1.15k likes | 1.62k Views
กฎหมายอาชญากรรมคอมพิวเตอร์. อ.ดร. มห ศักดิ์ เกตุฉ่ำ Faculty of Information Technology. กฎหมายที่เกี่ยวข้อง. พระราชบัญญัติลิขสิทธิ์ พ.ศ.2537 พระราชบัญญัติว่าด้วยธุรกรรมอิเล็กทรอนิกส์ พ.ศ.2544 พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550. พระราชบัญญัติลิขสิทธิ์ พ.ศ.2537.
E N D
กฎหมายอาชญากรรมคอมพิวเตอร์ อ.ดร.มหศักดิ์ เกตุฉ่ำ Faculty of Information Technology
กฎหมายที่เกี่ยวข้อง • พระราชบัญญัติลิขสิทธิ์ พ.ศ.2537 • พระราชบัญญัติว่าด้วยธุรกรรมอิเล็กทรอนิกส์ พ.ศ.2544 • พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
พระราชบัญญัติลิขสิทธิ์ พ.ศ.2537 • กฎหมายลิขสิทธิ์ของประเทศไทยให้ความ คุ้มครองแก่งานที่ทำเสร็จแล้วทุกงาน โดยไม่จำเป็นที่จะต้องแสดงการสงวนลิขสิทธิ์ หรือดำเนินการจดทะเบียนลิขสิทธิ์งานนั้น เป็นการให้ความคุ้มครองโดยอัตโนมัติ • โปรแกรมคอมพิวเตอร์ สื่อดิจิตอล บทความบนเว็บ เป็นงานอันมีลิขสิทธิ์
การละเมิดลิขสิทธิ์ • ทำซ้ำหรือดัดแปลง • เผยแพร่ต่อสาธารณชน • ให้เช่าต้นฉบับหรือสำเนางานดังกล่าว
ข้อยกเว้นการละเมิดลิขสิทธิ์ข้อยกเว้นการละเมิดลิขสิทธิ์ (1) วิจัยหรือศึกษาโปรแกรมคอมพิวเตอร์นั้น (2) ใช้เพื่อประโยชน์ของเจ้าของสำเนาโปรแกรมคอมพิวเตอร์นั้น (3) ติชมวิจารณ์หรือแนะนำผลงานโดยมีการรับรู้ถึงความเป็นเจ้าของลิขสิทธิ์ในโปรแกรมคอมพิวเตอร์นั้น (4) เสนอรายงานข่าวทางสื่อสารมวลชนโดยมีการรับรู้ถึงความเป็นเจ้าของลิขสิทธิ์ในโปรแกรมคอมพิวเตอร์นั้น (5) ทำสำเนาโปรแกรมคอมพิวเตอร์ในจำนวนที่สมควรโดยบุคคลผู้ซึ่งได้ซื้อหรือได้รับโปรแกรมนั้นมาจากบุคคลอื่นโดยถูกต้องเพื่อเก็บไว้ใช้ประโยชน์ในการบำรุงรักษาหรือป้องกันการสูญหาย (6) ทำซ้ำดัดแปลงนำออกแสดงหรือทำให้ปรากฏเพื่อประโยชน์ในการพิจารณาของศาลหรือเจ้าพนักงานซึ่งมีอำนาจตามกฎหมายหรือในการรายงานผลการพิจารณาดังกล่าว (7) นำโปรแกรมคอมพิวเตอร์นั้นมาใช้เป็นส่วนหนึ่งในการถามและตอบในการสอบ (8) ดัดแปลงโปรแกรมคอมพิวเตอร์ในกรณีที่จำเป็นแก่การใช้ (9) จัดทำสำเนาโปรแกรมคอมพิวเตอร์เพื่อเก็บรักษาไว้สำหรับการอ้างอิงหรือค้นคว้าเพื่อประโยชน์ของสาธารณชน
บทกำหนดโทษ • ปรับตั้งแต่สองหมื่นบาทถึงสองแสนบาท ถ้าการกระทำความผิดตามวรรคหนึ่งเป็นการกระทำเพื่อการค้าผู้กระทำต้องระวางโทษจำคุกตั้งแต่หกเดือนถึงสี่ปีหรือปรับตั้งแต่หนึ่งแสนบาทถึงแปดแสนบาทหรือทั้งจำทั้งปรับ
พระราชบัญญัติว่าด้วยธุรกรรมอิเล็กทรอนิกส์ พ.ศ.2544 • พรบ.ฉบับนี้มุ่งเน้นการกำหนดให้ผลทางกฎหมายของข้อมูลอิเล็กทรอนิกส์ มีผลเทียบเท่ากับข้อมูลในรูปแบบกระดาษ (Functional –equivalent Approach) ความเป็นกลางทางเทคโนโลยีหรือความเป็นกลางของสื่อ (Technology Neutrality/Media Neutrality) รวมไปถึงความศักดิ์สิทธิ์ในการแสดงเจตนา (Party Autonomy) โดยพรบ.ฉบับนี้จะเข้ามามีผลในการบังคับใช้ควบคู่ไปกับกฎหมายฉบับอื่นที่มี อยู่แล้ว มิได้เข้ามาแทนที่การบังคับใช้กฎหมายฉบับอื่น
ประเด็นที่สำคัญ - ข้อความที่อยู่ในรูปของข้อมูลทางอิเล็กทรอนิกส์จะมีผลผูกพันและบังคับใช้ทางกฏหมาย (มาตรา 7) - การเก็บรักษาเอกสาร ต้นฉบับต้องมีวิธีการที่สามารถเข้าถึงและนำกลับมาใช้ได้โดยความหมายไม่ เปลี่ยนแปลง มีความครบถ้วน และสามารถนำมาอ้างอิงในภายหลังได้ (มาตรา 8,12)- การรับรองลายมือชื่อ จะต้องใช้วิธีการที่มีความเชื่อถือได้ โดยสามารถระบุตัวเจ้าของลายมือชื่อและสามารถพิสูจน์ได้ว่าเจ้าของลายมือชื่อ นั้นยอมรับว่าเป็นของตน (มาตรา 9)- การทำธุรกรรมอิเล็กทรอนิกส์ภาครัฐ (มาตรา 35)
อาชญากรรมคอมพิวเตอร์ อาชญากรรมที่ใช้คอมพิวเตอร์เป็นองค์ประกอบในการกระทำความผิดทั้งทางตรง และ ทางอ้อมโดยเกี่ยวข้องกับอาชญากรรมในหลาย ๆ รูปแบบ ดังนี้ ใช้เป็นเครื่องมือในการกระทำความผิด เป็นเป้าหมายในการกระทำความผิด ใช้ในการเก็บข้อมูลที่เกี่ยวข้องกับการกระทำความผิด
1. อาชญากรรมแบบดั้งเดิมที่ใช้คอมพิวเตอร์ช่วยในการกระทำความผิด (Traditional Computer Crimes) หรือ อาชญากรรมที่เกี่ยวข้องกับ คอมพิวเตอร์ (Computer Related Crimes)เป็นการใช้เทคโนโลยี ช่วยในการกระทำความผิดในรูปแบบดั้งเดิม ซึ่งสามารถปรับใช้กฎหมาย ที่มีอยู่ในปัจจุบันดำเนินคดีได้ ได้แก่ • คดีข่มขู่ , หมิ่นประมาท , ก่อความเดือนร้อนรำคาญ • ฉ้อโกง • การพนัน • ขายสินค้าผิดกฎหมาย, ละเมิดลิขสิทธิ์ • จำหน่าย/ เผยแพร่ / ช่วยให้เผยแพร่ ภาพลามกอนาจาร
2.อาชญากรรมคอมพิวเตอร์ (Computer Crimes) เป็นอาชญากรรมรูปแบบใหม่ ซึ่งกฎหมายที่มีอยู่ในปัจจุบัน ไม่เพียงพอที่จะปรับใช้และดำเนินคดี จำเป็นต้องออกกฎหมาย อาชญากรรมคอมพิวเตอร์ขึ้นมารองรับโดยตรง ได้แก่ การเจาะระบบคอมพิวเตอร์ (การบุกรุก) การดักจับข้อมูลในเครือข่ายคอมพิวเตอร์ การขโมย เพิ่ม แก้ไข เปลี่ยนแปลง ทำลายข้อมูล Spam Mail, Virus , Trojan , Backdoor การก่อการร้ายทางไซเบอร์
ลักษณะการกระทำความผิดที่พบในประเทศไทยลักษณะการกระทำความผิดที่พบในประเทศไทย
คดีหมิ่นประมาท / ก่อความเดือดร้อนรำคาญ หมิ่นประมาทบนกระดานข่าว, เว็บบอร์ด , เว็บไซต์- ประชาชนทั่วไป- สถาบันพระมหากษัตริย์ : เว็บไซต์, กระดานข่าว, รูปภาพ ก่อความเดือดร้อนรำคาญ/หมิ่นประมาท โดยใส่เบอร์โทรศัพท์ ของผู้อื่นลงบนกระดานข่าว ทำนองต้องการเพื่อนแก้เหงา หรือ ขายบริการทางเพศ ข่มขู่ผู้นำประเทศอื่นผ่านทางอีเมล์
คดีตัดต่อภาพดารา เผยแพร่ผ่านอินเทอร์เน็ต เกิดเหตุ ระหว่างเดือนมิถุนายน 2542 ถึงวันที่ 30 พฤศจิกายน 2542 พิพากษา วันที่ 22 มีนาคม 2545 พิพากษาว่า จำเลยมีความผิดตามประมวลกฎหมายอาญา มาตรา 328 ฐานหมิ่นประมาทผู้อื่นโดยการโฆษณา จำคุก 1 ปี ปรับ 40,000 บาท มาตรา 287ฐานเพื่อความประสงค์แห่งการค้า เพื่อแสดงอวดแก่ประชาชน ทำให้แพร่หลายด้วยประการใดๆ ซึ่งสิ่งพิมพ์รูปภาพหรือสิ่งอื่นใดอันลามก จำคุก 1 ปี ปรับ 6,000 บาท รวมจำคุก 2 ปี ปรับ 46,000 บาท จำเลยให้การรับสารภาพ ลดโทษกึ่งหนึ่งตามประมวลกฎหมายอาญา มาตรา 78 จำคุก 12 เดือน ปรับ 23,000 บาทโทษจำคุกให้รอการลงโทษไว้มีกำหนด 2 ปี
คดีเผยแพร่ภาพลามกอนาจารผ่านทางอินเทอร์เน็ตคดีเผยแพร่ภาพลามกอนาจารผ่านทางอินเทอร์เน็ต ที่ผ่านมาเคยมีการจับกุมประมาณ 10 กว่าคดี เป็นความผิดตาม ป.อาญา มาตรา 287 ฐานเพื่อความประสงค์แห่งการค้า เพื่อแสดงอวดแก่ประชาชน ทำให้แพร่หลายด้วยประการใดๆ ซึ่งสิ่งพิมพ์รูปภาพหรือสิ่งอื่นใดอันลามก ศาลพิพากษา จำคุกประมาณ 3-6 เดือน ปรับ 3,000 บาท โทษจำคุกรอการลงโทษไว้มีกำหนด ประมาณ 1-2 ปี
คดีฉ้อโกง ชาวเยอรมันพักอาศัยอยู่ในประเทศไทย เปิดเว็บไซต์หลอกลวง ชาวต่างชาติว่าเป็นผู้หญิงไทย ต้องการเดินทางไปเป็นภรรยาโดยขอให้โอน เงินค่าตั๋วเครื่องบินมาให้ (ศาลพิพากษาจำคุก) ใช้กระดานข่าวเป็นช่องทางในการหลอกลวงประชาชนโดยประกาศ ขายโทรศัพท์มือถือราคาถูก และให้ติดต่อกลับผ่านทางโทรศัพท์มือถือแบบ เติมเงิน โดยโอนเงินผ่านทางบัญชีธนาคาร
คดีฉ้อโกง (ต่อ) นำภาพ รีสอร์ท โรงแรม ในประเทศไทย ไปเปิดเว็บไซต์รับจองที่ พักในต่างประเทศ นำภาพมูลนิธิของประเทศไทย ไปเปิดเว็บไซต์รับบริจาคใน ต่างประเทศ หลอกลวงผ่านทาง Email ว่าท่านเป็นผู้โชคดีได้รับรางวัล ให้ติดต่อ กลับแล้วหลอกลวงให้โอนเงินค่าธรรมเนียมกลับไปให้
การปลอมแปลง / phishing ความผิดเกี่ยวกับบัตรอิเล็กทรอนิกส์ ได้แก่ การใช้อุปกรณ์ขโมยข้อมูลบัตรเครดิต เมื่อลูกค้ามาใช้บริการและชำระเงินด้วยบัตรเครดิต เพื่อนำไปทำบัตรเครดิตปลอม ปัจจุบันได้มีการเพิ่มความผิดเกี่ยวกับบัตรอิเล็กทรอนิกส์ เข้าไปในส่วนของ ความผิดเกี่ยวกับการปลอมและการแปลง ป.อาญา โดยบัตรอิเล็กทรอนิกส์ ได้แก่ บัตรเครดิต บัตรเอทีเอ็ม บัตรเติมเงิน บัตรเปิดประตูห้องของโรงแรม เหรียญโดยสารของรถไฟฟ้า ซึ่งอาจอยู่ในรูปแบบของ รหัสผู้ใช้งานและรหัสผ่าน โดยไม่จำเป็นต้องออกบัตรอิเล็กทรอนิกส์ให้กับผู้ใช้งาน และรวมถึงสิ่งที่ใช้ประกอบข้อมูลอิเล็กทรอนิกส์เพื่อระบุยืนยันตัวบุคคล ได้แก่ ลายมือชื่ออิเล็กทรอนิกส์ การใช้เทคโนโลยีชีวภาพเพื่อระบุตัวบุคคล
แนวทางการป้องกัน http://www.antiphishing.org/ Actual Link
Hack ระบบโทรศัพท์มือถือ เจาะระบบโทรศัพท์มือถือ เพื่อเข้าไปเปลี่ยนแปลงข้อมูลบัตรเติมเงินในฐานข้อมูลของบริษัท การเจาะระบบคอมพิวเตอร์ยังไม่เป็นความผิดตามกฎหมายไทย ดำเนินคดีโดยตั้งข้อหา ปลอมแปลง
การพนันผ่านทางเว็บไซต์การพนันผ่านทางเว็บไซต์
คดีจำหน่ายสารประกอบยาเสพติดผ่านเว็บไซต์คดีจำหน่ายสารประกอบยาเสพติดผ่านเว็บไซต์ เปิดเว็บไซต์จำหน่ายสินค้าในต่างประเทศ ชำระเงินผ่านทางบัตรเครดิต หรือ PayPal ใช้ร้านอินเทอร์เน็ตคาเฟ่ตรวจสอบอีเมล์ ซุกซ่อนสินค้าและจัดส่งผ่านทางพัสดุตามปกติ
สถิติการรับแจ้งเว็บไซต์ไม่เหมาะสมสถิติการรับแจ้งเว็บไซต์ไม่เหมาะสม ปีก่อน หลัง กลั่นกรอง กลั่นกรอง • 2548 10,646 3,023 • 2547 10,630 4,710 • 2546 6,080 2,597 • 2545 4,266 1,522 • 2545-2548 25,294 11,852
สถิติที่ ศตท.ได้รับการประสานงานและขอคำปรึกษา ปี 2549 คดี จำนวน หมิ่นประมาท 78 ภาพลามกอนาจาร 19 หมิ่นพระบรมเดชานุภาพ 16 ฉ้อโกง 15 ความมั่นคง 5 การพนัน 5 Hacking 5 ลิขสิทธิ์ 4 ข่มขู่ 2 งานตรวจพิสูจน์พยานหลักฐานทางอิเล็กทรอนิกส์ 14 รวม 163
สถานที่ตั้งของเครื่องคอมพิวเตอร์แม่ข่ายสถานที่ตั้งของเครื่องคอมพิวเตอร์แม่ข่าย
ขั้นตอนการตรวจสอบ หมายเลขกระทู้ ผู้ดูแลเว็บไซต์หรือ WebMaster 1.ตรวจพบการกระทำความผิด ติดต่อผู้ดูแลเว็บไซต์ เพื่อขอ หมายเลขไอพี และวัน เวลา ที่ post ข้อความ 2.ตรวจหมายเลข ไอพี ว่าเป็นของ ISPรายใด แล้วทำหนังสือสอบถาม 3.ตรวจสอบหมายเลขโทรศัพท์ ว่าเป็นของผู้ให้บริการรายใด เพื่อ ทำหนังสือสอบถามหาเจ้าของเบอร์ IP, วันและเวลา IP, วันและเวลา ผู้ให้บริการอินเทอร์เน็ต หรือISP เบอร์โทรศัพท์ เบอร์โทรศัพท์ ผู้ให้บริการโทรศัพท์ ชื่อเจ้าของเบอร์โทรศัพท์
IP Address (Internet Protocol) Real IP Proxy IP
Greenwich Mean Time GMT ( 0 ) http://www.timezoneconverter.com/
URL (Uniform Resource Locator) www.thaisecondhand.com/_board/co/data/CO3306690.html
ติดต่อผู้ดูแลเว็บไซต์ติดต่อผู้ดูแลเว็บไซต์
สภาพปัญหา • ผู้กระทำความผิดอยู่ตรงไหนก็ได้ในโลก • ใช้เทคโนโลยีที่ซับซ้อนในการกระทำความผิด • ยากต่อการตรวจพบร่องรอยการกระทำผิด • ยากต่อการจับกุมและนำผู้กระทำผิดมาลงโทษ • ความเสียหายกระทบถึงคนจำนวนมาก & รวดเร็ว • พยานหลักฐานส่วนมาก อยู่ที่ต่างประเทศ
aa การกระทำความผิดตามมาตราต่างๆ การแอบเข้าถึง ข้อมูลคอมพิวเตอร์ มาตรา ๗ การดักข้อมูลคอมพิวเตอร์ มาตรา ๘ แอบเข้าไปในระบบคอมพิวเตอร์ & แอบรู้มาตรการป้องกันระบบคอมพิวเตอร์ (ขโมย password)มาตรา ๕ และ มาตรา ๖ การรบกวน/ แอบแก้ไขข้อมูล มาตรา ๙ การรบกวนระบบคอมพิวเตอร์ มาตรา ๑๐
ช่องโหว่ของระบบ(Vulnerabilities of Network) Source : Hacking exposed : Network Security Secrets & Solutions by Joel Scambray, Stuart McClure and George Kurtz
การโจมตี (Cyber Attack) Agents • Client coordinates attack • Victim bandwidth is quickly eliminated Victim Network Agents Handler ISP Client Internet Agent (25) Distribution Network A Handler Distribution Network B Agent (25) ISP Handler
Footprinting • Scanning • Enumeration • Gaining Access • Escalating privilege • Pilfering • Covering tracks • Creating back doors • Denial of Service ขั้นตอนการเจาะระบบ (Anatomy of Hack) 1.การสำรวจเครือข่ายเป้าหมายเพื่อหาหนทางเข้าถึงเป้าหมายเหล่านั้น จำเป็นที่จะต้องรวบรวม Addressingของเป้าหมายให้มากที่สุด 2. การสแกนลงไปใน Addressingของเป้าหมายเพื่อหาให้ได้ว่ามีเครื่องใดที่กำลังเปิดใช้งานอยู่ และ เปิด Portที่กำลังเปิดใช้งาน 3. การหาข้อมูลจาก Port ที่เปิดอยู่ในแต่ละเครื่อง เช่น การทำ Gathering Banner Information, การเข้าถึง Service สำคัญๆ เพื่อหาช่องโหว่ 4. เป็นการเข้าถึงระบบโดยการ Exploit เข้าไปยังช่องโหว่หากเห็นว่าช่องโหว่เหล่านั้นสามารถที่จะทำการ Exploitได้ หรือใช้เทคนิคในการดักจับข้อมูลรหัสผ่าน เพื่อนำมาเข้าถึงระบบต่อไป 5.เป็นการเพิ่มสิทธิในกรณีที่เข้าถึงระบบแต่ยังไม่มี Administrator Privilege อาจทำโดยการฝังโปรแกรมเพื่อ Brute Force Passwordในเครื่องเป้าหมายหรือฝังโปรแกรมดักจับรหัสผ่าน Sniffer ลงในเครื่องเป้าหมาย เพื่อดักจับรหัสผ่านของผู้ที่มีAdministrator Privilege 6. หากสามารถยึดครองเครื่องเป้าหมายได้แล้วแต่ไม่มีสิ่งที่ต้องการ ก็จะใช้ข้อมูลในเครื่องที่ยึดครองได้แล้วต่อยอดเพื่อเข้าถึงเครื่องอื่นๆ ต่อไป 7. เมื่อยึดครองเครื่องต่างจำเป็นที่จะต้องลบรอยที่ตามเครื่องต่างๆ ที่เข้าถึงเพื่อป้องกันการตรวจสอบภายหลัง 8. เมื่อยึดครองเครื่องใดได้ ก็จะทำการฝังโปรแกรมประเภท Back Door เพื่อป้องการหากรหัสผ่านที่ถือครองอยู่ถูกเจ้าของเปลี่ยน ผู้บุกรุกก็ยังคงสามารถเข้าถึงระบบได้โดยง่าย 9. หากไม่สามารถทำขั้นตอนใดๆ ตั้งแต่ Enumerationการทำ Denial of Service ก็เป็นทางเลือกที่จะทำให้เครื่องเป้าหยุดการทำงานลงได้ Source : Hacking exposed : Network Security Secrets & Solutions by Joel Scambray, Stuart McClure and George Kurtz
โครงสร้างของกฎหมาย • มาตรา ๑ ชื่อกฎหมาย • มาตรา ๒ วันบังคับใช้กฎหมาย • มาตรา ๓ คำนิยาม • มาตรา ๔ ผู้รักษาการ • หมวด ๑ ความผิดเกี่ยวกับคอมพิวเตอร์ มาตรา ๕ ถึงมาตรา ๑๗ (ส่วนแรก : กระทำต่อคอมพิวเตอร์/ข้อมูลคอมพิวเตอร์ อันกระทบต่อความลับ ความครบถ้วน และสภาพพร้อมใช้งานของระบบคอมพิวเตอร์และข้อมูลคอมพิวเตอร์) (ส่วนที่สอง : ใช้คอมพิวเตอร์/ข้อมูลคอมพิวเตอร์กระทำความผิดอื่น) • หมวด ๒พนักงานเจ้าหน้าที่ มาตรา ๑๘ ถึงมาตรา ๓๐