لبه تاریکی

سرقت هویت دیجیتالی و سرقت دیجیتالی هویت

سوگند پزشکی را حتماً می‌دانید چیست؛ همان سوگندی که از دیرباز در مراسم فارغ‌التحصیلی پزشکان جوان به یک سنت تبدیل شده است. شاید شما بدانید، ولی احتمالا جوزف هریس هنگامی که مشغول دزدیدن DVD پرونده دویست هزار بیمار یک کلینیک بود، اصلا به این موضوع فکر نمی‌کرد. البته اکثریت قاطع پزشکان شریف هستند. ولی کسانی هم پیدا می‌شوند که می‌خواهند از پرونده‌های مسروقه بیماران پول دربیاورند و متاسفانه فناوری اطلاعات هم کار را برایشان راحت کرده است.

● پرونده‌های مسروقه بیماران روی DVD

۲۹دی ماه ۱۳۸۴، جوزف ناتانیل هریس، مدیر سابق یک کلینیک درمانی به نام گروه پزشکان سان خوزه در ایالت کالیفرنیا، به سرقت پرونده نزدیک به دویست‌هزار بیمار این کلینیک متهم شد. یک دادگاه فدرال هریس را تحت تعقیب قرار داده‌است و در صورت اثبات اتهام ممکن است وی به ۱۰ سال زندان محکوم شود.

این هریسِ بسیار حریص، قبلا مدیر کلینیک بود. اما اکنون متهم شده که پس از استعفا، به صورت غیر مجاز وارد بخش مدیریت کلینیک شده و اطلاعات حساس یک کامپیوتر را کپی کرده و یک DVD حاوی پرونده پزشکی هزاران بیماری که تاکنون در این درمانگاه تحت معالجه قرارگرفته‌اند را به سرقت برده است. این‌ DVD شامل نام، آدرس، شماره تلفن، تاریخ تولد و شماره تامین اجتماعی بیماران بوده است. ماموران پلیس این DVD را‌ در اتومبیل هریس یافتند.

این روزها پدیده سرقت هویت دیجیتالی و سرقت دیجیتالی اطلاعات مربوط به هویت مردم به یکی از معضلات مهم کشورهای توسعه یافته تبدیل شده است و مسئله جوزف هریس نیز یکی از آن‌ها است. سرقت هویت دیجیتالی هنگامی اتفاق می‌‌افتد که در پی نفوذ به یک رایانه و یا در اثر وقوع یک حمله شبکه‌ای (مثلا هک شدن یک سایت) صدها و یا هزارات رکورد مربوط به پروفایل کاربران آن سایت به یغما می‌رود. این اطلاعات معمولا شامل نام کاربری، رمزعبور و دیگر اطلاعات حساس مربوط به هویت مجازی کاربران است. اما سرقت دیجیتالی اطلاعات هویتی هنگامی اتفاق می‌افتد که مهاجم به طور غیر‌مجاز به رکوردهای مربوط به اطلاعات واقعی و نه مجازی مربوط به هویت افراد (از قبیل اطلاعات شناسنامه‌ای) دسترسی پیدا می‌کند.

هر دو سناریو پیامدهای منفی متعددی برای مردم دارند. در حالت اول ممکن است علاوه بر لطمه دیدن هویت مجازی فرد قربانی، برخی اطلاعات حساس و شخصی او مانند شماره کارت اعتباری مورد سوء استفاده قرارگیرد. اما حالت دوم پیامدهای زیانبارتری دارد. زیرا زندگی معمولی و غیر‌مجازی یک فرد در معرض خطر مستقیم قرار می‌گیرد. پرونده جوزف هریس ماجرایی از همین دست است.

البته این رویداد را از یک منظر دیگر هم می‌توان تحلیل کرد: استفاده غیر‌مجاز از فهرست مشتریان یک شرکت اتفاقی است که روزانه بارها در سراسر دنیا، از جمله کشور خودمان اتفاق می‌افتد و اغلب حتی به جنبه مجرمانه آن نیز توجه نمی‌شود؛ چه برسد به پیگرد قانونی. چه بسیارند افرادی که هنگام استعفا یا اخراج از یک موسسه، بدون اجازه مدیر آن، فهرست‌های گرانبهایی از نام، آدرس و شماره تلفن مشتریان موسسه را برای خود کپی می‌کنند و می‌برند. آیا به نظر شما این کار قانونی است؟ حتی به فرض این‌که آن فرد خودش بیشترین زحمت را برای جمع‌آوری این اطلاعات کشیده باشد، آیا حق دارد پس از خروج، دارایی‌های اطلاعاتی آن موسسه یا شرکت را برای خودش کپی کند؟

● سال‌ها زندان برای "بُت مَستر"

قابل توجه نوجوانانی که هنوز فکر می‌کنند هک کردن کامپیوترها عملی افتخارآمیز است: جانسون جیمز آنچتا، بیست ساله، ممکن است به خاطر راه‌اندازی و مدیریت یک شبکه Bot به حداکثر ۲۵ سال زندان محکوم شود.

به گفته مقامات قضایی او یکی از اعضای شناخته شده یک محفل زیرزمینی به نام <استادان> Bot بود که شبکه‌ای مخفی از هکرهای ماهر در استفاده از تکنیک Bot است. این جوان اهل لس آنجلس متهم است از طریق برپاکردن و به‌کارگرفتن یک شبکه Bot متشکل از میلیون‌ها کامپیوتر قربانی در سراسر دنیا، شبکه رایانه‌ای نیروی هوایی و وزارت دفاع ایالا‌ت متحده را مورد حمله قرارداده‌است.

Bot یک برنامه مخرب کامپیوتری از نوع اسب تروا است که از طریق اینترنت وارد کامپیوتر می‌شود و پس از آلوده‌کردن سیستم، آن را به یک ربات گوش به فرمان تبدیل می‌کند. هکر می‌تواند با صدور یک فرمان ویژه از طریق اینترنت، Bot های روی کامپیوترهای آلوده را بیدار و فعال کند و آن‌ها را برای سازماندهی یک حمله شبکه‌ای هماهنگ سازد.

آنچتا اکنون به جرم خود اعتراف کرده و پذیرفته است به عنوان خسارت پانزده هزار دلار به ارتش بپردازد و علاوه بر شصت هزار دلار جریمه نقدی دیگر که برای پرداخت خسارت به سایر شاکیان پرونده در نظرگرفته شده، تجهیزات کامپیوتری و اتومبیل ‌BMW شیک و آخرین مدلی که با درآمد حاصل از هک کردن‌ و اجاره دادن شبکه Bot خود به‌دست آورده است را به دادگاه تسلیم کند.

● تداوم مبارزه مایکروسافت با سیادان

مبارزه مایکروسافت با برخی انواع جرایم اینترنتی مانند ارسال هرزنامه‌ و فریفتن کاربران از طریق سیادی (فیشینگ) با شدت و حدت ادامه دارد. ماه گذشته این شرکت در یک برنامه مشترک که با همکاری اداره مبارزه با جرایم سازمان‌یافته بلغارستان انجام شد، توانست یک گروه هشت نفری از هکرهایی را که به منظور استفاده از ترفند سیادی اقدام به راه‌اندازی چند سایت جعلی شبیه MSN کرده بودند، به دام بیندازد. این گروه متهم به ۴۶ فقره سیادی از طریق راه‌اندازی ۴۳ سایت جعلی روی سرورهای هک شده در یازده کشور مختلف دنیا است.

آن‌ها موفق شده بودند با ارسال نامه‌های فریبنده‌ای که به نام Microsoft Billing Account Manager برای کاربران ارسال می‌شد، آنها را نسبت به واردکردن اطلاعات کارت اعتباری خود در این سایت‌های جعلی مجاب کنند. هکرها سپس از این اطلاعات برای خرید کالا و نیز انتقال پنجاه هزار دلار وجه نقد از کارت‌های اعتباری مسروقه کاربرانی که عمدتا شهروند آلمان و یا انگلستان بودند، استفاده کرده‌اند.

سیادی و هرزنامه‌نویسی از جمله جرایم اینترنتی هستند که معمولا ابعادی بین‌المللی دارند. چنان‌که در این پرونده شاکی (مایکروسافت) از ایالا‌ت متحده برای متوقف کردن خساراتی که به شهروندان دو کشور اروپایی وارد شده بود، به تعقیب هکرها در یک کشور ثالث یعنی بلغارستان پرداخت. شاید هکرها گمان می‌کردند کشورهای اروپای شرقی همچنان محل امنی برای سازماندهی این‌گونه فعالیت‌های مجرمانه هستند و کسی متوجه این قسمت دنیا نیست. ولی اکنون دیگر کمتر کشوری را می‌توان یافت که محل امنی برای اختفای راهزنان اینترنتی باشد.

پیش‌تر، مایکروسافت در یک برنامه موفق دیگر توانست با همکاری مقامات کشور نیجریه، تعدادی از هرزنامه نویسان حرفه‌ای را به تله بیندازد. این شرکت همچنین با همکاری انگلستان توانست نویسنده ویروس مخرب زوتوب را دستگیر کند.

● هزینه جرایم رایانه‌ای بر دوش مردم دنیا

اگرچه اخبار تلاش‌های موفقیت آمیز در زمینه مبارزه با جرایم اینترنتی هر ماه بیشتر می‌شود، ابعاد این نوع جرایم همچنان وسیع است و مرتبا به دامنه آن افزوده می‌شود. ماه گذشته پلیس فدرال با انتشار گزارشی تخمین زد که رویارویی با ویروس‌ها، جاسوس‌افزارها، سرقت‌های رایانه‌ای و دیگر جرایم مرتبط با کامپیوتر برای صاحبان کسب‌وکارهای مختلف در این کشور سالا‌نه حدود ۶۷ میلیارد دلار هزینه ایجاد کرده است. این تحقیق بر اساس نظرسنجی از ۲۰۶۶ سازمان و شرکت انجام ‌شده‌است. در این نظرسنجی ۱۳۲۴ پرسش‌شونده، یعنی حدود ۶۴ درصد آنان اذعان کرده‌اند که طی ۱۲ ماه گذشته از بابت وقوع چنین جرایمی خسارت مالی دیده‌اند. به گفته آنان، میزان این خسارت در سال به طور متوسط حدود ۲۴ هزار دلار بوده‌است که در مجموع به ۳۲ میلیارد دلار بالغ می‌شود. بر این اساس تخمین زده که با درنظرگرفتن حدود ۸/۲ میلیون کسب‌وکاری که در این کشور وجود دارد، اگر هرکدام به طور متوسط سالانه همین مقدار خسارت دیده باشند، آنگاه رقم این خسارات به ۶۷ میلیارد دلار خواهد رسید.

در مقابل، آمار دیگری که یک آژانس اطلاعاتی ایالا‌ت متحده روی اینترنت منتشر کرده‌است نشان می‌دهد جرایم مرتبط با ابزارهای مخابراتی و ارتباطی سنتی طی یک سال گذشته کاهش یافته و به حدود یک میلیارد دلار رسیده است. آمارها همچنین نشان می‌دهد که به عنوان نمونه، خسارات ناشی از جرایم مرتبط با سرقت هویت در ایالا‌ت متحده در سال ۲۰۰۴ به ۶/۵۲ میلیارد دلار رسیده است. گزارش‌ها نشان می‌دهد که هم‌اکنون جرایم مرتبط با انتشار اسب تروا همچون سیادی( فیشینگ) بیشترین میزان خسارات را ایجاد کرده است.

همه این آمارها نشان می‌دهد که سلیقه و علایق خلافکارانی که برای اجرای نقشه‌های خود به فناوری پیشرفته متوسل می‌شوند، هرچه بیشتر متوجه اینترنت شده و از میزان جذابیت سایر فناوری‌ها برای آنان کاسته ‌شده‌است. این در واقع لبه تاریک روند پیشرفت‌های خیره کننده فناوری اطلاعات طی ده سال گذشته است.

چندان عجیب نیست که به موازات افزایش علاقه و درگیری شهروندان با اینترنت، همه واقعیت‌های زندگی، از جمله وقوع جرم و جنایت از طریق این کانال ارتباطی بیشتر شود. بنابراین آن‌سوی جذابیت‌ها و زیبایی‌های فناوری‌های نوین اطلاعاتی، حقیقت تلخی نشسته‌است که موید افزایش تهدیدات شبکه‌ای است و متاسفانه ماهیت این فناوری و مجازی بودن ارتباطات در فضای سایبر به گونه‌ای است که مردم (کاربران) به صورت ظاهری احساس امنیت می‌کنند. زیرا در خانه و یا محل کار خود پشت رایانه می‌نشینند و گمان می‌کنند کسی منافع و اموال و هویت آنان را تهدید نمی‌کند. غافل از این‌که خطر جدی است، ابعاد بین‌المللی دارد و هیچ کس از آن در امان نیست.

یکی از مشکلات در این زمینه، عقب‌تر‌بودن نهادهای دولتی در کشورهای مختلف از نظر آشنایی با فناوری‌های نوین اطلاعاتی نسبت به خلافکاران خبره و چیره‌دست است. این تفاوت فاحش در میزان مهارت به‌کارگیری فناوری اطلاعات به مجرمان فضای سایبر امکان می‌دهد پیش از این‌که مقامات مسئول قضایی و پلیس در کشورهای مختلف بتوانند خود را به سطح مناسبی از آگاهی برسانند، هزاران مورد سرقت و دیگر تخلفات اینترنتی را با موفقیت به انجام برسانند. در واقع ساختار دیوانسالا‌ری کند سازمان‌های قضایی در دنیا برای مواجهه با تهدیدات شبکه‌ای عصر جدید نیازمند تجدید ساختار و مهندسی مجدد است. دنیای اینترنت دنیای سرعت است و خلافکاران از همه چابک‌ترند. بنابراین پلیس و دیگر نهادهای مسئول اگر نمی‌توانند به چابکی هکرها باشند، دست‌کم باید به اندازه شهروندان معمولی که کاربر اینترنت هستند، درباره آخرین فناوری‌ها، تکنیک‌ها و نرم‌افزارهای اینترنتی اطلاع داشته باشند.

● مبارزه با نقض کپی‌رایت آثار هنری‌

این داستان تکراری همچنان ادامه دارد. شرکت‌های تولیدکننده آثار موسیقی و فیلم، بی‌وقفه درصدد شکار کسانی هستند که در سراسر دنیا و در مقیاسی وسیع آثار مشمول کپی‌رایت را به صورت فله‌ای تکثیر و روانه بازار می‌کنند.

در تازه‌ترین مورد، نوزده نفر از اعضای یک کلوپ به نام RISCISO که به عقیده پلیس احتمالا بین ۵۰ تا ۶۰ نفر عضو داشته است، بازداشت و تفهیم اتهام شدند. آن‌ها متهمند که مجموعا انواع نرم‌افزار، فیلم و بازی کامپیوتری به ارزش ۶/۵ میلیون دلار را به صورت غیر‌مجاز تکثیر و به بازار عرضه کرده‌اند. به گفته مقامات قضایی این اتهامات ممکن است حداکثر پنج سال زندان و پرداخت جریمه نقدی بالغ بر ۲۵۰ هزار دلار را برای هریک از این متهمان درپی داشته باشد.

صرف‌نظراز طی شدن روند قانونی این پرونده، دو نکته حاشیه‌ای نیز جالب توجه است. یکی، نام عجیب این گروه است که از به هم چسباندن مخفف عبارت Rise In Superior Couriering (تقریبا به معنی خیزش پیک‌های فوق‌العاده) به کلمه ISO (یک فرمت فایلی معروف) است. ظاهرا انتخاب این نام (به اعتقاد آنان) اشاره به رسالت بزرگی دارد که این گروه برای رساندن محتوای نرم‌افزاری ارزان قیمت به مردم قائل بوده است! شاید با مرور اسامی و سطح تحصیلات و شغل این نوزده نفر جای تعجب نباشد که چرا این گروه تصور می‌کرده‌اند کارشان درست و نیکوکارانه است. یک مشاور نرم‌افزار که مشغول گذراندن دوره دکترای ریاضیات است، یک مدیر فناوری اطلاعات در یک موسسه مشاوره حقوقی، (یک دانشجوی خوش‌قریحه و با استعداد، یک مدیر شبکه در یک ISP، یک مدیر ‌IT در یک شرکت معماری ساختمان، یک کارمند بخش پشتیبانی فنی یک شرکت بازاریابی و تبلیغات از جمله اعضای این باند هستند. همه تحصیلکرده و همگی دارای مشاغلی که در منظر افکار عمومی دارای تشخص و منزلت اجتماعی هستند.

این وضعیت نشان می‌دهد که مبارزه با نقض قانون کپی‌رایت، حتی در ایالا‌ت متحده تا چه اندازه پیچیده و دشوار است. در حقیقت موضوع کپی‌رایت همچنان درگیر ابعاد فلسفی آن است و هنوز بسیاری از مردم دنیا اصولا قبول ندارند که چیزی به نام کپی‌رایت وجود دارد. بنابراین خیلی هم عجیب نیست که یکی از اعضای این باند خودش کارشناسی مسلط به حقوق و فناوری اطلاعات باشد. درسی که از این پرونده می‌توان گرفت این‌است که مبارزه با نقض کپی رایت قبل از هرچیز نیازمند یک برنامه کلان فرهنگ‌سازی، بلکه یک گفتمان ملی، در زمینه مزایا و معایب رعایت (و یا عدم رعایت) کپی‌رایت است. بدیهی است تا مردم قانع نشوند که چرا کپی رایت خوب‌است، حتی اگر نقض آن در فهرست جرایم نهادهای قضایی کشورها باشد، کسی کمترین اعتقادی به جرم بودنش هم ندارد.