Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L23
العمليات والتقصيمتقدم60mL23

Federal Cyber Law — قبل ما تكتب أمر واحد

CFAA و ECPA و Title III و FISA — حدود اللي تقدر تعمله

#CFAA#ECPA#FISA#Title III#Federal

ليه المحلّل التقني محتاج يفهم في القانون؟

إنت محلّل تقني شاطر.

- طب يا حضرتك أنا تقني، القانون شغل المحامي مش شغلي.

اوعى يا مستجد. ده بالظبط نوع التفكير اللي بيحرق القضايا.

طب لو سحبت log من غير authority؟ لو فتحت mailbox من غير warrant؟ لو كلّمت ضحية في قطاع خاص قبل ما تتكلم مع OGC؟

القضية بتسقط.

وإنت شخصياً بتتحاسب.

تشبيه — شرح مبسط
بُص. تخيّل جرّاح يعرف يقطع كويس، بس ما يعرفش إمتى محتاج موافقة المريض. التقنية من غير سلطة قانونية = إنت بتحرق نفسك قبل ما تحرق القضية. الـ FBI مش بيقيّم شغلك بـ "نجحت تخترق ولا لأ" — بيقيّمه بـ "هل اللي عملته يصمد قدام محكمة فيدرالية".
اللي بيحصل فعلياً
الدرس ده تمهيدي. بيرسملك الخريطة، بس مش بيحلّ مكان OGC ولا AUSA. لو واخد قرار حقيقي بناءً على درس على نت، يبقى إنت كده كده بتغلط.كل قرار حقيقي = OGC + AUSA + توثيق.

قصة من الواقع: قضية اتحرقت من خطوة واحدة

السيناريو
فريق تحقيق فيدرالي وصل لـ C2 server بيتحكّم في botnet. الـ analyst قرر "ياخد فرصة" ويسحب memory dump من السيرفر قبل ما يجيب warrant — السيرفر في dropbox أمريكي والوقت ضيّق. اللي حصل فعلياً؟ كل الـ evidence اتعملها suppress تحت 4th Amendment. الـ defendants خرجوا. والـ analyst اتنقل برّه الفريق.

الدرس مش "تأخّر علشان القانون".

الدرس: في 99% من الحالات، عندك أداة قانونية مناسبة — لو طلبتها صح. الـ Pen/Trap بياخد ساعات. الـ warrant بياخد يوم. الـ Title III بياخد أسابيع. خطّط من الأول، مش لما الموقف يضغط عليك.

هرم السلطة القانونية الأمريكية

  1. Constitution — التعديل الرابع (4th Amendment): حماية من unreasonable searches/seizures. الأساس لكل warrant.
  2. Statutes (Acts of Congress) — CFAA, ECPA, FISA.
  3. Executive Orders — EO 12333 (Intelligence Community).
  4. Regulations — DOJ guidelines, AG Guidelines for Domestic FBI Operations.
  5. Case Law — Supreme Court & Circuit decisions تفسّر القوانين (Carpenter v. US, Riley v. California, etc.).

CFAA — Computer Fraud and Abuse Act (18 USC 1030)

القانون الجنائي الرئيسي للجرائم السيبرانية. يعاقب الوصول غير المصرّح به أو "تجاوز الوصول المصرّح به" لحاسوب محمي.

ما يجرّم
  • اقتحام حاسوب لسرقة معلومات (1030(a)(2)).
  • نقل برمجية ضارة تسبب ضرراً (1030(a)(5)).
  • الاتجار بكلمات مرور (1030(a)(6)).
  • الابتزاز (1030(a)(7)).
ما يعنيه للمحلّل
  • اعتمادك على authorization صريح في كل مهمة pentest.
  • "Active Defense" المهاجِم محظور — لا "hack back".
  • قراءة honeypot data شرعية، لكن إغراء المهاجم لـ system خاص به ≠ مسموح.
Van Buren v. United States (2021)
المحكمة العليا قيّدت "exceeds authorized access" — لا تشمل misuse للمعلومات التي يحق للموظف الوصول إليها. مهم لقضايا insider threat.

ECPA — Electronic Communications Privacy Act (1986)

ينظم وصول الحكومة إلى الاتصالات الإلكترونية. ثلاثة أجزاء:

Title I — Wiretap Act (Title III)
محتوى اتصالات real-time. يحتاج "super warrant" (Title III order). معايير عالية: probable cause + exhaustion of alternatives + minimization.
Title II — Stored Communications Act (SCA)
المحتوى المُخزَّن (إيميل قديم، ملفات سحابية). معايير حسب العمر: ≤180 يوم تحتاج warrant، >180 يوم قد تكفي subpoena. (تغيّر بعد Carpenter؛ معظم providers يطلبون warrant الآن).
Title III — Pen/Trap
Metadata (dialed numbers, IP addresses, headers). معيار أدنى: court order، ليس probable cause.
نقطة جوهرية
التقاط traffic على شبكة المؤسسة محتاج consent (banner) أو "provider exception". متفترضش الـ consent من نفسك — اقرا الـ banner بتاع المؤسسة وشوف سجل acceptable-use الموقّع. غير كدة، إنت بتمشي على لغم.

Title III — Wiretap Act (18 USC 2510 et seq.)

أعلى حماية في القانون الأمريكي. content interception real-time = wiretap.

  • يحتاج Title III order من قاضٍ فيدرالي.
  • إذن من DAG / Associate AG / AAG (وزارة العدل).
  • أقصى 30 يوم، قابل للتجديد.
  • Minimization — إيقاف الـ capture عند الاتصال غير ذي الصلة.
  • Exhaustion — يجب إثبات أن طرق التحقيق الأخرى فشلت أو ستفشل.
استثناءات
  • Consent of one party — إذا طرف من المحادثة يوافق (banner = consent).
  • Provider exception — للمزوّد للحماية الأساسية لخدمته.
  • Computer trespasser — مع موافقة صاحب النظام، الحكومة قد تلتقط traffic المهاجم.

FISA — Foreign Intelligence Surveillance Act (1978)

قناة موازية لـ Title III، لكن لـ foreign intelligence، ليس law enforcement.

  • FISA Court (FISC) — قضاة مختصون، إجراءات سرية.
  • Section 702 — مراقبة non-US persons خارج الولايات. مثيرة للجدل.
  • Section 215 (سابقاً) — business records bulk collection. أُلغيت / عُدّلت بعد Snowden.
  • Title I FISA — مراقبة "agents of foreign powers" داخل الولايات.
جدار فاصل
FISA وTitle III ما بيتخلطوش بسهولة. المحقّق الجنائي ما يقدرش يستخدم FISA. ومحلّل الـ intel ما يقدرش يحوّل intel لـ criminal evidence من غير خطوات قانونية محدّدة. الفصل بين Title 50 (intel) و Title 18 (LE) ده أساس شغل الـ FBI — لو خلطت بينهم، حرقت القضية.

EO 12333 — Intelligence Community Charter

الأمر التنفيذي الأم للـ USIC. يحدّد:

  • المهام و الصلاحيات لكل وكالة (CIA, NSA, DIA, FBI Intelligence Branch, etc.).
  • معايير جمع intel على US persons (محظور إلا عبر procedures معتمدة).
  • "Minimization procedures" لحماية خصوصية الأمريكيين.
  • Oversight — Inspector General, Privacy and Civil Liberties Oversight Board (PCLOB).

كل وكالة لديها AG-approved procedures (e.g., NSA's USSID-18، CIA's AR 2-2). محلّل في الـ FBI Cyber Division يخضع لـ DIOG (Domestic Investigations and Operations Guide).

ميكانيكا الأدوات القانونية

text
المستوى            ما يصلح له                    معيار قانوني
──────────────────────────────────────────────────────────────
Subpoena           Subscriber info, basic records  Reasonable
                                                   relevance
2703(d) Order      Transactional records,          Specific and
                   non-content                     articulable facts
Warrant            Stored content (email body,    Probable cause
                   files); search & seizure
Pen/Trap           Real-time metadata              Court order
                                                   (relevant)
Title III Order    Real-time content (wiretap)     Probable cause
                                                   + exhaustion +
                                                   minimization
NSL                Subscriber info / metadata      FBI sole authority
(National Security                                 + threat to
 Letter)                                           national security
FISA Order         Foreign intel surveillance      FISC approval

حالات Supreme Court يجب أن تعرفها

Carpenter v. US (2018)
Cell-site location records (CSLI) تتطلب warrant. أنهى third-party doctrine للـ digital location data. تأثيره يمتد لكثير من البيانات الرقمية.
Riley v. California (2014)
تفتيش الهاتف عند الاعتقال يحتاج warrant — حتى للهاتف نفسه.
US v. Jones (2012)
وضع GPS tracker على سيارة = search تحت 4th Amendment. مهم لـ continuous digital tracking.
Van Buren v. US (2021)
ضيّق CFAA — "exceeds authorized access" لا يشمل misuse للوصول المصرّح.

Information Sharing — DSHEA, CISA 2015

  • Cybersecurity Information Sharing Act (CISA 2015) — يوفّر liability protection للقطاع الخاص حين يشارك Cyber Threat Indicators مع الحكومة عبر AIS (Automated Indicator Sharing).
  • InfraGard — partnership FBI ↔ private sector في 16 sectors.
  • JCDC (Joint Cyber Defense Collaborative — CISA) — public/private operational collaboration.
  • عند الشك في classification: TLP + اسأل OGC.

Privacy & Civil Liberties — قواعد ملزمة

ركائز يجب احترامها
  • Privacy Act (1974) — كيفية تخزين معلومات US persons. نظام قواعد للـ "system of records".
  • Attorney General Guidelines — قيود على predicated investigations vs assessments.
  • USPER protections — جمع/استبقاء معلومات US persons يخضع لقواعد إضافية حتى في intel context.
  • Whistleblower channels — IG و PCLOB. لا تتجاوزها.

ليه إنت محتاج OGC في حياتك اليومية

  • قبل أي capture جديد، أي أداة جديدة، أي data sharing جديد.
  • قبل ما تتواصل مع private sector عن حادث.
  • قبل ما تسلّم intel لـ AUSA لـ criminal prosecution.
  • عند الشك: اسأل، ووثّق السؤال والإجابة. التوثيق ده هو اللي بيحميك إنت شخصياً.
قواعد عملية
  1. اقرأ DIOG و SOP الخاصة بفرقتك.
  2. احفظ contact OGC و AUSA المخصّصة.
  3. وثّق predication لكل investigation.
  4. افهم الفرق بين Assessment و Preliminary Investigation و Full Investigation.
  5. التزم بـ minimization — لا تجمع أكثر مما تحتاج.
  6. لا تخلط Title 50 و Title 18 work.
  7. كل قرار قابل للمراجعة — وثّق reasoning.

غلطات الـ junior

اللي بيحصل لما الـ junior يستعجل
  • "خد screenshot وخلاص" — مفيش chain of custody، مفيش hash، مفيش متى. الـ defense هيـ destroy الـ evidence ده في 5 دقايق.
  • كلّم الضحية قبل OGC — قلت معلومات عن investigation سرية، حرقت source.
  • خلط Title 50 و Title 18 — أخدت intel من 702 وحطّيتها في criminal affidavit. الـ AUSA بتلعنك من جدّك.
  • "مش محتاج warrant، الـ provider هيدّيلي" — أيوة هيدّيلك Subscriber info فقط. أي حاجة فيها content من غير warrant = suppression.
  • ما وثّقتش ليه أخدت القرار ده — بعد سنتين في trial، مش هتفتكر. بدون الـ documentation، الـ reasoning بتاعك مش موجود.

الخلاصة الناشفة

القانون مش "حاجز" قدام شغلك. القانون هو شغلك.

أي analyst شاطر تقنياً وضعيف قانونياً = خطر على فرقته.

اعرف الـ tool المناسب للموقف، اطلبه من الأول، ووثّق كل خطوة. وما تخافش تسأل OGC. السؤال مش ضعف — السؤال هو اللي بيحميك.

اكتبها على الحيطة اللي في وش السرير: كل قرار قابل للمراجعة. وثّق reasoning قبل ما تنساه.

موارد للقراءة الذاتية

  • DOJ "Searching and Seizing Computers" Manual — الكتاب المعياري.
  • NIST SP 800-86 — Forensic integration in IR.
  • EFF Surveillance Self-Defense — نظرة perspective civil liberties.
  • Lawfare blog — تحليل قانوني لقضايا cyber الراهنة.
  • JustSecurity.org — كذلك.
  • Marshall, "The Lawyer's Cyber Security Handbook".
  • FBI's DIOG (Public Version) — الإطار الإجرائي للمحقق.
السابق
Threat Intel — تعرف اللي قصادك
الوحدة التالية
Pentest Reporting — التقرير اللي بيخليك تتدفع