جرم = بر هم زدن امنیت یا تهدید آن؟

توسط منتشر شده تالیف

امروز عصر به دفتر آقای محمد رادپور رفتم.  متاسفانه وقتم کم بود و  ملاقات کوتاهی داشتیم. ایشان نویسنده «ایران داوری» میباشند و ضمنا نویسنده کتاب بسیار ارزشمند «مجموعه قوانین و مقررات IT» (نشر جوان – زمستان ۱۳۸۵). لطف کردند و یک نسخه از کتاب مذکور را به اینجانب هدیه کردند.

بزودی در مورد کتاب در پست مجزایی بیشتر صحبت خواهم کرد.

با دیدن کتاب ایشان، یاد یک فایل قدیمی افتادم. در بکاپها گشتم و آنرا پیدا کردم. اگر تاریخ فایلی که دارم درست باشد، مربوط به تاریخ ۱/۱۲/۲۰۰۰ مصادف با ۱۰ آذر ۷۹ است.  مدتها پیش یکی از دوستان که در تهران به کار وکالت مشغول است (آقای حسینی) تماس گرفت و گفت میخواهند پیش‌نویس قانون جرایم رایانه‌ای را تهیه کنند. داریم نظرات متخصصین را جمع میکنیم. شما هم اگر نقطه نظری داری، بنویس. نمیدانم چقدر پیشنهاد من موثر بوده؟ متن زیر عین فایل پیش‌نویس است:

بسمه تعالی

تعریف جرم ؟!
فرض: با توجه به مقوله امنیت در سیستم های کامپیوتری از همه ابعادش
جرم = بر هم زدن امنیت یا تهدید آن !
(ضمیمه یک)
توضیح: امنیت، محافظت از دسترسی، صحت و تمامیت اطلاعات میباشد و شامل مقوله‌های امنیت فیزیکی – سخت‌افزار – نرم‌افزار – داده‌ها و نیروی انسانی مرتبط با سیستمهای کامپیوتری (شامل تحلیلگر و طراح – برنامه‌نویس – راهبر سیستم – اپراتور – کاربر) میباشد.

منابع یا ثروتهای سیستمهای کامپیوتری: سخت‌افزار – نرم‌افزار – داده‌ها- نیروی انسانی

تهدیدات امنیت سیستمهای کامپیوتری:
۱- وقفه: از دست رفتن یا خارج از دسترس شدن منابع کامپیوتری
۲- ساخت: جعل منابع کامپیوتری
۳- تغییر: دستیابی و تغییر غیر مجاز منابع
۴- جلوگیری: دستیابی غیر مجاز منابع

اصل ارزش زمانی:
اقلام کامپیوتری (خصوصا داده‌ها) تا زمانی نیاز به حفاظت دارند که ارزش خود را از دست نداده باشند.
بعبارت دیگر هر یک از تهدیدات سیستمهای کامپیوتری زمانی جرم محسوب میشوند که در دست حفاظت باشند.
نکته: مجازات متناسب با سطح تخصص مرتکب جرم؟!
با فرض فوق برای تعریف جرم؛ جرائم کامپیوتری شامل موارد زیر است:

جرائم مربوط به سخت‌افزار
۱_ سرقت یا ایجاد خرابی در بخشهای سخت‌افزاری شبکه‌های کامپیوتری و سرویس دهنده‌های راه دور اعم از پردازنده‌ها – وسایل ارتباطی و کانالهای مخابراتی (کابلها – خطوط تلفن – بی‌سیم – خطوط مایکروویو و ماهواره) و دستگاههای ورودی و خروجی و حافظه‌های جانبی به منظور دستیابی به منابع نرم‌افزاری و داده‌ها یا جلوگیری از سرویس‌دهی
۲_ سرقت یا ایجاد خرابی در امکانات سخت‌افزاری کامپیوترهای بزرگ به منظور فوق
۳_ سرقت یا ایجاد خرابی در امکانات سخت‌افزاری مراکز کامپیوتر شخصی یا کامپیوترهای شخصی به منظور فوق
۴_ ایجاد تغییر عمدی در سخت‌افزارها به نحویکه دیگر قادر به اجرای کامل نرم‌افزاری نباشند.
۵_ دسترسی غیرمجاز به منابع سخت‌افزاری اعم از شبکه‌های کامپیوتری (گسترده و محلی) – کامپیوترهای بزرگ و کوچک به منظور دستیابی به منابع نرم‌افزاری و داده‌ها.
۶_ سعی در دسترسی غیرمجاز به منابع سخت‌افزاری

جرائم مربوط به نرم‌افزار
۱_ سرقت نرم‌افزار
۲_ حذف سیستم عامل یا برنامه‌های کاربردی دیگر به نحویکه:
الف _ غیرقابل احیا باشد
ب _ ناقص شود (حذف قسمتی)
ج _ قابل احیا باشد
۳_ ایجاد تغییر در سیستم عامل یا برنامه‌های کاربردی از طریق اعمال انواع ویروس یا طرق دیگر به نحویکه:
الف _ غیرقابل استفاده شود
ب _ ناقص شده و برخی از کارهایی که باید انجام دهد را انجام ندهد
ج _ علاوه بر کارهایی که باید انجام دهد، کارهای دیگری نیز انجام دهد (مثلا معطل کردن یک سرویس کامپیوتری یا افشای اطلاعات طبقه‌بندی شده)
(ضمیمه دو )
۴_ جعل نرم‌افزارهای کاربردی (یک ویروس میتواند با حمله به یک برنامه، برنامه جدیدی ایجاد کند که کار دیگری (غیر از کاری که برنامه اصلی باید انجام دهد) را انجام دهد).
۵_ شکستن قفلهای سخت‌افزاری و نرم‌افزاری
۶_ دستیابی به نرم‌افزار (کپی غیرمجاز)
۷_ سعی در دسترسی به نرم‌افزار

جرائم مربوط به داده‌ها
با توجه به هزینه‌ای که صرف احیا، ایجاد و یا توسعه داده‌ها میشود بعلاوه ارزش داده (سری – محرمانه ….) و با در نظر گرفتن اصل ارزش زمانی، میتوان داده‌ها را ارزشگذاری کرده و برای در نظر گرفتن اهمیت جرم، مورد استفاده قرار  داد.
۱_ سرقت داده‌ها
۲_ حذف داده‌ها
۳_ از بین بردن یا غیرقابل استفاده کردن نسخه‌های پشتیبان از داده‌ها
۴_ جعل داده‌ها ( ایجاد داده‌های اضافی و غیر معتبر )
۵_ تغییر داده‌های موجود در سیستمهای کامپیوتری
۶_ سعی در دسترسی به داده‌ها (مثلا از طریق تطمیع کارمندان کلیدی)

جرائم مربوط به تأسیسات و ساختمان
۱_ سرقت یا ایجاد خرابی و اختلال در تأسیسات برقی سایتهای کامپیوتری
۲_ سرقت یا ایجاد خرابی و اختلال در تأسیسات تهویه و تبرید سایتهای کامپیوتری
۳_ ایجاد خرابی در تأسیسات ساختمانی سایتها به منظور دستیابی به سخت‌افزار یا نرم‌افزار و داده‌های کامپیوتری
۴_ ایجاد میدانهای مغناطیسی قوی برای اختلال در جریان اطلاعات
۵_ دسترسی به پورتهای ارتباطی
۶_ اقدام به اعمال فوق

جرائم مربوط به نیروی انسانی (پرسنل یا مرتبط)
۱_ کشتن یا مضروب کردن پرسنل سیستمهای کامپیوتری به قصد تعطیل یا معطل کردن یک سرویس کامپیوتری
۲_ امتناع پرسنل از در اختیارگذاری اطلاعات مورد نیاز مسئولین مجاز (در صورت ایفا شدن کامل حقوق)
۳_ تهدید یا ارعاب یا تطمیع پرسنل به قصد فوق
۴_ در اختیار گذاردن سرویسهای غیرمجاز توسط پرسنل سیستمهای کامپیوتری به افراد غیرمجاز یا دادن اطلاعات به آنها
۵- برهم زدن امنیت روشهای رمزنگاری:
الف _ افشای روش رمزنگاری
ب _ افشای کلیدهای مورد استفاده
۶_ افشای کلمات عبور
۷_ جعل امضاء توسط کامپیوتر
الف _ امضای دیجیتال
ب _ امضای معمولی
۸- تلاش در جهت بدست آوردن اطلاعاتی که پرسنل دارا میباشند به منظور سوء استفاده.

مرتکب جرم ؟!
معاونت ؟!

(ضمیمه یک)
همانطور که دیده‌اید افراد شرور و بدکار معمولا لباسهای کهنه‌ای میپوشند، نگاههای شیطانی و هدفداری دارند و همراه جنایتکاران در خارج از شهر زندگی میکنند. (در مقابل مردان شریف بخوبی لباس میپوشند، سربلند می‌ایستند و در شهر برای همه شناخته شده میباشند و ترسی از حمله جنایتکاران ندارند، درجه دانشگاهی دارند، و از ارکان اجتماع خود محسوب میشوند.) اکثرا نوجوان یا دانشجوی دانشگاه میباشند. برخی از آنها مجریان میانسال تجارت میباشند. برخی از آنها از نظر روانی دیوانه میباشند و یا کاملا متخاصم میباشند یا بشدت به هدف یا جنبشی سرسپرده میباشند و به کامپیوترها به عنوان سمبل حمله میبرند. برخی دیگر مردمی هستند که وسوسه منافع شخصی، انتقام، رقابت، پیشرفت و یا امنیت شغلی آنها را فریفته است. صرفنظر از انگیزه‌های آنها، تبهکاران کامپیوتری دسترسی به مقادیر هنگفتی از سخت‌افزار، نرم‌افزار و داده دارند. آنها پتانسیل فلج کردن و از کار انداختن تجارت موثر و همچنین دولتها را در جهان دارا میباشند.
اجازه بدهید جرم یا جنایت کامپیوتری را تعریف کنیم. در برخی کشورها پلیس، جرم و جنایت کامپیوتری را از جنایتهای دیگر جدا نمیداند. بنابراین اکثر شرکتها جرمهای کامپیوتری را به دلایل عدیده به پلیس گزارش نمیکنند. ضرری که بابت جنایات و جرایم کامپیوتری تخمین زده شده است، سالانه بین سیصد میلیون دلار تا پانصد میلیون دلار میباشد. بیشتر کارشناسان معتقدند که امنیت کامپیوتری یک مشکل اساسی میباشد. مطالعاتی برای تعیین مشخصات افرادی که جرایم کامپیوتری را مرتکب میشوند در حال انجام است. در این مطالعات برآنند که به کشف جرایم و شناسایی مجرمین و جلوگیری از آنها کمک کنند. در ذیل به برخی از افرادی که مرتکب جرایم کامپیوتری میشوند اشاره شده است.
مبتدیان : مبتدیان جرایم گزارش شده در این زمانه را مرتکب شده‌اند. بیشترین اختلاسها را نه مجرمین حرفه‌ای بلکه مردم عادی که به نقصی در امنیت سیستم پی برده‌اند، که به آنها اجازه میدهد به پول یا چیزهای قیمتی دیگر دسترسی یابند، مرتکب میشوند. بدین لحاظ بیشتر مجرمین کامپیوتری کاربران عادی کامپیوتر هستند که زمانی متوجه میشوند که میتوانند به چیز باارزشی دسترسی یابند که دارند کارهای عادی خود را انجام میدهند. مبتدیان ممکن است استفاده از کامپیوتر را برای نامه‌نگاری یا انجام محاسبات شروع کنند. این وضعیت ممکن است تا وقتی ادامه یابد که کارمندی در حال انجام محاسبات تجاری باشد، یا سهامی را به موجودی بیافزاید، یا با استفاده از امکانات کامپیوتری کارمندان، در حال چاپ اوراق بهادار باشد. در این حال مبتدی ممکن است بخاطر موقعیت شغلی منفی خود ناراحت شود و  با خود عهد کند که بوسیله خراب کردن سیستم کامپیوتری انتقام بگیرد. نکته‌ای که درباره تبهکاران مبتدی وجود دارد اینست که آنها زمینه علمی و فنی خیلی ضعیفی دارند که این مسئله کمتر منجر به مشکوک شدن به آنها میشود.
افراد Hacker : این افراد معمولا دانش‌آموزان دبیرستانها یا دانشجویان دانشگاهها میباشند که مبادرت به دسترسی به امکانات محاسباتی غیرمجاز میکنند. نقطه مشترک اینان گرایش و رفاقت آنان با چند دوست میباشد، که این مسئله مزاحمت آنان را دوچندان میکند. آنها اکثرا باهوش میباشند ولی شفاها قادر به ابزار این هوش به مردم نیستند. آنها بجای مردم به کامپیوترها رو  می‌آورند و میدانند که کامپیوترها آنها را از خود طرد نمیکنند و بنابراین کامپیوترها وسیله سربلندی اجتماعی آنان را فراهم میکنند. شکل دیگری از روابط اجتماعی استفاده از امکانات مخابراتی Bulletin Board میباشد، که دارای دیوار الکترونیکی ایمن و محفوظی میباشد.
رخنه کردن در استحکامات کامپیوتری یکی از جرایم بدون تلفات میباشد. هیچکس زخمی یا  کشته نمیشود حتی اگر در حال ایجاد ارتباط با کامپیوتر دیده شود. اکثر رخنه ها میتواند بدون روبرو شدن با شخصی و یا حتی بدون شنیدن صدای انسانی انجام شود. افراد Hacker برای عبور موفق از قسمتهای سری به مانند چند قطعه ایزوله کوچک که برای ایجاد یک اثر بزرگ گرد هم جمع شده‌اند، به همدیگر کمک می کنند.
رخنه به سیستمهای کامپیوتری یک خطر جدی است که ممکن است میلیونها دلار ضرر ببار آورد، لذا رخنه‌کنندگان بایستی قانونا جریمه‌های هنگفتی را بپردازند.
مجرمین حرفه‌ای: در مقابل مبتدیان و افراد Hacker، جنایتکاران کامپیوتری حرفه‌ای هدف از جرم کامپیوتری را به خوبی درک کرده‌اند. تبهکاران حرفه‌ای، میدان کار خود را از آتش زدن، نابودی و سرقت به محاسبه تسری داده‌اند.
همانگونه که قبلا اشاره شد برخی از شرکتها در پیگیری مجرمین کامپیوتری محتاط هستند. در حقیقت پس از کشف یک جرم کامپیوتری، اگر مجرم بی سروصدا کناره‌گیری کند یا استعفا بدهد، شرکتها ممنون خواهند شد و بنابراین مجرم آزاد خواهد بود که همان کارهای غیرقانونی را در شرکتهای دیگر ادامه دهد.

(ضمیمه دو)
دسته‌بندی تغییرات نرم‌افزار شامل موارد زیر است:
۱_ یک اسب تراوا، برنامه‌ای که ظاهرا کاری را انجام میدهد در صورتی که  در باطن کار دیگری را انجام میدهد.
۲_ یک دریچه، یک نقطه ورود مخفی به یک برنامه.
۳_ برنامه‌ای که اطلاعات را فاش میسازد و  این اطلاعات را در دسترس برنامه‌ها یا افرادی که قصد آنرا ندارند، میگذارد.

مرتبط:

  1. جرم = بر هم زدن امنیت یا تهدید آن؟
  2. بررسی و پیشنهاد روشهای ایجاد امنیت در سیستمهای کامپیوتری
  3. ایجاد امنیت درسیستمهای کامپیوتری و استفاده از امکانات امنیتی winXP