Det är inget brott att skriva malware

Det är inget brott att skriva malware

Det är inget brott att skriva malware

Marcus Hutchins sägs ha erkänt att han skrivit malware i chat med andra. Åklagarsidan säger sig ha loggfiler med konversationer där Hutchins erkänt att han skrivit Kronos och att han i samrbete med en medarbetare även har sålt banktrojanen.

Då åklagarsidan sannolikt inte har lagt fram allt material så är det svårt att bedöma värst och tyngden i bevisningen. För diskussionens skull kan det vara lättare att ta ett hypotetiskt fall där en enskild skrivit om sitt utvecklande av malware i kommunikation med andra. Även om bevisläget kan tryckas sig vara glasklart så finns det en rad kniviga bevislägen som gör att det inte alls är säkert att det är den misstänkte som är skyldig.

Inget brott

Det är inget brott att skriva malware och det ska inte heller vara ett brott. Ska du lära dig hur saker fungerar, även om det är skadliga dataprogram så måste du tillåtas att skriva och testa dem. Säkerhetsföretag byter kod med varandra, kod från skadliga och farliga dataprogram vilket gör att inte heller innehav av skadlig kod bör vara olagligt. Skulle det vara olagligt att skriva och inneha skadlig kod så faller säkerhetsföretagens arbete ihop som ett korthus.

Åklagarsidan säger sig alltså ha loggfiler från chattjänster där Hutchins erkänner att han skrivit och sålt malware. Det kan ju te sug som mycket graverande men hur vet åklagarsidan att det är Marcus Hutchins som skriver?

Det är det första steget i beviskedjan.

Även om det kan styrkas att det är Hutchins dator använts så återstår fortfarande att bevisa att Hutchins satt vid tangentbordet.

Det är andra steget i beviskedjan och glöm inte bort att det är åklagarsidan som har bevisbördan, inte Marcus Hutchins.

Ursäkta

För tydlighetens skull så försöker jag inte ursäkta Marcus Hutchins, bara understryka att åklagarna har bevisvärden och även om Hutchins erkänner i domstol att han skrivit malware så är det i sig inte graverande. Det är det säkerhetsforskare, experter och hackare på det godas sida gör. För att studera, för att lära sig och för att utvärdera funktioner.

Det är det de måste tillåtas att få göra för att kunna skydda dig och mig.

Det är ett arbete som ibland rör sig i en gråzon och där du ibland har kontakter med ljusskygga individer som du måste ha kontakt med för att få loss information. Det är ett arbete som har stora likheter med journalistens. I den yrkesrollen så har du inbland kontakt med folk som har begått brott men som du ändå kommunicerar med därför att de har information som är av värde för dig.

Kompassen

Naturligtvis gäller det att hålla tunga rätt i minen och ha ordning på den etiska, moraliska och inte minst juridiska kompassen. Det faktum att Marcus Hutchins suttit på en chattjänst och berättat att han skrivit banktrojanen Kronos och sålt programmet till högstbjudande behöver inte betyda annat än att han ljugit för att locka fram information eller etablera en kontakt som han anser sig behöva. Det är en gammal arbetsmetod som ibland kallas att Wallraffa, att utge sig för att vara någon annan för att få fram information.

Ger du dig in i en chattkanal som är en mötesplats för folk som skriver datavirus och som lever på att bedra andra så kan det vara effektivt att ljuga som dina egna bedrifter.

Nu har jag inte en aning om det är vad Marcus Hutchins har gjort men enbart ett erkännande innebär inte skuld.

Åklagarsidan har en hel del som de måste kunna bevisa och Marcus Hutchins arbete ligger i en gråzon där lögnen kan visa sig vara ett både ett effektivt och ett nödvändigt vapen för at t få fram viktig information.

Länkar

Bleeping Computer

BBC

Engadget

 

This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.