به گزارش مجله خبری نگار، در یادداشت امیرعباس رکنی آمده است: صاحبنظران منتقد به لایحه پیشنهادی ضد انحصار که در حال حاضر در کنگره آمریکا به تعلیق درآمده، بر این باور هستند که این لایحه چنانچه به تصویب رسیده و عملیاتی شود، یک هدیه برای هکرها محسوب میشود.
یکی از خطرناکترین موارد پیشبینیشده در این لایحه آن است که پلتفرمهای بزرگ فروشگاههای اپلیکیشن ملزم میشوند تا برنامههای ثالث را بدون بررسی و ارزیابی امنیتی در فروشگاههای خود عرضه کرده، یا به هر توسعهدهندهای اجازه دسترسی مستقیم به دستگاههای تلفن همراه مشتریان را بدهند؛ نام این عمل را قانونگذاران آمریکایی «بارگذاری جانبی» گذاشتهاند. برخی از شرکتها خواستار تصویب این مقررات هستند، زیرا به آنها اجازه میدهد از پرداخت هزینه به صاحبان فروشگاههای اپلیکیشن خودداری کنند و بهرهوری اقتصادی خود را افزایش دهند. این موضوع قابلدرک است، اما این تغییرات هزینههای جدی و عواقب قابلتوجه برای امنیت سایبری کاربران در پی دارد.
هکرها میدانند که یکی از سادهترین راهها برای دسترسی به رایانه یا تلفن همراه این است که قربانی را بدون اطلاع به دانلود و نصب نرمافزارهای مخرب وادار کنند. فیشینگ، عملی که در آن از طرق مختلف همچون ارسال ایمیل، خواننده را تشویق به باز کردن یک فایل پیوست میکنند، رایجترین فن برای این کار است، اما اپلیکیشنها هم ابزاری عالی برای هکرها هستند. تقریباً غیرممکن است که بدانید یک برنامه از کجا آمده است، چه چیزی در آن وجود دارد، چه کسی آن را نوشته است، یا هکرها ممکن است کدگذاری را به چه کسی واگذار کرده باشند. اگر این بخش از لایحه به قانون تبدیل شود، امکان قرار دادن یک برنامه بررسی نشده در بازار اپلیکیشن یا اجازه دادن به مردم برای دانلود برنامهها از این بازار پرآشوب به یکی از روشهای ارجح ارتکاب جرایم سایبری تبدیل خواهد شد. این امر نهتنها پیامدهایی مثل کلاهبرداری و سرقت معمول از افراد را در پی دارد، بلکه خطر ایجاد برنامههایی را دارد که با بارگذاری روی یک دستگاه شخصی، دسترسی به شبکههای شرکتی یا دولتی را فراهم میکنند. الزام شرکتها به ارائه دادههای فنی موردنیاز برای یک برنامه بهمنظور کار با تلفن (مانند نرمافزار سیستمعامل)، زندگی مجرمان و جاسوسان را آسانتر میکند.
مردم از افزایش نرمافزارهای جاسوسی مانند پگاسوس که مهاجم میتواند آن را از راه دور روی برنامهای بر روی یک دستگاه تلفن همراه نصب کند و دسترسی مخفیانه به مخاطبین، محتوا و سایر دادهها را بدون اطلاع یا رضایت قربانی به دست آورد، نگران هستند. نوشتن بدافزارها و یافتن راههایی برای نصب آنها بدون اطلاع قبلی بر روی دستگاه قربانی کار سختی است، اما شکار قربانی از طریق سیستمهای طعمهگذاری عمومی (قرار دادن لینکهای آلوده یا تولید بدافزارها در قالب اپلیکیشنهای محبوب در محیطهای عمومی همچون فروشگاههای اپلیکشین) بهمراتب برای هکرها آسانتر و کمهزینهتر است.
یکی از اهداف مهم هکرها و جاسوسان دسترسی به کد منبع است. این مسئله برای دههها وجود داشته است و معمولاً به انجام برخی اقدامات غیرقانونی یا مهندسی دشوار نیاز دارد. کد منبع مجموعه دستوراتی است که در برنامههای کامپیوتری گردآوری میشوند و به دستگاه میگویند که چهکاری انجام دهد. دسترسی به کد منبع میتواند به مهاجم اجازه دهد آسیبپذیریها را کشف کند یا نحوه غلبه بر سیستم دفاعی را بفهمد؛ اما اگر شرکتها حق درخواست دسترسی به کد منبع را ایجاد کنند، هکرها و مهاجمان بهجای اینکه مجبور باشند برای به دست آوردن کد منبع تلاش کرده یا از مهندسی معکوس استفاده کنند، میتوانند بهسادگی آن را از شرکت بخواهند. ازآنجاییکه بسیاری از برنامهها از پیش نوعی ویژگی «تماس با خانه» برای جمعآوری دادهها از کاربران دارند، ممکن است یک برنامه مخرب بهراحتی قابلشناسایی نباشد. هنگامیکه یک هکر قربانی را وادار به نصب یک برنامه کرد یا به کد منبع دسترسی پیدا کرد، کار دور زدن هرگونه سیستم دفاعی و دسترسی به دادهها یا شبکههای دیگر آسانتر میشود. در نتیجه تصویب این قانون فروشگاههای برنامه بهجای اینکه از ارائه برنامههایی که قابلاطمینان بودن آنها را نمیدانند جلوگیری کنند، موظف هستند اجازه دسترسی به آنها را بدهند.
باور کردن این جمله که فقط کسبوکارهای قانونی برنامههای جدید را منتشر میکنند یا کد منبع را درخواست میکنند سادهلوحانه است. مجرمان سایبری و جاسوسان فرصتطلب هستند و فوراً به آسیبپذیریهای جدیدی مانند ضعفهایی که این لایحه سهواً ارائه میکند واکنش نشان میدهند. در حال حاضر برنامههای مخرب زیادی در اینترنت وجود دارد و درخواست برای کد منبع بهطوریکه به نظر برسد از سوی یک کسبوکار قانونی درخواست شده است، تنها نیاز به کمی مهارت دارد. ایجاد یک شرکت پیشتاز کار چندان سخت و سنگینی نیست، زیرا اکثر توسعهدهندگان اپلیکیشن شرکتهای کوچک هستند و گاهی اوقات فقط چند نفر را استخدام میکنند و بر همین اساس گه ایجاد یک شرکت کاذب بهسادگی امکانپذیر است. به اعتقاد اندرو لوئیس کارشناس ارشد فناوریهای استراتژیک، یکی از اصلیترین نگرانیها در خصوص لایحه ضد انحصار این است که در صورت تصویب، ایالاتمتحده شاهد آن خواهد بود که فروشگاههای آنلاین جعلی بیشتر و شرکتهای پیشتاز بیشتری برای فعالیتهای مجرمانه در بازارهای بدافزار ظاهر شوند. بازار پر تکاپوی بدافزار بهعنوان یک ارائهدهنده خدمات، برنامههای آلوده را هم به لیست پیشنهادها اضافه میکند.
مشکلات احتمالی دیگری نیز وجود دارد، زیرا این لایحه احتمالاً به نوآوری یا فرایند رقابت فناورانه آمریکا و چین نیز آسیب میزند، اما آسیب به امنیت سایبری مشکلی آنی و بالفعل است. انگیزه اصلی این لایحه آن است که به شرکتها بتوانند فارغ از هزینههای فروشگاههای اپلیکیشن که مسلماً بالا بوده و حدوداً ۳۰ درصد از میانگین گردش مالی این صنعت را به خود اختصاص داده است، اجتناب کنند. شکستن انحصار غولهای فناوری مالک محبوبترین فروشگاههای اپلیکیشن نیز از دیگر انگیزههای اصلی تنظیم این لایحه است به نظر میرسد «دروازهبانان» اکنون بهای اقدامات گذشته را میپردازند.
اما همین وصف کنایهآمیز خود گویای وضعیت به متناقض کنونی است... چراکه بدون دروازهبان، دروازهها برای عبور هرکسی بازخواهد بود. سادهترین اصلاحاتی که در قانون میتوان انجام داد این است که به صاحبان فروشگاه اپلیکیشن اجازه داد همانند گذشته به بررسی کدها و سلامت آن قبل از قرار دادن برای فروش بپردازد و حق خدمات خود را بر اساس تعرفههای منصفانه دریافت کنند و همچنان به مسدود کردن بارگذاری جانبی به دلیل عدم امنیت آن ادامه دهند. فضای مجازی به مرحلهای رسیده است که فناوریهای بزرگ بیش از هر زمان دیگری نیاز به تنظیم گری دارند و در این مورد هیچ بحثی وجود ندارد؛ اما نه به قیمت آشفتهتر شدن وضعیت امنیت سایبری کاربران و کورتر شدن گره شرایط کنونی.