چندی پیش برای من مشکلی پیش اومد و از پلیس فتا منو خواستند که گذشت از مشکل پیش آمده باعث شده قانون جرائم رایانه ای رو حتما بخونم وگرنه خطری که شانسی از بیخ گوشم گذشت دیگه پیش نیاد لازم دونستم بعضی از قوانین رو حتما براتو بگم تا شما هم دچار مشکل نشید

منبع این قوانین به آدرس http://www.cyberpolice.ir/page/2431 است.

موارد مهم:

ماده32ـ ارائه‌دهندگان خدمات دسترسی موظفند داده‌های ترافیك را حداقل تا شش ماه پس از ایجاد و اطلاعات كاربران را حداقل تا شش ماه پس از خاتمه اشتراك نگهداری كنند.

تبصره1ـ داده ترافیك هرگونه داده‌ای است كه سامانه‌های رایانه‌ای در زنجیره ارتباطات رایانه‌ای و مخابراتی تولید می‌كنند تا امكان ردیابی آنها از مبدأ تا مقصد وجود داشته باشد. این داده‌ها شامل اطلاعاتی از قبیل مبدأ، مسیر،
تاریخ، زمان، مدت و حجم ارتباط و نوع خدمات مربوطه می‌شود.

تبصره2ـ اطلاعات كاربر هرگونه اطلاعات راجع به كاربر خدمات دسترسی از قبیل نوع خدمات، امكانات فنی مورد استفاده و مدت زمان آن، هویت، آدرس جغرافیایی یا پستی یا پروتكل اینترنتی (IP)، شماره تلفن و سایر مشخصات فردی اوست.

ماده33ـ ارائه‌دهندگان خدمات میزبانی داخلی موظفند اطلاعات كاربران خود را حداقل تا شش ماه پس از خاتمه اشتراك و محتوای ذخیره شده و داده ترافیك حاصل از تغییرات ایجاد شده را حداقل تا پانزده روز نگهداری كنند.

ماده34ـ هرگاه حفظ داده‌های رایانه‌ای ذخیره شده برای تحقیق یا دادرسی لازم باشد، مقام قضائی می‌تواند دستور حفاظت از آنها را برای اشخاصی كه به نحوی تحت تصرف یا كنترل دارند صادر كند. در شرایط فوری، نظیر خطر
آسیب‌دیدن یا تغییر یا از بین رفتن داده‌ها، ضابطان قضائی می‌توانند رأساً دستور حفاظت را صادر كنند و مراتب را حداكثر تا 24 ساعت به اطلاع مقام قضائی برسانند.
تبصره1‌ـ حفظ داده‌ها به منزله ارائه یا افشاء آنها نبوده و مستلزم رعایت مقررات مربوط است.

تبصره2ـ مدت زمان حفاظت از داده‌ها حداكثر سه ماه است و در صورت لزوم با دستور مقام قضائی قابل تمدید است.



جدایی از این قواننین باید بهتون بگم در فتا شخصا با موارد زیر مواجه شدمو به عنوان مدارک بر علیه و یا به نفع من مورد استفاده قرار گرفت که:

1- کلیه اتصالات شما به اینترنت و مدت اتصال و استفاده از هر گونه IP جهت دسترسی به سایت ها و غیره از شرکت ارائه دهند اینترنت و مخابرات پرینت گرفته میه و در اختیار پلیس و سایر مراجعه مربوطه قرار میگیره.

2- تمامی شرکت های ارائه دهنده هاست و دامین در ایران موظف هستن در صورت درخواست پلیس و یا مراجع دیگه کلیه اطلاعات شما رو از یکسال قبل تا به حال رو به صورت کامل و جامع تحویل بدن.

3- کلیه مسیج های شخصی و مکالمات شما از یک سال قبل تا به حال توسط مخابرات ثبت و در صورت لزوم در اختیار پلیس و سایر مراجعه قرار میگیره

4- صورت کله گرش های حساب بانکی از یکسال تا به حال ثبت و در صورت لزوم در اختیار پلیس و سایر مراجعه قرار میگیره

5- و خیلی موارد دیگه .....

نکته اطلاعات ثبت شده نه تنها برای من بلکه برای کسانی هم که هیچ ارتباطی به موضوع پرونده من در فتا نداشتن هم با دستور قاضی در اختیارشون قرار گرفت

چیزی که برای من عجیب بوده و هست اینکه چطوری مخابرات این حجم وسیع از اطلاعات رو داره زخیره میکنه مثلا مسیج و یا گزارش اتصال به اینترنت فکر نمیکنم زیاد حجم ببره ولی صدا ؟؟؟؟؟



خلاصه بگم جم بزنید کارتون ؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟ ؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟

اولاً که صدا با فرمتهای فشرده سازی خاص و تکنیکهایی مثل ذخیره سازی بصورت Mono و کاهش SampleRate ذخیره میشه و ثانیاً هارد دیسکهای چند اگزا بایتی و همچنین نوارهای مغناطیسی برای نگهداری و آرشیو اطلاعات مورد استفاده قرار میگیره. بطور کلی باید توی برنامه نویسی سایت سعی کنید اطلاعات کاربر رو ذخیره کنید. یک راه خیلی ساده، Serialize کردن آرایه SERVER_$ و ذخیره اون در دیتابیس همراه با Timestamp (توی یک فیلد جداگانه) هست. اینطوری همه اطلاعات مثل IP و User Agent و... رو دارین و هر زمان خواستین میتونید با کمک Timestamp اطلاعات بین دو تاریخ خاص رو استخراج کنید و دوباره با Unserialize کردن، اطلاعات رو استخراج کنید. بعنوان یک برنامه نویس وب، بیشتر از این از شما انتظار نمیره.

مهندس فکر کنم منظور از ارائه کنندگان خدمات دسترسی همون امثال ISP ها و اینا بوده باشه، نه برنامه نویسان عادی سایتها و اپلیکیشن های وب.

یک راه خیلی ساده، Serialize کردن آرایه SERVER_$ و ذخیره اون در دیتابیس همراه با Timestamp (توی یک فیلد جداگانه) هست. اینطوری همه اطلاعات مثل IP و User Agent و... رو دارین و هر زمان خواستین میتونید با کمک Timestamp اطلاعات بین دو تاریخ خاص رو استخراج کنید و دوباره با Unserialize کردن، اطلاعات رو استخراج کنید.

لطفا کمی بیشتر توضیح دهید ...

چندی پیش برای من مشکلی پیش اومد و از پلیس فتا منو خواستند که گذشت از مشکل پیش آمده باعث شده قانون جرائم رایانه ای رو حتما بخونم وگرنه خطری که شانسی از بیخ گوشم گذشت دیگه پیش نیاد لازم دونستم بعضی از قوانین رو حتما براتو بگم تا شما هم دچار مشکل نشید
شغلت چیه؟ چه سرویسی ارائه میکردی؟ چه اطلاعاتی رو ازت خواستن؟ آیا گفتن وظیفهء شما بوده از نظر قانونی که این اطلاعات رو ذخیره و نگهداری و ارائه کنید به پلیس؟ دقیقا وظیفهء کیه؟ برنامه نویس وب و سایت عادی؟ مطمئن هستید؟ اگر شما فقط یک برنامه نویس عادی هستید شاید همینطور ازتون خواستن ولی از نظر قانونی وظیفهء شما نبوده.

البته این چیزایی که گفتی در کشورهای دیگر هم هست مشابهش، ولی تاجاییکه من دیدم و یادم میاد همش درمورد ISP ها و مراکز مخابراتی و اینها بوده، نه برنامه نویسان و طراحان سایت عادی.

درسته ولی ذخیره کردن چنین اطلاعاتی خیلی به درد میخوره. بخصوص در مواقعی که خودمون بخوایم رد پای هکر و... رو پیدا کنیم. مثلاً ببینیم چه درخواستهایی داده بوده و چه فایلهایی رو درخواست کرده و...
ضمناً اگه سایت شما یک سایت خدماتی خاص (مثل شبکه اجتماعی) باشه، اونوقت این اطلاعات از شمای برنامه نویس هم درخواست خواهد شد و اینکه بخواین توضیح بدین که آقا من نمیدونستم لازمه و... آنچنان حرفه ای نیست.

شغلت چیه؟ چه سرویسی ارائه میکردی؟ چه اطلاعاتی رو ازت خواستن؟ آیا گفتن وظیفهء شما بوده از نظر قانونی که این اطلاعات رو ذخیره و نگهداری و ارائه کنید به پلیس؟ دقیقا وظیفهء کیه؟ برنامه نویس وب و سایت عادی؟ مطمئن هستید؟ اگر شما فقط یک برنامه نویس عادی هستید شاید همینطور ازتون خواستن ولی از نظر قانونی وظیفهء شما نبوده.
تا بحال گذرتون به فتا افتاده؟ اگه یکبار رفته باشین، میدونید که اونجا صحبت وظیفه من یا شما یا فلانی مطرح نیست. میگن باید انجام میدادی و نمیتونی بگی نه چون حرف حالیشون نیست. ازنظر حرفه ای هم که نگاه کنیم، وظیفه برنامه نویس هم هست که Log درخواستها رو ذخیره کنه. این مسئله در سایتهایی مثل شبکه های اجتماعی یا تالار گفتگو و... اهمیت بیشتری پیدا میکنه چون به خودتون کمک میکنه کسی که مطلب نامربوط نوشته رو گیر بندازین و مسئولیت از شما برداشته بشه. درغیر اینصورت شما بعنوان برنامه نویس سایت مسئول خواهید بود که چرا جلوی درج چنین مطالبی رو نتونستین بگیرین و هیچ ردپایی هم ازکسی که این مطالب رو گذاشته ندارین. در اینجا از نظر حقوقی دو اتهام متوجه شماست که باعث میشه شریک جرم محسوب بشین (اگه بهتون لطف کن و خودتون رو مجرم حساب نکنن) : اول، ایجاد بستر برای مجرم جهت انتشار مطالب نامناسب در فضای وب و دوم، کمک به مجرم برای پنهان ماندن از پیگیریهای پلیسی و قضایی ازطریق عدم ثبت ردپاهای اینترنتیش.

لطفا کمی بیشتر توضیح دهید ...

mysql_query('INSERT INTO `logs` (`id`,`agent`,`ts`) VALUES (NULL,\'' . base64_encode(serialize($_SERVER)) . '\',' . time() . ')');
برای خوندن هم برعکس عمل کنید و اول base64_decode و بعد unserialize کنید.

بله متاسفانه یا خوشبختانه خیلی بد برخورد میکنند !
ی بار نزدیک بود با یکی از کارمندایی این ارگان در مشهد درگیر بشم،حرف منطقی حالیشون نیست :اشتباه:

کتاب جرایم رایانه ای رو خونده بودم ولی فک میکردم این قوانین دیگه فسیل شده مثل قانون حمایت از حقوق مولفان و مصنفان و هنرمندان (مصوب 1348/10/11) ولی مثل اینکه واقعیه!
این کتاب با وجود کم حجم بودن واقعاً ارزش خوندن داره. و این مقاله (http://www.prozhe.com/%D9%85%D8%B3%D8%A6%D9%88%D9%84%DB%8C%D8%AA-%DA%A9%DB%8C%D9%81%D8%B1%D9%8A-%D9%82%D8%A7%D9%86%D9%88%D9%86-%D8%AC%D8%B1%D8%A7%DB%8C%D9%85-%D8%B1%D8%A7%DB%8C%D8%A7%D9%86%D9%87-%D8%A7%DB%8C)که بدونید درچه صورت میتونن محکومتون بکنن.

اگه جایی به مشکل برخورد کردید حتماً حتماً وکیل خبره بگیرید معجزه میکنه.

شغلت چیه؟ چه سرویسی ارائه میکردی؟ چه اطلاعاتی رو ازت خواستن؟ آیا گفتن وظیفهء شما بوده از نظر قانونی که این اطلاعات رو ذخیره و نگهداری و ارائه کنید به پلیس؟ دقیقا وظیفهء کیه؟ برنامه نویس وب و سایت عادی؟ مطمئن هستید؟ اگر شما فقط یک برنامه نویس عادی هستید شاید همینطور ازتون خواستن ولی از نظر قانونی وظیفهء شما نبوده.

من یک CMS برای روزنامه ؟؟؟؟؟؟؟ تو شیراز نوشتم بعد سردبیر روزنامه رو گرفته بودن به دلیل یک مطلبی که رو سایتشون قرار گرفته بود بعد پلیس منو خواسته بود که سورس برنامه رو که از میهن وب هاست گرفته بودن رو با توضیحات من کاملا برسی کنن و ببینه که چطوری تونستن این مطلب رو رو سایت قرار بدن به طوری که مسئولان روزنامه گفته بودن ما نگزاشتیم و نقص از برنامه من بوده اون زمان من به صورت اطفاقی یک قسمت آمار برای اون CMS نوشته بودم که مشخصات کاربران بازدید کننده سایت و کاربران رو ثبت میکرد مثل IP و از چه صحفه ای بازدید کرده و یا چه مطلبی نوشته و چیزای دیگه اگر این قسمت نبود تا بشه فهمید که خود مسئولای روزنامه این مطالب رو نوشته بودن پلیس فتا تو گزارشش مینوشت نقص در برنامه بوده و طبق یک تبصره ای شش ماه زندان داشت چون میگفتن این نقص رو از عمد گزاشتم تا بتونن دیگرون به اسم هک سیستم مثلا تو هین مه مقدسات و ....... نظام کنن در ضمن اجباری هست که تمامی برنامه نویسان حتما یک قسمت ثبت وقایع در هر برنامه ای چه تحت وب و چه غیره ایجاد کنن هیچ ربطی هم به ISP و غیره نداره همه مجبورن هم برنامه نویسان و هم ISP و هر کسی که در زمینه مخابراتی و رایانه باشه باید این کار رو بکنن مثلا در شیراز تمامی کافنت ها مجبور هستن با ارائه کارت ملی توسط مشتری اقدام به ارائه سرویس کنن و حتما باید دوربین مدار بسته داشته باشن

درضمن اون پلیس فتایی که تو فیلم هایی مثل هوش ساه و غیره میبینید نیستن کسایی هستن که وقتی پات گیرشون بیوفته اول باید یک دوره کامپیوتر و برنامه نویسی و همه چیز رو یادشون بدی تا بعد حالیشون بشه تو چکار کردی یا میخواستی بکنی
در ضمن با اتفاقی که برای من افتاد پیشنهاد میکنم قوانین تعزیرات و قوانین جرائم رایانه ای رو حتما بخونید چون وقتی بخوان بهت گیر بدن کاری ندارن که تو کی هستی وقت کار دارن که چطوری حرف خودشون به کرسی بشینه مثل بلاهایی که سر تیم سایت نارجی اومده

اومدیم و اون طرفی که مطلب رو داده بود وارد بود و بخش Logging رو یجوری غیرفعال کرده بود یا دور زده بود یا حساب کن اصلا با یه کوئری راحت رکوردهاش رو از دیتابیس پاک میکرد؛ اونوقت چی؟
لاگ که خود برنامه داشته باشه که سند محکمی نمیشه، چون هم میشه پاکش کرد و هم میشه رکوردهای جعلی توش گذاشت که یکی دیگه رو مقصر جلوه بدن.

ای بابا میری شکایت میکنی هیشکی نیست پیگیری کنه .

باور کنید پارسال از یه بنده خدایی به جرم کلاهبرداری و وعهده های واهی ( شرکت رسمی بود زیر نظر وزارت علوم ) شکایت کردیم به خاطر اینکه به هیچ یک از قول هایی که داده بود عمل نکرد .
یک بار تو پاسگاه گروه تجسس بازجویی کرد . فرستاد پرونده به اگاهی اونجام دوباره بازجویی شد ( انگار من مجرم بودم اون یارو شاکی ) فرستادن دادگاه بازپرس دادگاه دوباره بازجویی کرد . گفت برین دو ماه بعد بیایین . دو ماه بعد درخواست دادن رفتیم . برگه های بازجویی از لای پرونده گم شده بود . معلوم بود کار وکیل شرکت بوده . دوباره بازجویی کردن . گفتن برین 4 ماه دیگه بیایین . 4 ماه دیگه رفتیم گفتن وقت شما افتاده 2 ماه بعد . ( باور کنید همینجوری الکی الکی دو سال از وقت و زندگیمون بخاطر 2 میلیون تومان هدر رفت . تو ای دو سال ماهی 100 هزار بیشتر کار میکردم 2200 در اورده بودم از شکایتم صرف نظر میکردم بهتر بود )

اخرشم بعد این دوسال شانس ما گرفت یارو مجرم در امد , التماس کرد قاضی هم گفت 4 تا چک 500 بدی خلاص کنید . گفت ندارم و .. قاضی هم 100 هزارش کم کرد . 1900 بهمون داد تو 4 تا چک بعد یکسال دریافت شد . ( زمان کل پرونده 3 سال ) :قهقهه:

ماه گذشته نمایندگی هاست گرفتیم از یک بنده خدای بد دهن بعد اینکه پول گرفت دیگه انگار منو نمیشناخت و هر چی پی ام میدادیم محل نمیداد فقط میزبانی وب داد . اونم پر مشکل هر چی میگفتم این قسمت و من دسترسی ندارم . میگفت ما تو شرکت مشکل خوردیم ( حالا شرکتم نبود دروغ میگفت با رفیقش ( شریکش ) دعواش افتاده بود دسترسیش محدود کرده بوده رفیقش ) کاری نمیتونم بکنم . و .. بعد یک ماه میگم پولم پس بده نمیده فحاشی میکنه . روز اولم دیدم خدماتش خوب نیست پشیمان شیدیم بعد 4 ساعت درخواست برگشت پول دادیم ولی بهانه کردن .

حالا ازش کلی مدرک دارم . میخواهم شنبه برم فتا شکایت کنم . با این اوصاف دوستمون که گفتن باید خوب رسیدگی بشه انشالله ... ولی تو سایت های دیگه مثل انجمن وب هاستیگ تالک گفته بودن بچه ها که رفتن شکایت کردن کسی رسیدگی نکرده .

یک سوال :

این قانون برای هاسیتنگ ها است ؟ ولی تو هر هاستینگی که بری نوشته اگر بعد از 1 الی 3 روز هزینه وی پی اس یا سرور رو پرداخت نکنید تمام اطلاعات شما حذف میشه . اون وقت 6 ماه ذخیره کردن این اطلاعات به عهده خود هاستینگ است ؟ ( فکر بکنید به اندازه 3 تا سرور دیگه باید خریداری کنه که فقط این اطلاعات کاربران رو ذخیره کنه اونجا )

اومدیم و اون طرفی که مطلب رو داده بود وارد بود و بخش Logging رو یجوری غیرفعال کرده بود یا دور زده بود یا حساب کن اصلا با یه کوئری راحت رکوردهاش رو از دیتابیس پاک میکرد؛ اونوقت چی؟
لاگ که خود برنامه داشته باشه که سند محکمی نمیشه، چون هم میشه پاکش کرد و هم میشه رکوردهای جعلی توش گذاشت که یکی دیگه رو مقصر جلوه بدن.
اینقدرها هم راحت نیست. توی فتا برخی از کارمندانشون هکرهایی هستن که دستگیر شدن و بجای زندان رفتن، به استخدام فتا در اومدن. پس کارشون رو خوب بلدن. بحث رکوردهای جعلی که منتفیه چون با لاگهای فایروال و Traceهای ISP و... تطبیق میدن. اما بحث حذف شدن رکوردها هم باز بعهده خود شماست و سایتتون باید درمقابل SQL Injection و حذف اطلاعات لاگ امن باشه وگرنه باز شما مقصر هستین.

این قانون برای هاسیتنگ ها است ؟ ولی تو هر هاستینگی که بری نوشته اگر بعد از 1 الی 3 روز هزینه وی پی اس یا سرور رو پرداخت نکنید تمام اطلاعات شما حذف میشه . اون وقت 6 ماه ذخیره کردن این اطلاعات به عهده خود هاستینگ است ؟ ( فکر بکنید به اندازه 3 تا سرور دیگه باید خریداری کنه که فقط این اطلاعات کاربران رو ذخیره کنه اونجا )
درمورد مشکلتون باید بگم که عمر فتا تا جایی که یادمه به 3 سال نمیرسه و به تازگی اینقدر فعال شده و مطمئن باشین الآن خیلی بیشتر از قبل پیگیری میکنن.
درمورد سؤالتون هم باید بگم که این قانون برای همه هست. ضمناً این اطلاعات خیلی هم زیاد نیست (برای هر درخواست حدود چند کیلوبایت میشه) که اگه فشرده سازی بشه، خیلی از این اطلاعات چون تکراری هست و محتوا هم متنیه، حجم به شدت کاهش پیدا میکنه. من الآن روی سایت خودم (ncis.ir) لاگ تمام درخواستهای همه کاربران رو از یکسال قبل تا حالا دارم و حجمش کلاً شده یه چیزی حدود 20 مگابایت (با فشرده سازی). بطور متوسط روزانه بین 500 تا 1000 بازدید هم از سایتم انجام میشه.

توی فتا برخی از کارمندانشون هکرهایی هستن که دستگیر شدن و بجای زندان رفتن، به استخدام فتا در اومدن.
فک نکنم اینجوری باشه! آخه هرچی هم که پلیس بخواد تضمین بگیره که خرابکاری نکنه نمیتونه یه black hat رو مهار کنه و اون رو جلوی سیستمی بگذاره که به ثبت احوال و هزار و یه ارگان دولتی دیگه شبکه شده و دسترسی مستقیم داره.
ضمنا هیچ جای قانون نیومده که به جای حبس و شلاق و جریمه نقدی و تنبیه هایی که در قانون وضع شده، نیروی انتظامی بیاد و از استعداد اون فرد استفاده بکنه!

کسایی هستن که وقتی پات گیرشون بیوفته اول باید یک دوره کامپیوتر و برنامه نویسی و همه چیز رو یادشون بدی تا بعد حالیشون بشه تو چکار کردی یا میخواستی بکنی
در سطح علمی کارمندان فتا شکی نیست یه نگاه به استخدامیهای فتا بندازید میبینید بیشتر داره ارشد و دکترا میگیره. مثل رسته انتظامی نیست که با مدرک ابتدایی و سیکل و دیپلم استخدام بشن. اگر هم فکر میکنید چیزی حالیشون نیست اشتباه میکنید. روش افسران تحقیق و تجسس و بازپرس پرونده و ... برای کسب اطلاعات اینه که خودشون رو به نفهمی میزنن و آدم رو میترسونن تا بیشتر حرف بزنه و به تناقض گویی برسه بعد اون رو گیر بندازن.

اومدیم و اون طرفی که مطلب رو داده بود وارد بود و بخش Logging رو یجوری غیرفعال کرده بود یا دور زده بود یا حساب کن اصلا با یه کوئری راحت رکوردهاش رو از دیتابیس پاک میکرد؛ اونوقت چی؟
لاگ که خود برنامه داشته باشه که سند محکمی نمیشه، چون هم میشه پاکش کرد و هم میشه رکوردهای جعلی توش گذاشت که یکی دیگه رو مقصر جلوه بدن.
حالا طرف وارد بود و با کوئری کارایی که شما هم گفتید انجام داد گزارشات خود هاست هم که جدا توسط سرور ثبت شده هم میره تغییر میده؟ بکاپ هایی که تو سط هاست داره صورت میگیره هم میره تغییر میده؟ خوب که شما پلیس فتا یا قاضی نشدی وگرنه الا اعدام بودیم بابا

در سطح علمی کارمندان فتا شکی نیست یه نگاه به استخدامیهای فتا بندازید میبینید بیشتر داره ارشد و دکترا میگیره. مثل رسته انتظامی نیست که با مدرک ابتدایی و سیکل و دیپلم استخدام بشن. اگر هم فکر میکنید چیزی حالیشون نیست اشتباه میکنید. روش افسران تحقیق و تجسس و بازپرس پرونده و ... برای کسب اطلاعات اینه که خودشون رو به نفهمی میزنن و آدم رو میترسونن تا بیشتر حرف بزنه و به تناقض گویی برسه بعد اون رو گیر بندازن.

والا درست نمیدونم چی بگم ولی هر کسی هم با مدرک لیسانس یا دکترا یا هر چیزی که استخدام کرده باشن قرار نیست واقعا کار عملی رو بلد باشه بشتر تئوری خونده بعدشم یعنی اینقدر اون بازپرس فتایی که از من سوال میکرد با سود بود که تو گزارشش به دادگاه آدرس ایمیل منو با www نوشته بود و آدرس ساب دامین رو هم با www.news.*****.com (http://www.news.*****.com/) نوشته بود که قاضی خودش خندش گرفته بود وقتی گزارش رو داشت میخوند

بعدشم افراد زبده و باسواد واقعی رو برا پرونده هایی استفاده میکنن که معمولا در باره اتهام هایی چون اقدام بر علیه امنیت ملی ، تو هین به مقدسات نظام، جاسوسی ، قتل ، کسب مال های تقریبا زیاد و غیره که دارای ارزش براشون باشه استفاده میکنن نه برای هر پرونده ای اگه این جوری بود که همشون واقعا وارد بودن نباید ساده ترین نکته رو اون جوری تو گزارشش بنویسه اون هم تو دو تا گزارش جدا که با فاصله زمانی بوده اولی اشتباه کرده بود دومی چی فکر نکنم

در سطح علمی کارمندان فتا شکی نیست یه نگاه به استخدامیهای فتا بندازید میبینید بیشتر داره ارشد و دکترا میگیره. مثل رسته انتظامی نیست که با مدرک ابتدایی و سیکل و دیپلم استخدام بشن. اگر هم فکر میکنید چیزی حالیشون نیست اشتباه میکنید. روش افسران تحقیق و تجسس و بازپرس پرونده و ... برای کسب اطلاعات اینه که خودشون رو به نفهمی میزنن و آدم رو میترسونن تا بیشتر حرف بزنه و به تناقض گویی برسه بعد اون رو گیر بندازن.

من به اصل موضوع استاتر کاری ندارم ولی در خصوص این مطلب باید بگم یه رفیق داشتم لیسانس نرم افزار بود سال پیش رفت برای استخدام از سطح سواد این شخص بگم که تایپ 4 تا کلمه را با زحمت انجام میداد یعنی اگه بگم 0 بود در حقش ظلم شده باید بگم منفی 100 بود :لبخند: ولی این شخص استخدام شد ازش سوال کردم توی مصاحبه ها چی میپرسیدند گفت فقط سوال شرعی و دین و سیاست و اینجور چیزا . ولی حدود 6 ماهی الافش کردند که به قول خودشون تحقیق کننن و مو به مو زندگیش از بچگی تا این سنش را در آورده بودند . پس بعید میدونم بیایند یه هکر را به جای اجرای حکم بذارند کار اجباری انجام بده !

ضمنا هیچ جای قانون نیومده که به جای حبس و شلاق و جریمه نقدی و تنبیه هایی که در قانون وضع شده، نیروی انتظامی بیاد و از استعداد اون فرد استفاده بکنه!
دوست عزیز، قانون دست خودشونه! اینقدر مدینه فاضله توی ذهنتون ترسیم نکنید. ضمناً حتی هکرهای کلاه سیاه هم حاضرن بجای زندان رفتن، استخدام بشن و حقوق خوب بگیرن. وقتی هم استخدام بشن، اگه تخلفی انجام بدن دیگه برخورد فراتر از زندان خواهد رفت. بنابراین قابلیت کنترل و مهارشون بیشتر میشه بخصوص در اینجور موارد که پای خانواده هاشون هم وسط کشیده میشه.

اینکه دوستان نمونه میارن که افراد بی سواد استخدام شدن هم باید بگم که بله، همه جا توی کشور ما رابطه جای ضابطه رو میگیره ولی اگه بخوان گیر بدن، مطمئن باشین به اندازه کافی نیروی متخصص دارن که از عهده اثبات جرم بر بیان. بنابراین، توصیه میکنم روزه شک دار نگیرین و اطلاعات رو ذخیره کنید. حداقل اگه گیر دادن، حرفی برای گفتن دارین. مثلاً میگین «اگه من قصدم خلاف بود یا باهاش شریک بودم، اینهمه ردپا از فردی که پست رو گذاشته یا فلان کار رو انجام داده، ذخیره نمیکردم که با شما همکاری کنم»!

بحث رکوردهای جعلی که منتفیه چون با لاگهای فایروال و Traceهای ISP و... تطبیق میدن.
فکر کنم سناریوهای مشکل تری هم در کار باشه. لزوما یک طرفی نبوده که از خونش با IP خودش وصل شده. مثلا شاید با شبکهء همون مجموعه که از اتصال اینترنت مشترکی استفاده میکنن استفاده شده باشه. اونوقت چطوری میخوان تفکیک کنن؟


اما بحث حذف شدن رکوردها هم باز بعهده خود شماست و سایتتون باید درمقابل SQL Injection و حذف اطلاعات لاگ امن باشه وگرنه باز شما مقصر هستین.
اینطور باشه که برنامه نویسی بازم هزینش میره بالا باید دستمزد بیشتری بگیرن یا یه فکر دیگه ای بکنن میگم اصلا یه بیمه مخصوص برنامه نویسان درمقابل مسئولیت کاری درست کنن بریم عضو بشیم :لبخند:
بعدم من منظورم بیشتر دسترسی و خرابکاری از سمت همون شرکت و صاحبان سایت و کسانی که دسترسی دارن بهرصورتی بود. بهرحال در خیلی موارد اینطور نیست که شما هاست و اینها دست خودت باشه فقط و وقتی دسترسی ای بیشتر از اینترفیس برنامهء خودت به دیگران دادی دیگه عملا از کنترلت خارج شده و نمیشه تضمینش کرد. تازه حالا مسئولان سرور که به همهء سایتها دسترسی دارن هم یه مورد دیگه. امنیت و دسترسی هم که همش دست شما و در سطح برنامهء نویسی شما نیست شاید باگ و حفره جای دیگه بوده باشه هکری چیزی به هر شکلی یوزر و پسورد یا راه ورود رو پیدا کرده باشه.
اصولا برنامه نویسی و کامپیوتر چیزی نیست که به این راحتی بشه جاییش رو کنترل و تضمین کرد و از صحت اطلاعاتش مطمئن بود و بخصوص در موارد قانونی و برای محکومیت افراد سندیت محکمی داشته باشه. البته بعنوان مدرک و شواهد برای شناسایی و بازجویی افراد مضنون میتونه استفاده بشه، ولی فکر نمیکنم اینطور چیزها به تنهایی بتونه سند خاصی باشه برای محکوم یا تبرئه کردن کسی. هرچی هم بگی هکر دارن و بلدن و تحلیل میکنن بازم کار از این حرفا پیچیده تر و سخت تره و حتی متخصصان و بزرگان این رشته هم هستن که میگن ما اینقدر اطمینان و سندیت رو قائل نیستیم. توی کامپیوتر تقریبا همه کار میشه کرد. از 10 متری کیبوردت رو شنود میکنن هرچی تایپ میکنی درمیارن از پشت دیوار معلوم نیست چه کسی!! همون رابطی که شما باهاش توی اینترنت میری و بند و بساط کانالهای ارتباطی و از ویندوز و نرم افزارهای کرک شده و غیره و غیره، به هیچ کجاش نمیشه اعتماد کرد.
مثل اینکه یه خونه و باغ درندشت بی در و پیکر رو به شما واگذار کنن بگن مسئولیت امنیتش بعهدهء شماست!!

درسته به همین راحتی کسی محکوم نمیشه ولی اگه چنین قابلیتهایی (لاگ گیری حتی با امکان دور زدن!) نگذاشته باشین، عملاً خودتون دارین بهشون میگین من هم شریکم. حالا اگه سیستم لاگ باشه ولی چیزی ثبت نشده باشه، اونوقت میشینن بررسی میکنن ببینن چی شده و حتی هارد رو بر میدارن میبرن Recovery میکنن و کلی کارهای دیگه و بهرحال دست شما برای فرار از محکوم شدن بازتر از وقتیه که همینجوری به همه اعتماد کنی و هیچی لاگ نگیری. تازه میشه لاگها رو کدگذاری کرد که مسئول سرور نتونه دستکاری کنه و سیستم رو هم طوری بنویسیم که اگه سیستم لاگ غیرفعال باشه یا درست کار نکنه یا مثلاً نتونه برای سرور دیگری بفرسته (درجات بالاتر باگ)، اصلاً سایت بالا نیاد. کسی هم که اینقدر حرفه ای باشه که بخواد این چیزها رو از کار بندازه خوب خودش سایت رو میسازه و سراغ شما نمیاد.

به نظرم این قانون واسه شرکتهای ISP و ارائه دهندگان خدمات هاستینگ است و ربطی به برنامه نویس نداره!
بهتره یه نفس عمیق بکشید و به کارتون ادامه بدید :قهقهه:

ربطی به برنامه نویس نداره!
با 5 هزار تومن و تنظیم شکوائیه از هر کسی میشه شکایت کرد و تا بیاد ثابت کنه بی گناهه چند ماه وقت با ارزشش رو از دست داده اعصابشم خرد شده، چه ربطی به اون داشته باشه چه نداشته باشه. اگر همکاری نکرد و دادسرا نرفت یهو دیدید جلبش کردند.

بهتره یه نفس عمیق بکشید و به کارتون ادامه بدید http://barnamenevis.org/images/smilies/yahoo/124.gif
موافقم

با 5 هزار تومن و تنظیم شکوائیه از هر کسی میشه شکایت کرد و تا بیاد ثابت کنه بی گناهه چند ماه وقت با ارزشش رو از دست داده اعصابشم خرد شده، چه ربطی به اون داشته باشه چه نداشته باشه. اگر همکاری نکرد و دادسرا نرفت یهو دیدید جلبش کردند.

به همین راحتی ها هم نیست . طرف اگه بتونه ثابت کنه که هیچ نتونه شما شکایت میکنی و درخواست اعاده حیثیت و خسارات میکنید :لبخند:
کلا برنامه نویس بخواد به مسائل حاشیه ای زیاد توجه کنه به کار خودش هم نمیتونه برسه. خوبه آدم این چیزا رو بدونه اما حساسیت زیاد هم خوب نیست

سلام دوستان
به عنوان کسی که مشغول در شعبه جرایم رایانه ای دادسرا هستم و هر روز با پلیس فتا برخورد دارم عرض میکنم:


بله متاسفانه یا خوشبختانه خیلی بد برخورد میکنند !
ی بار نزدیک بود با یکی از کارمندایی این ارگان در مشهد درگیر بشم،حرف منطقی حالیشون نیست

دوست عزیز این رو مطمئن باشین بهترین برخورد توی نیروی انتظامی ،مربوط به فتاست شک نکنین.بعضی مواقع ما برخورد جدی و قاطع رو با برخورد بد اشتباه میگیریم.برخورد جدی و قاطعانه لازمه نیروی انتظامی است گرچه بعضی مواقع ناخوشایند هست ولی کمتر این جوری میشه


اگه جایی به مشکل برخورد کردید حتماً حتماً وکیل خبره بگیرید معجزه میکنه.

در بیش از 80 درصد مواقع پول هدر دادن هست


درضمن اون پلیس فتایی که تو فیلم هایی مثل هوش ساه و غیره میبینید نیستن کسایی هستن که وقتی پات گیرشون بیوفته اول باید یک دوره کامپیوتر و برنامه نویسی و همه چیز رو یادشون بدی تا بعد حالیشون بشه تو چکار کردی یا میخواستی بکنی

انصافاً این طوری نیست نمیگم خیلی آدم هایی خبره ای هستند ولی در 98 درصد مواقع سوادشون به اندازه ای هست که جوابگو باشه.در ضمن پلیس فتا اداره های مختلفی داره و هر اداره ای نیاز به تخصص کامپیوتر آنچنانی نداره.


توی فتا برخی از کارمندانشون هکرهایی هستن که دستگیر شدن و بجای زندان رفتن، به استخدام فتا در اومدن

انصافاً اینجور چیزی توی فتا نداریم:لبخند:


با 5 هزار تومن و تنظیم شکوائیه از هر کسی میشه شکایت کرد و تا بیاد ثابت کنه بی گناهه چند ماه وقت با ارزشش رو از دست داده اعصابشم خرد شده، چه ربطی به اون داشته باشه چه نداشته باشه. اگر همکاری نکرد و دادسرا نرفت یهو دیدید جلبش کردند.

تا حدودی با حرف دوستمون موافقم چون بعضی مواقع سهل انگاری که برنامه نویس مرتکب میشه رو به عنوان جرم تلقی میکنن.البته مطمئناً اگر سهل انگاری یا جرمی مرتکب نشده باشه هیچ وقت کاری به کارش ندارن.چند وقت پیش بود یه برنامه نویس جاوا و یه برنامه نویس دات نت رو صرفاً به خاطر سهل انگاری بازداشت کردیم:ناراحت:.البته از نظر قانونی همون سهل انگاری رو نوعی جرم محسوب میکنن.
در مورد مسئولیت کامنت و مطلب هایی که کاربران درج میکنن چندی پیش یکی از بزرگترین سایت های تبلیغاتی کشور رو یک هفته ای فیلتر کردیم.

درمورد مشکلتون باید بگم که عمر فتا تا جایی که یادمه به 3 سال نمیرسه و به تازگی اینقدر فعال شده و مطمئن باشین الآن خیلی بیشتر از قبل پیگیری میکنن.
درمورد سؤالتون هم باید بگم که این قانون برای همه هست. ضمناً این اطلاعات خیلی هم زیاد نیست (برای هر درخواست حدود چند کیلوبایت میشه) که اگه فشرده سازی بشه، خیلی از این اطلاعات چون تکراری هست و محتوا هم متنیه، حجم به شدت کاهش پیدا میکنه. من الآن روی سایت خودم (ncis.ir) لاگ تمام درخواستهای همه کاربران رو از یکسال قبل تا حالا دارم و حجمش کلاً شده یه چیزی حدود 20 مگابایت (با فشرده سازی). بطور متوسط روزانه بین 500 تا 1000 بازدید هم از سایتم انجام میشه.

تشکر .

شاید مربوط به این بحث نشه . گفتم اینجا مطرح کنم چون بحث داغ است .

کاش در مورد این مبحث جمع اوری اطلاعات کاربران و فشرده سازی توی پکیج اموزش PHP هم مطرح کنید . ( مبحث کوچپیک ولی پر کاربردی است . مخصوصا فشرده سازی اون همه اطلاعات توی 20 مگ )

:قلب:

اون هایی که به نظرت میرسه که واردن خیلی بلد باشن از صدقه سر همون جونایی هست که به جرم های مختلف میگیرنشون دو کلمه فقط تو حرف بلد هستن نه در عمل

در ضمن تو مورد وکیل موافقم 80% پول دور ریختنه چون وقتی یکی مثل *** بازپرس باشه هرکسی تو اتاق میره اول میره بازداشت بعد بدون اینکه طرف بتونه حرف بزنه دو تا جرم بجز جرم اول بهش میچسبونن بعد میدنش دادگاه تا اونا هم زورکی هرجور دلشون بخواد سرش بیارن

بهتره از موضوع تاپیک خارج نشین. پستهای غیر مرتبط حذف خواهد شد.

شاید به من مهاجر مربوط نباشه .

ولی اشتباه میکنید شخصیت یک ارگان دولتی رو زیر سوال میبرید . هر چی باشه یا نباشه پلیس مملکته و احترام به پلیس و کارش واجب و ضروری است همونطور که احترام به من و شمای برنامه نویس یا طراحی ضروری است .

سال گذشته منم تو اداره اگاهی بودم دیدم چطوری رفتار میکردن تو اگاهی مشهد . وجدانن من که بدی ندیدم اتفاقا هم رفتارشون مناسب و بهتر بود از اون قاضی نژاد پرست و هم زودتر و بهتر کارمو راه انداخت ( البته بخش اگاهی بود و اون بخش کلاهبرداری میز کناریش مربوط به جرایم رایانه ای میشد )

* صرفا جهت اطلاع بود . :قلب:

راستی اومدیم و کد کامل یک برنامهء اسپمر رو منتشر کردیم.
قصد ما از این کار ممکنه آموزش برنامه نویسی های با مقاصد خاص یا امنیت بوده باشه، ممکنه نشون دادن و اثبات عملی ضعف برنامه ها/سایتهای خاصی بوده باشه، ممکنه حتی قصد خودنمایی بوده باشه، خلاصه هر نیتی از مثبت تا منفی.
بعدش ممکن نیست از نظر قانونی خلاف باشه و بیان خرمون رو بگیرن؟
بخصوص بعد از اینکه چند نفر با اون کد روی سایتهای دولتی و اینا شیطنت بکنن.
حالا مثلا یه برنامه هایی مثل هویج و اینا رو میگی که اینا اسکنر امنیتی هستن، ولی یه برنامهء اسپمر رو که نمیشه گفت واسه تست و توسط متخصصان امنیت کاربرد داره.
حالا اگر بگی خب کد کامل برنامه رو نذار، فقط ایده رو بگو یا قطعه کد بذار، بصورت آموزشی.
ولی خب باز اینم به همون منوال نمیشه مطمئن بود که لزوما خطری نداره.

فکر میکنم هرکس کار امنیتی میکنه باید یخورده حواسش به این مسائل هم باشه چون خیلی کارها که ما فکر میکنیم مشکل چندانی ندارن درواقع میتونن غیرقانونی باشن. من یه جایی میخوندم که نوشته بود در بعضی کشورها اصلا اینکه با روبات به سایت دیگران بدون اجازهء خودشون دسترسی پیدا کنی غیرقانونیه! یعنی صاحب سایت بطور پیشفرض اجازه میده فقط کاربران انسانی و طبیعتا با مرورگر از سایت و سرویسش استفاده کنن.
حالا شما ممکنه بگی حتی برای تست و بررسی و کاربردهای غیرسوء استفاده هم بخوای با کد به سایت مورد نظر وصل بشی، ولی همون هم میتونه غیرقانونی باشه و بعدش تازه یوقت حتی بخاطر ضعف برنامهء اون سایت هم که بوده باشه و صدمه ای به برنامه و دیتاش بخوره از بابت کار روبات شما، اونوقت میتونه از شما شکایت کنه و مسئولیتش گردن شما (هم) هست.

اگر چنین قانونی وجود داشته باشه، الان پس مثلا اینایی که از سایتهای دیگه اخباری چیزی رو با کد میگیرن و توی سایت خودشون نمایش میدن یا هر استفادهء دیگری میکنن، دارن کار غیرقانونی میکنن.
حالا اگر اون سایت خودش یک API عمومی برای این موارد منتشر کرده بود (مثل بعضی سایتها که اینطور چیزها دارن)، یا اینکه صریحا اجازه داده بود، اونوقت مشکلی نداشت، ولی همینطوری شما سرخود حق نداری با کد حتی وصل بشی به سایت مردم، چه برسه به اینکه ازشون داده ای هم بگیری یا عملیاتی انجام بدی.