امنیت

جهان براى هكرها ناامن مى شود

نویسنده: علی پرند
ناشر: روزنامه شرق


 جرایم رایانه اى امروزه بخشى از جرایم عادى كشورها به حساب مى آید و در این زمینه كشورهاى مختلف به وضع قوانین در این زمینه پرداخته اند و سال ها است در زمینه اصلاح و تكمیل این قوانین تلاش مى كنند. كشور سوئیس به عنوان یكى از كشورهاى اروپایى داراى یكى از كامل ترین قوانین مبارزه با این نوع از جرایم است و وقایع و اتفاقات مختلف نیز عملاً قدرت و تاثیرپذیرى آن را مورد محك قرار داده است.

براساس ماده ۱۴۴ از قانون مجازات سوئیس هر شخصى كه بدون مجوز، داده هاى ذخیره شده به روش الكترونیكى یا مشابه آن یا مخابره شده را اصلاح، پاك یا غیرقابل استفاده نماید در صورت طرح دعوى توسط خواهان، محكوم به حبس (بیش از ۳ سال حبس)، یا پرداخت جریمه (به بیش از ۴۰ هزار فرانك سوئیس) خواهد شد.

این میزان مجازات نشان دهنده شدت عملى است كه قانونگذاران این كشور براى مقابله با این دست از جرایم به خرج داده اند و تازه به این هم بسنده نشده و در صورتى كه مجرم، آسیب و خسارت زیادى را وارد آورده باشد، امكان اینكه حبس بیش از ۵ سال باشد وجود دارد. تعقیب این جرم هم از جانب دادستان و هم از جانب شاكى امكان پذیر است.

یكى از نمونه هاى قابل توجه در قانون مجازات سوئیس خسارت وارد شده بر اثر ورود ویروس كامپیوترى به سیستم است. ویروس هاى كامپیوترى غالباً از طریق پیوست هاى پست الكترونیك زمانى كه كاربر فایل پیوست را باز مى كند پخش و پراكنده مى شوند. به بیانى دقیق تر، خود دریافت كننده پست الكترونیك فرآیند تخریب را فعال مى سازد. با این وجود، عامل توزیع ویروس كامپیوترى به عنوان یك مجرم غیرمستقیم قلمداد مى شود. چون دریافت كننده اى كه فرآیند تخریب را خود آغاز مى كند از عواقب و پیامدهاى عمل خود آگاه نیست. با این همه رسیدگى قضایى به جرایمى از این دست تنها موقعى به جریان مى افتد كه شاكى وجود داشته باشد و اگر خسارت وارده بالغ بر ۱۰ هزار فرانك سوئیس باشد به جرم مزبور بدون نیاز به طرح دعوى خصوصى رسیدگى مى شود.

یكى از جالب ترین پرونده هایى كه در یكى از دادگاه هاى این كشور بررسى شد مربوط به دادگاه فردى بود كه تعدادى CD-ROM كه نرم افزارهاى هك و كرك در آن وجود داشت را به فروش رسانده بود. فرد متهم ۳ هزار نسخه از این سى دى رام ها را خریدارى كرد و سپس برخى از آنها را به طور مجانى میان خبرنگاران و برخى دیگر را به فروش رساند. این CD-ROM حاوى یك سند HTML بود كه توسط جست وجوگران قابل خواندن بود. در بین اطلاعات دیگر، فایل هاى متنى و نرم افزارهاى مرتبط با ویروس هاى كامپیوترى نیز وجود داشت.

بر روى این CD-ROM هیچ گونه ویروس قابل خواندن براى ماشین وجود نداشت. با این حال، حاوى كدهاى منبع ویروس هاى كامپیوترى و نحوه ساخت و تهیه آنها بود. متهم خودش این برنامه ها را ننوشته بود. مجوز این كار را از یك شركت سازنده آمریكایى دریافت كرده بود و CD-ROM ها را در سراسر جهان توزیع و به فروش مى رساند. هر چند او خود هیچ گاه اقدام به هك و كرك از این طریق نكرده بود اما دادگاه او را گناهكار شناخت و به ۳۰ هزار فرانك سوئیس محكوم شد. چنین شكلى از برخورد نشان دهنده آن بود كه حتى فروش نرم افزارهاى ویروسى و هك از سوى این كشور به شكل سخت گیرانه اى ممنوع شده و با عوامل آن برخورد مى شود. متهم این دادگاه البته بعداً سعى كرد با اشاره به این كه دستورالعمل ساخت و توزیع ویروس هاى كامپیوترى به شكل وسیع به صورت آن لاین روى اینترنت قرار دارند تا اندازه اى بار مجازات خود را سبك كند.

اما دادگاه نتیجه گرفت كه متهم مى توانسته با مقامات یا سایر متخصصین مشورت كرده و در نتیجه اطلاع و آگاهى هاى قانونى لازم را به دست آورد. با این واقعیت عمل او بدون مجازات نماند ولى در مجازات وى تخفیف داده شد.

نفوذ غیرمجاز
براساس قانون جرایم رایانه اى سوئیس هر شخصى كه بدون قصد تهیه داده ها براى خود از طریق وسایل انتقال آنها و بدون مجوز وارد سیستم پردازش داده هاى شخص دیگر كه در برابر دستیابى تحت حفاظت ویژه اى قرار دارد، شود، در صورت طرح دعوى، به حبس (بیش از ۳ سال) یا پرداخت جریمه (بیش از مبلغ ۴۰ هزار فرانك سوئیس) محكوم خواهد شد.
ماده ۱۴۳ STGB به عنوان قانون «مبارزه با هكرها» در قانون مجازات درج و گنجانده شده است.

منافع حقوقى تحت حمایت این ماده را مى توان به صورت حفظ «حریم خصوصى سیستم پردازش داده ها» كه در برابر دستیابى غیرمجاز تحت محافظت ویژه اى است، تشریح كرد. در اوایل سال ۱۹۹۸ یك دانش آموز مدرسه فدرال پلى تكنیك در شهر لوزان، با استفاده از یك ضعف امنیتى در سیستم كامپیوترى XSA، محافظ دستیابى به آن را از بین برده و به سیستم كامپیوترى آنها در زوریخ به صورت غیرمجاز دسترسى پیدا كرد. او به دایركتورى ریشه (root) دست یافت و كنترل و نظارت بر چندین كامپیوتر شبكه را به دست گرفت. این دانش آموز، نرم افزارهاى درب پشتى ((trap doors یا back doors را بر روى آنها نصب كرد كه او را قادر مى ساخت با میل و اراده خود هر وقت كه بخواهد مجدداً وارد سیستم شود. وى همچنین از برنامه هاى ربایش گذرواژه (password sniffers) استفاده كرده بود كه به طور خودكار كلیدهاى فشرده شده كاربران شبكه را ثبت مى كرد.

او به صورت دوره اى این سوابق ثبت شده را بررسى مى كرد و با استفاده از گذرواژه هاى به دست آمده قادر بود به سایر شبكه ها دستیابى پیدا نماید. یكى از آنها شبكه دانشگاه زوریخ بود. او عملیات خود را در شبكه دانشگاه مثل سیستم كامپیوترى XSA ادامه داد. وى براى مخفى نگه داشتن خود داده هاى مربوط به ردیابى را در سیستم ها تغییر مى داد و یا غیرفعال مى ساخت یا اینكه بعضى اوقات آنها را پاك مى كرد. اما سرانجام با مشخص شدن نفوذ وى به این سیستم وى دستگیر شد. دادگاه این دانش آموز را به علت نفوذ غیرمجاز به سیستم پردازش داده مجرم شناخت. او به ۱۵ روز حبس تعلیقى براى یك دوره آزمایشى و پرداخت هزار فرانك سوئیس به عنوان جریمه محكوم شد.

قاضى دادگاه حتى دستور داد راى صادره در وب سایت شهر واد (از تقسیمات كشورى سوئیس) به مدت دو سال منتشر و پخش شود. این كار قاضى دادگاه بیشتر از آن جهت انجام مى گرفت كه به نظر مى رسید تعدادى از دانش آموزان این مدرسه در فعالیت هاى «نفود غیرمجاز» دخالت داشته اند، قاضى حكم صادره را جهت پیشگیرى از ارتكاب «نفوذ غیرمجاز» توسط سایر دانش آموزان كه حائز نوعى جنبه حفاظت از منافع عمومى بود منتشر كرد.

مخالف جهانى شدن
در مورد دیگرى كه در زمستان ۲۰۰۱- ۲۰۰۰ روى داد، هكر ۲۰ ساله اى با نام D.S. كه مخالف سرسخت جهانى شدن بود، از كامپیوتر خود در برن وارد سرویس دهنده اجلاس جهانى اقتصاد (WEF) كه نشست هاى اقتصادى سطح بالا را سالانه در داوس (Davos) برگزار و سازماندهى مى نماید، شد. مقر سرویس دهنده WEF در ژنو است.

طبق گزارشات رسانه هاى خبرى، D.S. با ایجاد مانع بر سر راه پورت (درگاه) شماره ۱۴۳۳ اطلاعات را دریافت كرده و نام كاربرى خود را «sa» گذاشت و یك پسورد را بدون اینكه علایم ستاره مانند آن بر روى صفحه ظاهر شوند، تعیین نمود (با فشار دكمه return) D.S توانست اطلاعات محرمانه پایگاه داده ها، اعم از شماره كارت هاى اعتبارى، آدرس ها، آدرس هاى پست الكترونیك، شماره تلفن هاى خانگى و موبایل و كلمات عبور متعلق به تاجرین و بازرگانان، ماموران دولت، پژوهشگران و محققین و روزنامه نگارانى را به دست بیاورد كه طى سه سال گذشته در این اجلاس جهانى شركت و حضور پیدا كرده بودند (مثلاً بیل كلینتون، بیل گیتس، یاسر عرفات و خیلى شخصیت هاى دیگر). S.Dاز این فایل هاى داده نسخه بردارى كرد و آنها را بر روى یك CD-ROM كپى كرد و آن را به طور رایگان به یك هفته نامه با نام «Sonntagszeitung» فرستاد.

نكته جالب در محاكمه این هكر این بود كه با توجه به ضعف امنیتى سرویس دهنده WEF و عدم رعایت موارد حفاظتى بسیارى از حقوقدانان معتقد بودند كه این عمل فرد هكر قابل مجازات نیست چون دریافت اطلاعات از درگاه هاى عادى صورت گرفته است. این پرونده هنوز هم از سوى بخش قضایى سوئیس در حال پیگیرى است.

چنین موارد و نمونه هایى نشان دهنده این است كه كشورى مثل سوئیس با ایجاد قوانین متعدد عملاً موضوع جرایم رایانه اى را همچون جرایم عادى دنبال مى كند اما به دلیل ماهیت متفاوت این نوع جرایم حتى در مواردى همین قوانین نیز كارآمد و موثر نیستند. این به دلیل شكل جرایم رایانه اى است كه بسیار نو و متغیر هستند و عملاً به یك بازبینى دوره اى _ با توجه به پیشرفت هاى تكنولوژیك _ نیاز دارند.


​​