駭客利用木馬屠進微軟城,任務告捷!
 
網路駭客(Web Hacker入侵網站已經不是新聞了,但是,這次,駭客竟然成功地利用「木馬」攻進科技大國微軟城內,則真的是一項焦點新聞!
 
根據報導,軟體王國微軟公司(MicroSoft Co.)的總部在最近(1025日)發現電腦系統遭遇駭客入侵,而且重要軟體的可能已經遭竊。由於長期以來,網路駭客們一直表示微軟的產品安全漏洞百出,因此這次的駭客入侵事件顯然造成微軟相當難堪的處境。另方面,微軟發言人則表示,這是一樁可悲的商業間諜行為。業界專家也紛紛猜測,這是一起「資料」的綁票勒贖案。
 
不過,微軟事後卻表示,早已偵測到這項非法行動,並且駭客的一舉一動均在微軟的監控當中。入侵駭客雖然可能窺見尚未發表軟體的程式碼,但是入侵者並未瞧見或甚至偷走主要產品,Windows MeWindows 2000Office的程式碼。 微軟也已經一改往例,主動要求FBI進行調查。
 
關於本案的真相為何,宛如一場羅生門,尚待調查單位的釐清。但是,根據初步調查,本案的經過是,一名微軟職員接到一封內含特洛伊木馬」(Trojan Horse)程式E-Mail,經由不知情的職員啟動後,該項程式即感染了微軟公司網路的其他電腦,並竊取密碼,而後傳送到設在俄羅斯的電子郵件地址。
 
木馬入城構成犯罪,網路駭客三思而行
 
事實上,根據台灣刑事調查局偵辦網路犯罪的經驗,在破獲的網路駭客案件中,約有八成左右就是遭到駭客植入所謂的俗稱「特洛伊木馬」的程式(簡稱「木馬程式」)。「特洛伊木馬程式」可以經由遠端遙控開啟,控制端就可竊取使用端的撥接帳號密碼、電腦資料、竄改系統程式以及進行電腦活動的監控。由於木馬程式既不屬於病毒,因此不會被掃毒程式給發現,而木馬程式存在電腦當中,也不會影響電腦的運作及速度,並且可以隱藏在其他的程式檔中,所以不會輕易被發現。據瞭解,除了駭客入侵外,只要使用者從網站Download共享軟體,或進入色情網站下載,就有可能被植入「木馬程式」!
 
目前,雖然對於網路駭客未經授權入侵他人電腦系統的行為尚無法以刑法相繩,但是,按照台灣的刑法,駭客以「特洛伊木馬」植入他人的電腦系統竊取密碼、電腦資料、監控活動乃至於竄改系統程式,仍有可能構成所謂的「網路犯罪(Cybercrime)」。關於相關法律問題,尚值功力高強的網路駭客「三思而後行」!
 
窺探加密電腦資料,可能構成妨害書信秘密罪
 
基本上,根據刑法第315,無故開拆或隱匿他人的封緘信函、文書或圖畫的話,可處拘役或三千元以下的罰金。無故以開拆以外的方法,窺視其內容的話,也是一樣。因此,網路駭客如果只是利用木馬程式窺視他人公司的電腦資料,就有可能構成刑法上的「妨害書信秘密罪」。
 
這是因為刑法已經將「電磁紀錄」擬制成為「文書」(第220條第2項),所以,經過加密或以密碼等方式管制的電腦資料,就成為密封過的文書,駭客入侵他人公司的電腦系統,單純窺探他人公司電腦資料的行為,也有可能會構成「妨害書信秘密罪」。
 
換句話說,有些駭客原本只是為了證明自己的技術高超,或是想對自稱防護堅固的資訊公司加以洩氣,但是,這樣的惡作劇,就可能已經構成犯罪。同時,按照刑法第318條之2的規定,利用電腦或其相關設備犯妨害書信秘密罪的話,還要加重刑責二分之一。這樣的結果,值得駭客們考慮清楚後,再進行「昭告世人」的行動!
 
影響電腦系統運作,可能構成干擾電磁記錄罪
 
至於網路駭客從網路侵入他人電腦系統後,使用系統主機或者佔用電腦記憶體,如果足以影響電腦系統正常運作的話,根據刑法第352條第2規定,干擾他人電磁記錄的處理,足以生損害於公眾或他人,可處三年以下有期徒刑、拘役或五百元以下罰金。因此,不論駭客是否刪除或破壞他人電腦的檔案,一旦干擾到他人電磁記錄處理的話,就有可能成立干擾電磁記錄罪。
 
在台灣,這樣的情形其實也是層出不窮,前一陣子就有兩位電腦維修工程師,利用為國大網站做維修工作時所得知的密碼,將自己所設立的網站傳輸到國大網站的伺服器當中,結果造成國大網站頻寬流量受到減損。實際上,這樣的行徑雖然並未造成他人電腦硬體設備受損,但已經可能構成刑法上的「干擾電磁記錄罪」。
 
竊取電磁紀錄,可能構成竊盜犯罪
 
另外,雖然在本案當中,微軟一再對外宣稱,重要軟體的程式碼並無外洩。不過,就法律的觀點來講,如果駭客入侵竊取他人電腦檔案時,除了觸犯營業秘密法以外,尚有可能構成著作權法第91條的重製罪。也就是說,如果電腦檔案的內容構成著作權保護的客體,例如,語文著作、圖形著作或電腦程式著作,駭客將這些著作予以複製時,即可能構成重製罪。
 
同時,駭客竊取電腦檔案的行為,也可能會構成刑法上第320條的的竊盜罪。這是因為,隨著資訊科技社會的來臨,電磁資訊已經和傳統的財物及能源,並列為財產的三大範疇之一。因此,「資訊」本身雖然尚未成為竊盜罪的客體,但是,資訊如已成為「電磁記錄」的話,則因具有財產價值,應具備可保護性。所以,刑法第323條(舊法)就修正規定為,電能、熱能及其他能量或電磁記錄,關於本章之罪,以動產論。換句話說,刑法已經將「電磁記錄」與「動產及能源」等量齊觀,視其為財產的一種。一旦駭客未經同意竊取他人電腦內的電腦檔案,雖然這些檔案紀錄充其量僅屬於資訊而已,但是仍可能構成竊盜罪的客體。
 
偵查網路犯罪頗有困難,亟需網路警察維持網路秩序!
 
不過,儘管網路駭客的行為,可能構成上述的犯罪行為,依法可繩之以律。但是,網路虛擬而開放的特性,卻也使得現實世界的檢警雙方疲於奔命。過去許多大型著名網站遭致駭客攻擊的案例中,最困難的問題就是偵查出破壞者。因為,在網路的虛擬世界(Virtual World)中,網路駭客來自四面八方,去向不明,任何人皆可以輕易地在網路上進行攻擊,如果無法查到明確的來源點,就沒有辦法令這些網路駭客真正現形。這是偵查網路犯罪的困難所在,也是檢警單位必須努力克服的目標。
 
網路無國界,無所不能、無遠弗屆,這是網路世界之所以迷人的地方。可是,網路駭客動輒破壞電腦系統、癱瘓網路運作的行徑,已經超越惡作劇的程度,構成犯罪行為。我們除了要求網路使用者自律以外,偵查電腦或網路犯罪的檢調單位也必須努力提升自我的技術水準及觀念,升級成為「網路警察」,才有能力制服網路犯罪。畢竟,犯罪的並非電腦或網路而是活生生的人,唯有藉著瞭解駭客的技術及心態,才有可能真正捍衛這片虛擬的網路國度! 
 
本文原於2000.11.14發表在www.ipeclaw.com)」,後轉載在「罪與罰(http://home.kimo.com.tw/yungruey/)」 著作權所有違法必究
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 Dr. Lee 的頭像
    Dr. Lee

    Dr. Lee的部落格

    Dr. Lee 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄