Geekly articles weekly

Hacker im Rahmen der Gesetze der Russischen Föderation

Nachdem ich einen Artikel über meine Forschung als grauer Hut veröffentlicht hatte , in den Kommentaren zum Artikel und im Telegramm-Chat (@router_os), begannen die Leute zu schreiben, dass ich gegen alle Gesetze verstoßen hatte und sie mich ins Gefängnis bringen würden.

Und wie versprochen schreibe ich einige Monate später diesen Artikel und nicht einmal von der SIZO-Kamera :-) Außerdem habe ich gestern ein weiteres MTCRE- Zertifikat erhalten.



Im Internet gibt es viele Artikel über Hacker und ihre Einstellung zu ihnen in verschiedenen Ländern. Ich habe jedoch keinen einzigen verständlichen Artikel darüber gefunden, wie Hacker in der Russischen Föderation im Rahmen bestehender Gesetze behandelt werden. Vielleicht nicht dort suchen, aber immer noch.

Ich schlage vor, die verschiedenen Arten von Hackern genauer zu verstehen, auch unter dem Gesichtspunkt der Rechtspraxis in der Russischen Föderation.

Als nächstes kommt nur meine Meinung, basierend auf meinen Erfahrungen und Informationen aus offenen Quellen.

Daher würde ich gerne Ihre Meinung und Kommentare in den Kommentaren sehen.

Heute gibt es drei Arten von Hackern:

Weißer Hut oder ethischer Hacker


In den meisten Fällen handelt es sich dabei um angestellte Sicherheitsspezialisten, deren Aufgabe darin besteht, Schwachstellen in Computersystemen auf Bestellung oder technische Aufgabe des Systembesitzers zu finden.

Sie werden auch Pentester genannt.

In den meisten Fällen haben sie eine spezielle Ausbildung. Zeloten ihres Handwerks unter ihnen sind nicht viele. Sie tun, was ihnen beigebracht wurde und wozu sie aufgefordert wurden. Versuchen Sie nicht, über ihren Köpfen zu springen.

Auch in White Hat kann man Teilnehmern an Wettbewerben und Programmen in Anlehnung an „Bug Bounty“ zuschreiben.

Hauptmotivation: garantierte Vergütung für ihre Arbeit.

Schwarzer Hut oder Cyberkrimineller


Dies sind die Superschurken, die es gewohnt sind, in verschiedenen Filmen zu sehen und über die im Fernsehen gesprochen wird.

In der Regel sind dies dieselben hochqualifizierten Spezialisten wie ethische Hacker, aber sie können ohne höhere Ausbildung und eigennützige persönliche Motivation auskommen. Stehlen Sie zum Beispiel eine andere Basis und verkaufen Sie sie in Darknet.

Die Aktionen der "Black Hats" sind weltweit fast illegal. Die Chance, reich zu werden, ist viel höher als die des White Hat, aber das Risiko, an Orte zu gelangen, die nicht so weit entfernt sind, ist ebenfalls hoch.

Sie haben immer eine kriminelle Absicht.

Grauer Hut


Obwohl die Farbe dieser Hüte mittelschwer ist, unterscheiden sie sich grundlegend von Cyberkriminellen und ethischen Hackern.

Normalerweise sind dies junge Menschen, die immer noch an Gerechtigkeit in dieser Welt glauben und bereit sind, anderen kostenlos zu helfen. Mit echter Neugier studieren sie das untersuchte IT-System.

Wenn eine Sicherheitsanfälligkeit entdeckt wird, die von Angreifern ausgenutzt werden kann, versuchen sie, ihre weitere Entwicklung zu beeinflussen:

  • Jemand informiert den Besitzer des IT-Systems über diesen Fehler.
  • Jemand versucht es selbst zu beheben
  • Jemand in einer öffentlichen Ressource veröffentlicht eine Beschreibung dieses Fehlers.

Ihre Aktivitäten zielen nicht darauf ab, Gewinne zu erzielen.

Die Natur des Menschen ist so, dass jeder Anerkennung in der Gesellschaft will.

Aber: "Wer hilft Menschen - er verbringt vergeblich Zeit." (Shapoklyak). Ohne die gewünschte Anerkennung zu erhalten, nehmen die Schüler daher den "Grauen Hut" ab.

Darüber hinaus haben die ehemaligen Altruisten mehrere Möglichkeiten:

  • Suche nach juristischer Arbeit zum untersuchten Thema.
  • Hämmern und vergessen.
  • Gehen Sie auf den rutschigen Weg des Cyberkriminellen.

Und ich bin keine Ausnahme.
Ich habe Mikrotik-Geräte bereits 2015 kennengelernt, als ich einen Job in einer Organisation bekam, in der diese Geräte verwendet wurden. Aber das Netzwerk war sehr ekelhaft aufgebaut (zum Beispiel hatte jedes Segment des NAT-Netzwerks direkte Verbindungen) und ich begann, Mikrotik mit dem Ziel eines ordnungsgemäßen Netzwerkaufbaus zu studieren.

Ein Jahr später wechselte ich den Job und Mikrotik kam viel seltener zu mir. Aber ich entschied mich weiterhin träge für dieses System.

Da ich keinen wesentlichen Nutzen aus dem RouterOS-Wissen gezogen habe, habe ich 2018 die MTCNA-Prüfung bestanden und gestern MTCRE erhalten

Früher oder später wird meine Neugier für Mikrotik nachlassen, wenn kein berufliches Interesse besteht.

Piraten


Sie sind in der Tat Cyberkriminelle. Ja, und die überwiegende Mehrheit ist weit von der IT entfernt, aber ich sollte sie im Rahmen dieses Artikels erwähnen.

Ihr Ziel ist es jedoch, Inhalte zu stehlen, den Schutz zu deaktivieren und weiterzuverkaufen, ohne dem Eigentümer der Inhalte Lizenzgebühren zu zahlen. Darüber hinaus werden sie nach "Hacker" -Artikeln beurteilt.

Russisches Gesetz über Hacker


In unserem Land ist alles erlaubt, was eindeutig nicht verboten ist.

Was für Hacker verboten ist, ist in vier Artikeln 28 des Kapitels des Strafgesetzbuchs vorgeschrieben. Schauen wir sie uns der Reihe nach an.

PS: In diesem Artikel betrachte ich keine Verbrechen, die nicht unter Kapitel 28 fallen. Zum Beispiel versuchen sie hier, die Inhaberin des Vertreters für Kate Mobile gemäß Artikel 132 des Strafgesetzbuchs der Russischen Föderation (sexueller Übergriff auf eine nicht identifizierte Person) zu gewinnen, da der Pädophile diese Anwendung verwendet hat.

272 des Strafgesetzbuches der Russischen Föderation „Rechtswidriger Zugang zu gesetzlich geschützten Computerinformationen“


Nicht alle Informationen sind gesetzlich geschützt. Das heißt, damit Informationen geschützt werden, müssen sie in einem Gesetzgebungsakt erwähnt werden.

Wenn jemand in Ihren Computer eingedrungen ist und Ihre Hausarbeit gestohlen hat, kann er ihn unter diesem Artikel nicht anziehen.

Welche Art von Informationen schützt das Gesetz:

  1. Geheime Telefongespräche und jede Art von SMS. (Artikel 29 der Verfassung der Russischen Föderation). Betrüger, die 900 SMS gestohlen und Geld von der Karte des Opfers abgezogen haben, wurden von diesem Artikel angezogen. ( Hallo zum SS7-Protokoll ).
  2. Kommerziell (Nr. 98-) und Staatsgeheimnis (Nr. 5482-1). Für diese Informationen sollten der Personenkreis, der Zugang dazu hat, und die Regeln für seine Verwendung genau definiert werden. Das heißt, diese Informationen, die ein einfacher Bürger ohne besondere Erlaubnis nicht erhalten kann.
  3. Medizinische Vertraulichkeit (Artikel 13 des Gesetzes Nr. 323-FZ). Der illegale Zugang zu den Unterlagen des Gesundheitsministeriums kann unter diesem Artikel erfolgen.
  4. Bankgeheimnis (Artikel 26 des Gesetzes Nr. 395-1).
  5. Usw.


Außerdem können Informationen „gesetzlich geschützt“ werden, wenn der Eigentümer der Informationen alle erforderlichen Maßnahmen zum Schutz dieser Informationen getroffen hat. ( Artikel 6 des Gesetzes Nr. 149- vom 27. Juli 2006 Nr. 149- "Über Informationen ..." ).

Wenn ein Angreifer Ihre Website mit dem Benutzernamen "admin" und dem Passwort "123" gehackt und ein unanständiges Bild auf der Hauptseite gepostet hat, dann unter Art. 272 des Strafgesetzbuches der Russischen Föderation kann es nicht angezogen werden, auch wenn er eine kriminelle Absicht hatte.
Die Anforderung, die Software auf dem Router zu aktualisieren, ist eine Voraussetzung für den Schutz von Informationen.

273 des Strafgesetzbuches der Russischen Föderation Erstellung, Verwendung und Verbreitung bösartiger Computerprogramme


Unter diesen Artikel fallen natürlich alle Viren und Risse für Programme, die den Softwareschutz neutralisieren.

Das Programm für den Pentest ist jedoch ein sehr kontroverser Moment. Zu solchen Programmen muss eine Anmerkung geschrieben werden, die nur mit Zustimmung des Eigentümers des Informationssystems verwendet werden kann. Wenn jedoch die Justiz benötigt wird, wird es nicht schwierig sein, dieses Programm als bösartig zu bezeichnen.

In jedem Fall sollte dieser Artikel beim Erstellen, Verwenden oder wissentlichen Verteilen dieser Programme auf frischer Tat ertappt werden. Oder aufrichtige Anerkennung.

Und da unsere Ermittler überwiegend nicht stark in der IT sind, enthält der Satz in diesem Artikel häufig die folgende Zeile:
In der mündlichen Verhandlung bekannte sich der Angeklagte schuldig. 273 h. 1 des Strafgesetzbuches der Russischen Föderation in vollem Umfang und forderte die Entscheidung des Urteils in besonderer Weise ohne Gerichtsverfahren. “
Wenn die Sammlung von Rissen auf Ihrer Festplatte gespeichert ist, ist dies daher nicht die Grundlage für die Anziehung gemäß diesem Artikel.

274 des Strafgesetzbuches der Russischen Föderation Verstoß gegen die Vorschriften für den Betrieb von Mitteln zur Speicherung, Verarbeitung oder Übertragung von Computerinformationen sowie Informations- und Telekommunikationsnetzen


Nach diesem Artikel ist es nur möglich, anzuziehen, wenn die Handlung die Zerstörung, Blockierung, Änderung oder das Kopieren von Computerinformationen zur Folge hatte, was zu erheblichen Schäden führte.

Ehrlich gesagt habe ich keine Rechtspraxis gefunden ... Entweder sehe ich schlecht aus oder in der Russischen Föderation haben sie nicht gelernt, wie man es anwendet.

274.1 des Strafgesetzbuches der Russischen Föderation Rechtswidrige Auswirkungen auf die kritische Informationsinfrastruktur der Russischen Föderation


Die gleiche Situation. Die Theorie zu diesem Artikel finden Sie hier habr.com/en/post/346372

Fallstudie


Nach der nächsten Freigabe des „persönlichen Kontos des Bankkunden“ haben die Entwickler einen Fehler gemacht, bei dem beim Überweisen von Geld von der Karte auf das Konto die Verfügbarkeit dieses Geldes auf der Karte nicht überprüft wurde. Ein gewöhnlicher Angestellter, der weiß, wie man mit der Maus klickt, hat diesen Fehler bemerkt. Hat mir eine gewisse Menge gegeben. Und er hat es sowohl bei der Arbeit als auch zu Hause ohne VPN gemacht.

Er hat dieses Geld persönlich an einem Geldautomaten abgehoben. Da das Tageslimit für die Karte auf 25.000 Rubel festgelegt war, tat er dies mehrere Tage hintereinander, bis dieser Fehler in der Bank gefunden wurde.
Als er gefunden und angeboten wurde, die Beute freiwillig zurückzugeben, ohne die Polizei zu kontaktieren (schließlich haben der Pfosten der Bank und der SB der Bank dies verstanden), lehnte er ab und sagte, es sei nicht mein Problem, dass Ihr System die Beute verteilt.

Dude wurde knapp unter Teil 1 der Kunst verurteilt. 272 des Strafgesetzbuches, da er die gesetzlich geschützten Bankinformationen absichtlich rechtswidrig geändert hat.

Schaden


Selbst wenn die Elemente eines Verbrechens nicht in den Handlungen des Hackers festgelegt sind, kann der Schaden in einer Zivilordnung (Zivilgesetzbuch, Artikel 1064) erlangt werden.

Wenn ich beispielsweise die Firmware eines undichten Mikrotik aktualisiert habe und dieser "defekt" ist, kann der Besitzer dieses Routers (nachdem er sich geweigert hat, eine UD einzuleiten) mich in einer zivilrechtlichen Anordnung verklagen und das Gericht bitten, diesen Schaden von mir zu beheben.

Fazit


Tatsächlich können Hacker in der Russischen Föderation nur für zwei Artikel und nur unter folgenden Umständen strafrechtlich verfolgt werden:

  1. Hacker erhielt Zugang zu gesetzlich geschützten Informationen oder nutzte Malware
  2. Gleichzeitig wurde er auf frischer Tat ertappt und / oder es gibt Hinweise darauf, dass er es war (was äußerst selten ist).
  3. Nachgewiesene kriminelle Absicht oder Fahrlässigkeit.

Na ja, oder er selbst gibt alles zu, auch wenn er nichts getan hat :-)

Nach den Gesetzen der Russischen Föderation können „Graue Hüte“ nicht versehentlich zu Kriminellen werden. Dazu müssen sie eine kriminelle Absicht haben und in IT- und rechtlicher Hinsicht dumm genug sein. In der Russischen Föderation gibt es praktisch keine verurteilten echten Hacker.

Und ich kann nach den Gesetzen der Russischen Föderation nicht strafrechtlich verfolgt werden, weil ich Änderungen an der Firewall des Routers vorgenommen habe, selbst wenn jemand durch diese Aktion Schaden erlitten hat ...

Vergessen Sie jedoch nicht, dass Ermittler und Gerichte in der Russischen Föderation Entscheidungen treffen können, die möglicherweise nicht mit einer gesunden Bedeutung befreundet sind und oft daran erinnern

Witz:
Sie haben einem Mann eine Kuh gestohlen. Er kommt nach Hause und sagt zu seinen Söhnen:
- Eine Schwuchtel hat uns eine Kuh gestohlen.
Älterer Bruder: - Wenn die Schwuchtel eine kleine bedeutet.
Mittlerer Bruder: - Wenn klein - bedeutet es von Robin.
Jüngerer Bruder: - Wenn vom Robin - dann Vaska Kosoy.
Alle sind in Robin nominiert und dort drücken sie Vaska Slanting.
Vaska gibt die Kuh jedoch nicht auf. Er wird zu einer Gerechtigkeit des Friedens geführt.
Gerechtigkeit des Friedens:
"Nun ... ich verstehe deine Logik nicht." Hier habe ich eine Kiste, was liegt darin?
Älterer Bruder: - Die Schachtel ist quadratisch, also ist innen etwas rund.
Mittel: - Wenn rund, dann orange.
Junior: - Wenn es rund und orange ist, dann eine Orange.
Der Richter öffnet die Schachtel und es gibt wirklich eine Orange.
Richter - Vaska Kosomu:
- Schräg, gib die Kuh.

Ich hoffe, dieser Artikel gibt Ihnen mehr Vertrauen in Ihre IT-Forschung!

Source: https://habr.com/ru/post/de426405/

More articles:


All Articles