Хабрахабр

Хакеры в рамках законов РФ

После публикации статьи о моих исследования в качестве Grey hat, в комментариях к статье и в чате Telegram (@router_os) люди стали писать, что я нарушил все законы и меня посадят.

И как обещал, спустя несколько месяцев я пишу эту статью и даже не из камеры СИЗО 🙂 Более того вчера получил очередной сертификат MTCRE.

Но я не нашёл ни одной внятной статьи как относятся к хакерам в Российской Федерации в рамках действующих законов. В Интернете очень много статей о хакерах и отношениях к ним в различных странах. Возможно не там искал, но всё же.

Предлагаю разобраться в разновидностях хакеров более детально в том числе с точки зрения судебной практики в РФ.
Далее будет чисто моё мнение, основанное на моём опыте и информации, полученной из открытых источников.

Поэтому хотел бы увидеть Ваше мнение и замечания в комментариях.

На сегодняшний день существуют три типа хакеров:

White hat или Этичный хакер

Чаще всего это наёмные специалисты по безопасности в задачи которых входит поиск уязвимости в компьютерных системах по заказу или техническому заданию владельца системы.

Их также называют — пентестеры.

Фанатиков своего дела среди них не много. В большинстве случаев они имеют профильное образование. Выше головы не стараются прыгнуть. Они делают то, чему их научили и что их попросили сделать.

Так же к White hat можно отнести участников конкурсов и программ на подобии «Bug Bounty».

Главная мотивация: гарантированное вознаграждение за их работу.

Black Hat или киберпреступник

Это те супер злодеи, которых привыкли видеть в различных фильмах и о которых рассказывают по ТВ.

Например, стырить очередную базу и продать её в Даркнете. Как правило это те же высококвалифицированные специалисты, как и этичные хакеры, но могут быть без высшего образования и имеющие корыстную личную мотивацию.

Шанс озолотиться на много выше, чем у «Белой шляпы», но и риск уехать в места не столь отдалённые тоже высок. Действия «Чёрных шляп» почти во всём мире вне закона.

Они всегда имеют преступный умысел.

Grey hat

Хоть цвет у этих шляп промежуточный, но они в корне отличаются от киберпреступников и этичных хакеров.

С неподдельным любопытством изучают исследуемую IT систему. Обычно это молодые люди, которые ещё верят в справедливость в этом мире и готовы безвозмездно помогать другим.

В случае обнаружения какой-то уязвимости, которой могут воспользоваться злоумышленники, пытаются повлиять на её дальнейшее развитие:

  • Кто-то об этой баге сообщает владельцу IT системы
  • Кто-то пытается её исправить самостоятельно
  • Кто-то на общественном ресурсе публикует описание этого бага.

Их деятельность не направлена на получение прибыли.

Природа человека такова, что каждый хочет признания в обществе.

Поэтому не получив желаемого признания, студенты снимают «Серую шляпу». Но, «Кто людям помогает — тот тратит время зря.» (Шапокляк).

Дальше у бывших альтруистов несколько путей:

  • Искать легальную работу, связанную с исследуемой темой.
  • Забить и забыть.
  • Встать на скользкую дорожку киберпреступника.

И я не исключение.

Я познакомился с оборудованием Микротик ещё в 2015 году, когда устроился на работу в организацию, в которой применялось это оборудование. Но сеть была построена крайне отвратительна (например, каждый сегмент сети NATился имея прямые линки) и я стал изучать микротик с цель правильного строительства сети.

Но я продолжил в вялом режиме ковырять эту систему. Через год я сменил работу и Микротик ко мне стал попадать на много реже.

Не имея материальной выгоды от знаний RouterOS я в 2018 сдал экзамен MTCNA и вчера получил MTCRE

Рано или поздно любопытство к Mikrotik у меня угаснет, если не появится профессиональный интерес.

Пираты

Они, по сути, относятся к киберпреступникам. Да и подавляющее большинство далеки от ИТ, но я должен их упомянуть в рамках этой статьи.

Тем более их судят по «хакерским» статьям. Всё же их цель своровать контент, деактивировать защиту и перепродавать, не отчисляя вознаграждений владельцу контента.

Закон РФ о хакерах

В нашей стране разрешено всё, что явно не запрещено.

Давайте по порядку рассмотрим их. Что запрещено для хакеров прописано в четырёх статьях 28 главы Уголовного Кодекса.

S.: В данной статье я не рассматриваю преступления, которые не подпадают под 28 главу. P. Например, здесь владельца прокси для Kate Mobile пытаются привлечь по статье 132 УК РФ (насильственные действия сексуального характера в отношении неустановленного лица), так как педофил пользовался этим приложением.

272 УК РФ «Неправомерный доступ к охраняемой законом компьютерной информации»

Не всю информацию охраняет закон. То есть чтобы информация стала охраняемой, то о ней должно упоминаться в законодательном акте.

Если кто-то проник к Вам на комп и стырил Вашу курсовую работу, то его не могут привлечь по этой статье.

Какую именно информацию охраняет закон:

  1. Тайну телефонные переговоров и любой вид текстовых сообщений. (ст. 29 Конституции РФ). Мошенники, которые крали смс с номера 900 и выводили деньги с карты жертвы привлекались именно по этой статье. (Привет протоколу SS7).
  2. Коммерческая (№ 98-ФЗ) и государственная тайна (№ 5482-1). Для этой информации должен быть строго определён круг лиц, имеющий к ней доступ и регламент её использования. То есть та информация, которую без специального разрешения простой гражданин получить её не может.
  3. Врачебная тайна (ст. 13 закона №323-ФЗ). Неправомерный доступ к документации Минздрава можно привлекать по этой статье.
  4. Банковская тайна (ст. 26 закона № 395-1).
  5. И т.д.

(ст. Так же любая информация может стать «охраняемой законом», в случае если владелец информации предпринял все необходимые меры, чтобы защитить её. 07. 6 закона N 149-ФЗ от 27. 2006 N 149-ФЗ «Об информации...»).

272 УК РФ его привлечь нельзя, даже учитывая, что у него был преступный умысел.
Требование обновлять ПО на роутере является обязательным условием для защиты информации. Если злоумышленник взломал Ваш сайт с логином «admin» и паролем «123» и на главной странице разместил неприличную картинку, то по ст.

273 УК РФ Создание, использование и распространение вредоносных компьютерных программ

Под эту статью попадают, разумеется, все вирусы и кряки для программ, которые нейтрализуют защиту ПО.

К таким программам в обязательном порядке пишут аннотацию, что её можно использовать только с согласия владельца информационной системы. А вот программы для пентеста – очень спорный момент. Но если судебной власти понадобится, то не составит особого труда назвать эту программу вредоносной.

Либо чистосердечное признание. При любом раскладе по этой статье должны поймать с поличным при создании, использовании или осознанном распространении этих программ.

А так как наши следователи в подавляющем большинстве не сильны в IT, то в приговоре по этой статье часто фигурирует строка:

273 ч. «В судебном заседании подсудимый признал себя виновным в предъявленном ему обвинении по ст. 1 УК РФ полностью и ходатайствовал о постановлении приговора в особом порядке, без проведения судебного разбирательства.»

Поэтому если коллекция кряков хранится на вашем диске, то это не основание привлечения по этой статье.

274 УК РФ Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

Привлечь по этой статье можно только если деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб.

Честно говоря, я не нашёл судебную практику по ней… Либо плохо ищу, либо в РФ не научились её применять.

274.1 УК РФ Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации

Та же ситуация. Теорию по этой статье можно найти здесь habr.com/ru/post/346372

Пример из моей практики

После очередного релиза «личного кабинета клиента банка» разрабы допустили баг, который при переводе денег с карты на счёт не проверял наличие этих денег на карте. Обычный клерк, который умеет кликать мышкой углядел этот баг. Накликал себе некоторую сумму. Причём делал это и на работе и у себя дома без всяких VPN.

Так как суточный лимит по карте был установлен в 25000 рублей, то он это делал несколько дней подряд, пока эту багу не обнаружили в банке.
Когда его нашли и предложили добровольно вернуть бабло без обращения в полицию (всё-таки косяк банка и СБ банка это понимала), то он пошёл в отказ, мол не мои проблемы, что ваша система бабло раздаёт. Сам лично снимал эти деньги в банкомате.

1 ст. Чувака осудили как раз по ч. 272 УК РФ, так как он осознано неправомерно модифицировал охраняемую законом банковскую информацию.

Ущерб

Даже если в деяниях хакера не установлен состав преступления, то ущерб можно получить в гражданском порядке (ГК РФ Статья 1064).

Например, если бы я обновил прошивку на дырявом Mikrotik и он «окирпичился», то владелец этого роутера (после отказа в возбуждении УД) может подать на меня в суд в гражданском порядке и попросить суд взыскать с меня этот ущерб.

Заключение

По сути хакера в РФ могут привлечь к уголовной ответственности только по двум статья и только при следующих обстоятельствах:

  1. Хакер получил доступ к охраняемой законом информации либо воспользовался вредоносной программой
  2. При этом его поймали с поличным и/или имеются доказательства, что это именно он (что происходит крайне редко).
  3. Доказан преступный умысел либо халатность.

Ну или он сам во всём признается, даже если ничего не делал 🙂

Для этого у них должен быть преступный умысел и быть достаточно тупыми в IT и правовом плане. Согласно законам РФ «Серые шляпы» не могут случайно стать уголовниками. Ведь осуждённых реальных хакеров в РФ практически нет.

И меня в рамках законов РФ нельзя привлечь к уголовной ответственности за то, что я внёс изменения в фаервол маршрутизатора, даже если кто-то понёс от этого действия ущерб…

Но не забываем, что следователи и суды в РФ могут выносить любые решения, которые могут не дружить со здоровым смыслом и часто напоминают

анекдот:

Приходит он домой и говорит сыновьям:
— У нас корову украл какой-то пидар.
Старший брат: — Если пидар — значит маленький.
Средний брат: — Если маленький — значит из Малиновки.
Младший Брат: — Если из Малиновки — значит Васька Косой.
Все выдвигаются в Малиновку и там прессуют Ваську Косого.
Однако Васька корову не отдает. Украли у мужика корову. Вот у меня коробка, что в ней лежит?
Старший брат: — Коробка квадратная, значит внутри что-то круглое.
Средний: — Если круглое, то оранжевое.
Младший: — Если круглое и оранжевое, то апельсин.
Судья открывает коробку, а там и правда апельсин.
Судья — Ваське Косому:
— Косой, отдай корову.
Его ведут к мировому судье.
Мировой судья:
— Ну… Логика мне ваша непонятна.

Надеюсь, что эта статья даст Вам больше уверенности в исследованиях в сфере IT!

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть