Mahkeme düz metin şifrelerinin kullanımını bilgisayar korsanlığı olarak görüyor
17 Ocak'ta Jülich Bölge Mahkemesi, bir müşteri adına yazılımı analiz eden ve bu yazılımda internetteki çevrimiçi mağazalardaki yaklaşık 700.000 alıcının verilerini açığa çıkaran bir güvenlik açığı bulan bir programcıyı mahkum etti. Programcı, bir teknoloji blog yazarının yardımıyla etkilenen şirketle temasa geçti ve şirket daha sonra güvenlik açığını kapattı ve programcıyı polise bildirdi. Bu durum nedeniyle programcı, üçüncü taraf bilgisayar sistemlerine yetkisiz erişim ve veriler üzerinde casusluk yapmaktan dolayı 3.000 Euro para cezasına çarptırıldı; bu, sözde hacker paragrafı 202a StGB kapsamında cezalandırılabilir; Ayrıca prosedürün masraflarını da karşılamalıdır.
Reklamcılık
Bir gecede servis sağlayıcıdan şeytani hackera
Sanık savunma avukatı savunmasında suç bulunmadığı yönünde görüş bildirdi. Suçun işlendiği sırada serbest BT hizmet sağlayıcısı olarak faaliyet gösteren müvekkili, bir müşteri tarafından o müşterinin sunucusunda yüklü olan yazılıma bakmakla görevlendirildi. Bu, JTL'nin ürün yönetim sistemiyle bağlantılı hizmetler sunan Gladbeck şirketi Modern Solution GmbH & Co. KG'nin bir yardımcı programıydı. Savunma avukatı, Modern Solution'ın yazılımının “sanığın müşterisinin veritabanını günlük mesajlarıyla doldurduğunu” söyledi. Müşterisi daha sonra müşterisinden bu sorunun çözülmesi için bir sipariş aldı.
Davalı daha sonra Modern Solution'ın yazılımının internet üzerinden Gladbeck şirketinin sunucularına MySQL bağlantısı kurduğunu keşfetti. Davalının beyanına göre, başlangıçta müşterisinin sunucusunda bulunan yazılımın Modem Çözüm'de sadece kendi müşterisine yönelik olan ve sadece müşterisinin verilerini içeren bir veri tabanına bağlı olduğunu varsaymıştır. Okunan veritabanı adına bakılırsa bu oldukça makul görünüyordu.
Ancak davalı, ilgili veri tabanının çok daha fazla bilgi içerdiğini kısa sürede keşfetti. Daha sonra verilerin burada olduğu ortaya çıktı Tümü Modern Çözüm müşterileri ve tüm son müşteriler çevrimiçi mağazalarından dahil edildi. Kendi ifadesine göre sanık, diğer müşterilerin verilerine ulaştığını fark edince hemen veri tabanı bağlantısını kesti.
Savunma avukatı da savunmasında buna değindi: Müvekkili, Modern Solution'ın müşterisinin kullanımına sunduğu yazılımı tüm ilgili verilerle birlikte incelemişti. Bu nedenle yalnızca kendisine yönelik verilere erişti. En azından Modern Solution GmbH tarafından programlanan ve bu şirketin sonuçta müşterilerinin kullanımına sunduğu yazılım anlamında. Mahkeme bu iddiayı kabul etmedi ve bunun Ceza Kanunu'nun 202a Maddesi anlamında ceza gerektiren bir suç olduğunu değerlendirdi.
Polis yazılımı derlemeyi şüpheli buluyor
Savcılık delillerin önemli bir kısmını sanığın veritabanı bağlantısı şifresini almak amacıyla Modern Solution yazılımının program kodunu kaynak koda dönüştürdüğünü kanıtlamaya harcadı. Davalı, söz konusu dosyayı (MSConnect.exe) yalnızca bir metin editörüyle görüntülediğini ve dolayısıyla veritabanı şifresini düz metin olarak okuduğunu belirtti. Bunu daha önce gözlemlediği MySQL bağlantısından bilinen diğer bağlantı verilerinin hemen yakınında buldu. Mahkeme, delillerin toplanması sırasında doğrudan ilgili dosyayla ilgilenmemiş ve sanığın bilgilerinin doğrulanması yönünde herhangi bir girişimde bulunulmamıştır. Duruşma sırasında okunan soruşturma dosyasının bazı bölümlerine göre polisin bunu da yapmadığı görülüyor.
Buna karşılık, Haberler Online, Kasım 2021'de konuyla ilgili haberimizin erken bir aşamasında, gerçeklerin sanığın ifadesini desteklediğini doğrulayabildi. Modern Solution'ın internette ücretsiz olarak erişilebilen ilgili ikili dosyalarını incelediğimizde şifrelerin de düz metin halinde olduğunu gördük. Yazılımı derlemeye gerek kalmadan.
Ayrıca mahkeme, sanığın şifreyi kaynak koda dönüştürerek elde ettiğini kanıtlayamadı. Polis müfettişleri, Modern Solution yazılımının davalının bilgisayarlarında kaynak koda dönüştürüldüğüne dair kanıt elde etmeyi başardılar, ancak bu yalnızca sanığın yazılımı kullandığını kanıtladı sonrasında veriler üzerinde casusluk yaptığı iddiası.
Bir şifreyi atlamak ne kadar basit olursa olsun ceza gerektiren bir suçtur
Ancak duruşmanın sonunda bunun karar üzerinde çok az etkisi oldu. Mahkeme başkanı, yazılımın bağlantı için bir şifre belirlemesinin, programın ham verilerine bakmanın ve ardından Modern Solution'a veritabanı bağlantısının hacker paragrafının cezai suçunu oluşturacağı anlamına geldiğini belirtti. Savunmanın birkaç kez vurguladığı gibi, bunun, (söz konusu şifreyi yazılımla birlikte alan) bir Modern Çözüm müşterisi adına yazılımın “işlevsel analizi” sırasında gerçekleşmiş olması pek de akla yatkın görünmüyordu. Bu kararda rol oynayacak.
Mahkeme başkanı ayrıca duruşmanın geçmişini de tartıştı. Jülich bölge mahkemesi başlangıçta yazılımın yeterince korunmadığı gerekçesiyle bu talebi reddetti. Aachen bölge mahkemesi daha sonra AG Jülich'in davayı kabul etmesi gerektiğine karar verdi. Aachen mahkemesinin kararına atıfta bulunan Jülich hakimi, hukuki durumun kapsamlı bir incelemesinin ardından, yasama organının 2007 yılında Ceza Kanununun 202a Maddesini sıkılaştırma konusundaki açık niyetinin “hacklemeyi ceza gerektiren bir suç haline getirmek” olduğu sonucuna varıldığını söyledi. teslim etmek.” Bu açıdan bakıldığında atlatılması “herkes için kolay olmayan” bir korumanın suç teşkil etmesi yeterlidir. Sanığın daha önce herhangi bir sabıkası olmadığı göz önüne alındığında ceza hafifti. En kötü durumda sanık üç yıla kadar hapis cezasıyla karşı karşıya kalabilirdi.
Sanık Modern Solution'a zarar vermek mi istedi?
3 bin avroluk para cezası, savcının talep ettiği 5 bin 400 avronun oldukça altındaydı. Savcı, o zamanlar Modern Solution GmbH'nin hizmetleriyle rekabet eden hizmetler sunan serbest meslek sahibi bir programcı olan sanığın Gladbeck şirketine zarar vermeye çalıştığının kanıtlandığını gördü. Modern Solution da bunu polise bildirirken belirtti. Elbette, böyle bir güvenlik açığının bilinmesinin iş dünyasına, bunu üreticiye bildirmekten ve boşluk giderildikten sonra basın aracılığıyla kamuoyuna duyurmaktan çok daha fazla zarar verebileceği düşünülebilir. Profesyonel bilgisayar korsanları şirkete zarar vermek isteseydi ne olurdu bir düşünün. Bunlar muhtemelen sunucularını ele geçirip Modern Solution yazılımının tedarik zincirine saldıracaklardı. Bu tür saldırıların çok daha büyük zararlara yol açacağından kuşku yoktur.
Sanığın savunma avukatı, mahkeme kendisini suçlu bulsa bile müvekkilinin kamu yararına hareket ettiğini ileri sürmüştür. Teknik açıdan son derece ustaca hakime yaptığı savunmada, bu ülkede “yeniden düşünülmesi gerektiğini” talep etti. 2024'te programcıları sadece müşteri adına yazılımın davranışını gözlemledikleri için cezalandırmak artık uygun olmayacak. Kendisi aynı zamanda bu bağlamda ilgili federal politika reformu çabalarına da değindi, ancak mahkeme başkanı yargının şu anda elinde bulunan yasalarla çalışması gerektiği görüşünü benimsedi.
Karar henüz hukuki açıdan bağlayıcı değil. Her iki tarafın da ceza kararına itiraz etmek için bir hafta süresi var. Bu durumda, duruşmalar büyük ihtimalle Aachen'de bulunan bir bölge mahkemesinde tekrar görülecek. Savunmanın duruşmadaki ifadelerinden durumun böyle olabileceği sonucuna varılabilir. Sanığın avukatı duruşma sırasında bir noktada “prensip gereği” mahkemede olduklarını söyledi.
Güncelleme
19 Ocak 2024
12:54
Saat
Sanık programcı karara itiraz ediyor. Bunu Cuma günü internette duyurdu.
(Asla)
Haberin Sonu