🗝️ 🎰 🔕 قراصنة في إطار قوانين الاتحاد الروسي 🎌 👶 🍱

بعد نشر مقال عن بحثي كقبعة رمادية ، في التعليقات على المقالة وفي دردشة Telegram (router_os) ، بدأ الناس في الكتابة بأنني انتهكت جميع القوانين وسوف يضعوني في السجن.

وكما وعدت ، بعد بضعة أشهر ، أكتب هذه المقالة ولا حتى من كاميرا SIZO :-) علاوة على ذلك ، تلقيت شهادة MTCRE أخرى أمس .

هناك الكثير من المقالات على الإنترنت حول المتسللين والمواقف تجاههم في مختلف البلدان. لكني لم أجد مقالًا واحدًا واضحًا حول كيفية التعامل مع المتسللين في الاتحاد الروسي في إطار القوانين الحالية. ربما لا تبحث هناك ، ولكن لا يزال.

أقترح فهم أصناف المتسللين بمزيد من التفصيل ، بما في ذلك من وجهة نظر الممارسة القضائية في الاتحاد الروسي.

بعد ذلك سيكون رأيي محض ، بناءً على خبرتي والمعلومات التي تم الحصول عليها من المصادر المفتوحة.

لذلك ، أود أن أرى رأيك وتعليقاتك في التعليقات.

اليوم هناك ثلاثة أنواع من المتسللين:

قبعة بيضاء أو قرصان أخلاقي

غالبًا ما يكون هؤلاء متخصصون في مجال الأمن يتم تعيينهم ، وتشمل مهامهم العثور على نقاط الضعف في أنظمة الكمبيوتر حسب الطلب أو المهمة الفنية لمالك النظام.

ويطلق عليهم أيضًا - pentesters.

في معظم الحالات ، لديهم تعليم متخصص. المتعصبون من حرفتهم ليسوا كثيرين. يفعلون ما تم تعليمهم وما طُلب منهم القيام به. فوق رؤوسهم لا تحاول القفز.

أيضا في قبعة بيضاء يمكن أن يعزى إلى المشاركين في المسابقات والبرامج على غرار "باغ باونتي".

الدافع الرئيسي: مكافأة مضمونة لعملهم.

القبعة السوداء أو المجرم الإلكتروني

هؤلاء هم الأشرار الفائقون الذين اعتادوا على رؤيتهم في مختلف الأفلام والذين يتحدثون عنهم في التلفزيون.

كقاعدة عامة ، هؤلاء هم نفس المتخصصين المؤهلين تأهيلاً عالياً مثل المتسللين الأخلاقيين ، ولكن يمكن أن يكونوا بدون تعليم عالي ولديهم دافع شخصي يخدمون أنفسهم. على سبيل المثال ، سرقة قاعدة أخرى وبيعها في Darknet.

إن أفعال "القبعات السوداء" تكاد تكون غير قانونية في جميع أنحاء العالم. فرصة الثراء أعلى بكثير من فرصة القبعة البيضاء ، ولكن خطر الانتقال إلى أماكن ليست بعيدة جدًا مرتفع أيضًا.

لديهم دائما نية إجرامية.

قبعة رمادية

على الرغم من أن لون هذه القبعات متوسط ، إلا أنها تختلف بشكل أساسي عن المجرمين الإلكترونيين والمتسللين الأخلاقيين.

عادة هؤلاء هم الشباب الذين ما زالوا يؤمنون بالعدالة في هذا العالم وهم على استعداد لمساعدة الآخرين مجانًا. بفضول حقيقي يدرسون نظام تكنولوجيا المعلومات قيد الدراسة.

إذا تم اكتشاف ثغرة أمنية يمكن استغلالها من قبل المهاجمين ، فإنهم يحاولون التأثير على تطورها:

شخص ما يبلغ مالك نظام تكنولوجيا المعلومات عن هذا الخطأ.
شخص ما يحاول إصلاحه بنفسك
ينشر شخص ما في مورد عام وصفًا لهذا الخطأ.

لا تهدف أنشطتها إلى تحقيق الربح.

طبيعة الإنسان هي أن الجميع يريد الاعتراف في المجتمع.

ولكن ، "من يساعد الناس - يقضي الوقت عبثا". (شابوكلياك). لذلك ، من دون الحصول على الاعتراف المطلوب ، يخلع الطلاب "القبعة الرمادية".

علاوة على ذلك ، لدى الإيثار السابق عدة طرق:

ابحث عن العمل القانوني المتعلق بالموضوع قيد الدراسة.
للمطرقة والنسيان.
احصل على المسار الزلق للمجرم الإلكتروني.

وأنا لست استثناء.

قابلت معدات Mikrotik في عام 2015 ، عندما حصلت على وظيفة في مؤسسة تم فيها استخدام هذه المعدات. ولكن تم بناء الشبكة مثيرًا للاشمئزاز للغاية (على سبيل المثال ، كان لكل جزء من شبكة NAT روابط مباشرة) وبدأت في دراسة الميكروبات بهدف بناء الشبكة بشكل صحيح.

بعد مرور عام ، غيرت وظائفي وبدأ ميكروتيك في الوصول إلي في كثير من الأحيان. لكني واصلت اختيار هذا النظام ببطء.

لعدم وجود فائدة مادية من معرفة RouterOS ، لقد اجتزت اختبار MTCNA في 2018 وتلقيت MTCRE أمس

عاجلاً أم آجلاً ، سيزول فضولي لـ Mikrotik إذا لم يكن هناك اهتمام مهني.

قراصنة

إنهم في الحقيقة مجرمو إنترنت. نعم ، والغالبية العظمى بعيدة عن تكنولوجيا المعلومات ، ولكن يجب أن أذكرها في إطار هذه المقالة.

ومع ذلك ، فإن هدفهم هو سرقة المحتوى ، وتعطيل الحماية وإعادة البيع دون دفع إتاوات لمالك المحتوى. علاوة على ذلك ، يتم الحكم عليهم من خلال مقالات "الهاكر".

القانون الروسي بشأن المتسللين

في بلدنا ، كل شيء مسموح به ومن الواضح أنه غير محظور.

ما يحظر على القراصنة منصوص عليه في أربع مواد 28 من الفصل من القانون الجنائي. دعونا نلقي نظرة عليها بالترتيب.

ملاحظة: في هذه المقالة لا أعتبر الجرائم التي لا تندرج تحت الفصل 28. على سبيل المثال ، يحاولون هنا اجتذاب مالك وكيل Kate Mobile بموجب المادة 132 من القانون الجنائي للاتحاد الروسي (الاعتداء الجنسي على شخص مجهول) ، حيث أن المتحرش بالأطفال يستخدم هذا التطبيق.

272 من القانون الجنائي للاتحاد الروسي "الوصول غير المشروع إلى معلومات الكمبيوتر المحمية بموجب القانون"

لا يحمي القانون جميع المعلومات. أي ، لكي تصبح المعلومات محمية ، يجب ذكرها في قانون تشريعي.

إذا اخترق شخص ما جهاز الكمبيوتر الخاص بك وسرق ورقة الفصل الخاصة بك ، فلن يتمكن من جذبه بموجب هذه المقالة.

ما نوع المعلومات التي يحميها القانون:

محادثات هاتفية سرية وأي نوع من الرسائل النصية. (المادة 29 من دستور الاتحاد الروسي). انجذب المحتالون الذين سرقوا الرسائل القصيرة من 900 وسحبوا الأموال من بطاقة الضحية من خلال هذا المقال بالذات. ( مرحبًا ببروتوكول SS7 ).
تجارية (رقم 98-) وسر الدولة (رقم 5482-1). لهذه المعلومات ، يجب تحديد دائرة الأشخاص الذين لديهم إمكانية الوصول إليها وقواعد استخدامها بدقة. أي أن المعلومات التي لا يمكن للمواطن البسيط الحصول عليها بدون إذن خاص.
السرية الطبية (المادة 13 من القانون رقم 323-FZ). يمكن جذب الوصول غير القانوني إلى وثائق وزارة الصحة بموجب هذه المقالة.
السرية المصرفية (المادة 26 من القانون رقم 395-1).
إلخ.

أيضًا ، يمكن أن تصبح أي معلومات "محمية بموجب القانون" إذا اتخذ مالك المعلومات جميع التدابير اللازمة لحمايتها. ( المادة 6 من القانون رقم 149 المؤرخ 27 يوليو 2006 رقم 149- "معلومات ..." ).

إذا قام أحد المهاجمين باختراق موقعك باسم المستخدم "admin" وكلمة المرور "123" ونشر صورة غير لائقة على الصفحة الرئيسية ، ثم ضمن Art. 272 من القانون الجنائي للاتحاد الروسي ، لا يمكن جذبه ، حتى مع الأخذ في الاعتبار أن لديه نية إجرامية.
يعد مطلب تحديث البرنامج على جهاز التوجيه شرطًا أساسيًا لحماية المعلومات.

273 من القانون الجنائي للاتحاد الروسي إنشاء واستخدام وتوزيع برامج الكمبيوتر الخبيثة

تحت هذه المقالة ، تقع بطبيعة الحال ، جميع الفيروسات والشقوق للبرامج التي تحييد حماية البرامج.

لكن برنامج pentest هو لحظة مثيرة للجدل للغاية. يجب كتابة تعليق توضيحي لهذه البرامج بحيث لا يمكن استخدامه إلا بموافقة مالك نظام المعلومات. ولكن إذا كانت هناك حاجة للقضاء ، فلن يكون من الصعب وصف هذا البرنامج بأنه ضار.

على أي حال ، يجب أن يتم القبض على هذه المقالة متلبساً عند إنشاء هذه البرامج أو استخدامها أو توزيعها عن علم. أو اعتراف صادق.

وبما أن المحققين لدينا ليسوا أقوياء في مجال تكنولوجيا المعلومات ، فإن الجملة في هذه المقالة غالبًا ما تتضمن السطر:

"في الجلسة ، اعترف المدعى عليه بالذنب في التهم الموجهة إليه بموجب المادة. 273 ح .1 من القانون الجنائي للاتحاد الروسي بالكامل وطلب قرار العقوبة بطريقة خاصة ، دون محاكمة. "

لذلك ، إذا تم تخزين مجموعة الشقوق على القرص الخاص بك ، فهذا ليس أساس الجذب تحت هذه المقالة.

274 من القانون الجنائي للاتحاد الروسي انتهاك قواعد تشغيل وسائل تخزين أو معالجة أو إرسال المعلومات والمعلومات الحاسوبية وشبكات الاتصالات

وفقًا لهذه المقالة ، لا يمكن اجتذابها إلا إذا تضمن الفعل تدمير معلومات الكمبيوتر أو حظرها أو تعديلها أو نسخها ، مما تسبب في ضرر كبير.

بصراحة ، لم أجد ممارسة قضائية عليها ... إما أن أبدو سيئة ، أو في الاتحاد الروسي لم يتعلموا كيفية تطبيقها.

274.1 من القانون الجنائي للاتحاد الروسي تأثير غير قانوني على البنية التحتية المعلوماتية الحاسمة للاتحاد الروسي

نفس الوضع. يمكن العثور على النظرية في هذه المقالة هنا habr.com/en/post/346372

دراسة حالة

بعد الإصدار التالي من "الحساب الشخصي لعميل البنك" ، قام المطورون بعمل خطأ ، عند تحويل الأموال من البطاقة إلى الحساب ، لم يتحقق من توفر هذه الأموال على البطاقة. لاحظ كاتب عادي يعرف كيفية النقر بالماوس هذا الخطأ. أعطتني مبلغًا معينًا. وقد فعل ذلك في العمل والمنزل دون أي VPN.

قام شخصياً بسحب هذه الأموال من أجهزة الصراف الآلي. نظرًا لأنه تم تعيين الحد اليومي للبطاقة على 25000 روبل ، فقد فعل ذلك لعدة أيام متتالية ، حتى تم العثور على هذا الخطأ في البنك.
عندما تم العثور عليه وعرض عليه إعادة الغنائم طواعية دون الاتصال بالشرطة (بعد كل شيء ، تفهم دعامة البنك و SB التابع للبنك) ، رفض ، قائلاً إنه ليس مشكلتي أن يوزع نظامك الغنائم.

أدين الرجل تحت الجزء الأول من الفن. 272 من القانون الجنائي ، لأنه عمد عمداً إلى تعديل المعلومات المصرفية المحمية بموجب القانون.

الضرر

حتى لو لم يتم تحديد عناصر الجريمة في أفعال المخترق ، فيمكن الحصول على الضرر في نظام مدني (القانون المدني ، المادة 1064).

على سبيل المثال ، إذا قمت بتحديث البرنامج الثابت على Mikrotik المتسرب و "أصبح تالفًا" ، فيمكن لمالك هذا الموجه (بعد رفض بدء تشغيل UD) مقاضيتي في أمر مدني وطلب من المحكمة استرداد هذا الضرر مني.

الخلاصة

في الواقع ، يمكن ملاحقة المتسللين في الاتحاد الروسي بسبب مادتين فقط وفقط في الظروف التالية:

حصل Hacker على الوصول إلى المعلومات المحمية بموجب القانون أو استفاد من البرامج الضارة
في الوقت نفسه ، تم القبض عليه متلبسًا و / أو هناك دليل على أنه كان (وهو نادر للغاية).
ثبت نية إجرامية أو إهمال.

حسنًا ، أو هو نفسه يعترف بكل شيء ، حتى لو لم يفعل شيئًا :-)

وفقًا لقوانين الاتحاد الروسي ، لا يمكن أن تصبح "القبعات الرمادية" مجرمين عن طريق الخطأ. للقيام بذلك ، يجب أن يكون لديهم نية إجرامية وأن يكونوا أغبياء بما فيه الكفاية في مجال تكنولوجيا المعلومات والمصطلحات القانونية. في الواقع ، لا يوجد عمليا قراصنة حقيقيون مدانون في الاتحاد الروسي.

ولا يمكن مقاضاتي بموجب قوانين الاتحاد الروسي لأنني أجريت تغييرات على جدار الحماية لجهاز التوجيه ، حتى لو أصيب شخص ما بضرر من هذا الإجراء ...

ولكن لا تنس أن المحققين والمحاكم في الاتحاد الروسي يمكنهم اتخاذ أي قرارات قد لا تكون صديقة ذات معنى صحي وغالباً ما تذكر

نكتة:

سرقوا بقرة من رجل. يعود للمنزل ويقول لأبنائه:
- سرق بعض الشاذة بقرة منا.
الأخ الأكبر: - إذا كان الشاذ يعني صغيرة.
الأخ الأوسط: - إذا كان صغيرًا - فهذا يعني من روبن.
الأخ الأصغر: - إذا كان من روبن - ثم فاسكا كوسوي.
تم ترشيح الجميع في Robin وهناك يضغطون على Vaska Slanting.
ومع ذلك ، لا تتخلى فاسكا عن البقرة. إنه يقود إلى قاضي الصلح.
قاضي الصلح:
"حسنا ... أنا لا أفهم منطقك." هنا لدي صندوق ، ما الذي يكمن فيه؟
الأخ الأكبر: - الصندوق مربع ، لذا هناك شيء مستدير بالداخل.
متوسط: - إذا كان مستديرًا ، ثم برتقالي.
جونيور: - إذا كانت مستديرة وبرتقالية ، ثم برتقالة.
يفتح القاضي الصندوق ، وهناك بالفعل برتقالة.
القاضي - فاسكا كوسومو:
- منحرف ، يعطي البقرة.

آمل أن تمنحك هذه المقالة مزيدًا من الثقة في أبحاث تكنولوجيا المعلومات!

قراصنة في إطار قوانين الاتحاد الروسي