronic mailbox. This isn't sabotage because no AIS
  234. functionality was destroyed or even altered; theft of services
  235. does not apply if the perpetrator is paying for his electronic
  236. mail account; and unless the confidential text was copyrighted,
  237. it is not a property crime. This analysis is significant because
  238. it demonstrates that examining a legal concept from a technical
  239. perspective can yield insights into its strengths and weaknesses
  240. and even suggest avenues for improvement.
  241.  
  242. IV.  Conclusion
  243.  
  244.      The development of effective computer security law and
  245. public policy cannot be accomplished without cooperation between
  246. the technical and legal communities.  The inherently abstruse
  247. nature of computer technology and the importance of the social
  248. issues it generates demand the combined talents of both.  At
  249. stake is not only a fair and just interpretation of the law as it
  250. pertains to computers, but more basic issues involving the
  251. protection of civil rights.  Technological developments have
  252. challenged these rights in the past and have been met with laws
  253. and public policies which have regulated their use.  For example,
  254. the invention of the telegraph and telephone gave rise to privacy
  255. laws pertaining to wire communications. We need to meet advances
  256. in automated information technology with legislation that
  257. preserves civil liberties and establishes legal boundaries for
  258. protecting confidentiality, integrity, and assured service. Legal
  259. and computer professionals have a vital role in meeting this
  260. challenge together.
  261.  
  262.                           REFERENCES
  263.  
  264. [1]  Stuart R. Wolk and William J. Luddy Jr., "Legal Aspects of
  265. Computer Use," Prentice Hall, 1986, pg. 129.
  266.  
  267. [2]  National Computer Security Center, "Glossary of Computer
  268. Security Terms," 21 October 1988.
  269.  
  270. [3]  Thomas R. Mylott III, "Computer Law for the Computer
  271. Professional," Prentice Hall, 1984, pg. 131.Φ
  272. [4]  Gasser, Morrie, "Building a Secure Computer System," Van
  273. Nostrand, 1988.
  274.  
  275. [5]  Department of Defense, "Department of Defense Trusted
  276. Computer System Evaluation Criteria," December 1985.
  277.  
  278. [6]  United States Department of Justice, "Computer Crime,
  279. Criminal Justice Resource Manual," 1979. 
  280.  
  281. [7]  Wolk and Luddy, pg. 117.
  282.  
  283.