Después de
publicar un artículo sobre mi investigación como un sombrero gris , en los
comentarios sobre el artículo y en el chat de Telegram (@router_os), la gente comenzó a escribir que había violado todas las leyes y me iban a encarcelar.
Y como
prometí , unos meses después escribo este artículo y ni siquiera desde la cámara SIZO :-) Además,
ayer recibí otro certificado
MTCRE .
Hay muchos artículos en Internet sobre hackers y actitudes hacia ellos en varios países. Pero no encontré un solo artículo inteligible sobre cómo se trata a los piratas informáticos en la Federación de Rusia en el marco de las leyes existentes. Quizás no mirando allí, pero aún así.
Propongo comprender las variedades de piratas informáticos con más detalle, incluso desde el punto de vista de la práctica judicial en la Federación de Rusia.
Lo siguiente será puramente mi opinión, basada en mi experiencia e información obtenida de fuentes abiertas.
Por lo tanto, me gustaría ver su opinión y comentarios en los comentarios.Hoy hay tres tipos de hackers:
Sombrero blanco o hacker ético
Muy a menudo, estos son especialistas en seguridad contratados cuyas tareas incluyen encontrar vulnerabilidades en los sistemas informáticos por orden o tarea técnica del propietario del sistema.
También se les llama - pentesters.
En la mayoría de los casos, tienen una educación especializada. Los fanáticos de su oficio entre ellos no son muchos. Hacen lo que se les ha enseñado y lo que se les ha pedido que hagan. Sobre sus cabezas no intentes saltar.
También en White hat se puede atribuir a los participantes en concursos y programas a semejanza de "Bug Bounty".
Motivación principal: remuneración garantizada por su trabajo.
Sombrero negro o cibercriminal
Estos son los súper villanos que están acostumbrados a ver en varias películas y de los que se habla en la televisión.
Como regla general, estos son los mismos especialistas altamente calificados que los piratas informáticos éticos, pero pueden estar sin una educación superior y sin una motivación personal egoísta. Por ejemplo, roba otra base y véndela en Darknet.
Las acciones de los "Sombreros Negros" son casi ilegales en todo el mundo. La posibilidad de hacerse rico es mucho mayor que la de White Hat, pero el riesgo de ir a lugares no tan remotos también es alto.
Siempre tienen una intención criminal.
Sombrero gris
Aunque el color de estos sombreros es intermedio, son fundamentalmente diferentes de los cibercriminales y los hackers éticos.
Por lo general, estos son jóvenes que todavía creen en la justicia en este mundo y están listos para ayudar a otros de forma gratuita. Con genuina curiosidad estudian el sistema de TI en estudio.
Si se descubre una vulnerabilidad que puede ser explotada por los atacantes, intentan influir en su desarrollo posterior:
- Alguien informa al propietario del sistema de TI sobre este error.
- Alguien está tratando de arreglarlo tú mismo
- Alguien en un recurso público publica una descripción de este error.
Sus actividades no tienen como objetivo obtener ganancias.
La naturaleza del hombre es tal que todos quieren reconocimiento en la sociedad.
Pero,
"¿Quién ayuda a la gente? Pasa tiempo en vano". (Shapoklyak) Por lo tanto, sin recibir el reconocimiento deseado, los estudiantes se quitan el "Sombrero Gris".
Además, los antiguos altruistas tienen varias formas:
- Busque trabajo legal relacionado con el tema en estudio.
- Martillar y olvidar.
- Súbete al camino resbaladizo del cibercriminal.
Y no soy la excepción.Conocí el equipo de Mikrotik en 2015, cuando conseguí un trabajo en una organización en la que se usaba este equipo. Pero la red se construyó muy desagradable (por ejemplo, cada segmento de la red NAT tenía enlaces directos) y comencé a estudiar microtics con el objetivo de construir una red adecuada.
Un año después, cambié de trabajo y Mikrotik comenzó a contactarme con mucha menos frecuencia. Pero seguí eligiendo lentamente este sistema.
Al no tener ningún beneficio material del conocimiento de RouterOS, pasé el examen MTCNA en 2018 y recibí MTCRE ayer
Tarde o temprano, mi curiosidad por Mikrotik se desvanecerá si no hay interés profesional.
Piratas
Ellos, de hecho, son cibercriminales. Sí, y la gran mayoría está lejos de TI, pero debería mencionarlos en el marco de este artículo.
Sin embargo, su objetivo es robar contenido, desactivar la protección y revender sin pagar regalías al propietario del contenido. Además, son juzgados por artículos "piratas informáticos".
Ley rusa sobre hackers
En nuestro país, todo está permitido que claramente no está prohibido.
Lo que está prohibido para los piratas informáticos se prescribe en cuatro artículos 28 del capítulo del Código Penal. Echemos un vistazo a ellos en orden.
PD: En este artículo no considero los delitos que no se incluyen en el capítulo 28. Por ejemplo, aquí están tratando de atraer al propietario del poder para Kate Mobile en virtud del artículo 132 del Código Penal de la Federación de Rusia (agresión sexual contra una persona no identificada), ya que el pedófilo utilizó esta aplicación.272 del Código Penal de la Federación de Rusia "Acceso ilegal a información informática protegida por ley"
No toda la información está protegida por ley. Es decir, para que la información se proteja, debe mencionarse en un acto legislativo.
Si alguien penetró en su computadora y le robó su trabajo, no puede atraerlo en virtud de este artículo.Qué tipo de información protege la ley:
- Conversaciones telefónicas secretas y cualquier tipo de mensajes de texto. (Artículo 29 de la Constitución de la Federación de Rusia). Los estafadores que robaron SMS de 900 y retiraron dinero de la tarjeta de la víctima fueron atraídos por este artículo en particular. ( Hola al protocolo SS7 ).
- Comercial (No. 98-) y secreto de estado (No. 5482-1). Para esta información, el círculo de personas que tienen acceso a él y las reglas para su uso deben definirse estrictamente. Es decir, esa información que sin un permiso especial un ciudadano simple no puede recibirla.
- Confidencialidad médica (Artículo 13 de la Ley N ° 323-FZ). El acceso ilegal a la documentación del Ministerio de Salud puede verse atraído por este artículo.
- Secreto bancario (Artículo 26 de la Ley N ° 395-1).
- Etc.
Además, cualquier información puede quedar "protegida por ley" si el propietario de la información ha tomado todas las medidas necesarias para protegerla. (
Artículo 6 de la Ley N ° 149- del 27 de julio de 2006 N ° 149- "Sobre información ..." ).
Si un atacante pirateó su sitio con el nombre de usuario "admin" y la contraseña "123" y publicó una imagen indecente en la página principal, entonces bajo el Art. 272 del Código Penal de la Federación de Rusia, no puede ser atraído, incluso teniendo en cuenta que tenía una intención criminal.
El requisito de actualizar el software en el enrutador es un requisito previo para la protección de la información.
273 del Código Penal de la Federación de Rusia Creación, uso y distribución de programas informáticos maliciosos
Según este artículo, caen, por supuesto, todos los virus y grietas para los programas que neutralizan la protección del software.
Pero el programa para el Pentest es un momento muy controvertido. Se debe escribir una anotación en dichos programas para que solo se pueda usar con el consentimiento del propietario del sistema de información. Pero si se necesita el poder judicial, no será difícil llamar a este programa malicioso.
En cualquier caso, este artículo debe ser sorprendido con las manos en la masa al crear, usar o distribuir estos programas a sabiendas. O sincero reconocimiento.
Y dado que nuestros investigadores son abrumadoramente poco fuertes en TI, la oración en este artículo a menudo incluye la línea:
"En la audiencia, el acusado se declaró culpable de los cargos en su contra en virtud del art. 273 h. 1 del Código Penal de la Federación de Rusia en su totalidad y solicitó la decisión de la sentencia de una manera especial, sin juicio ".
Por lo tanto, si la colección de grietas se almacena en su disco, entonces este no es el motivo de atracción de este artículo.
274 del Código Penal de la Federación de Rusia Violación de las normas para el funcionamiento de los medios de almacenamiento, procesamiento o transmisión de información informática y redes de información y telecomunicaciones.
Según este artículo, es posible atraer solo si el acto implica la destrucción, bloqueo, modificación o copia de la información de la computadora, lo que causó
daños importantes.Honestamente, no encontré práctica judicial sobre eso ... O me veo mal, o en la Federación de Rusia no aprendieron cómo aplicarlo.
274.1 del Código Penal de la Federación de Rusia Impacto ilegal en la infraestructura de información crítica de la Federación de Rusia
La misma situacion. La teoría sobre este artículo se puede encontrar aquí
habr.com/en/post/346372Estudio de caso
Después del próximo lanzamiento de la "cuenta personal del cliente del banco", los desarrolladores hicieron un error que, al transferir dinero de la tarjeta a la cuenta, no verificó la disponibilidad de este dinero en la tarjeta. Un empleado ordinario que sabe hacer clic con el mouse ha notado este error. Me di una cierta cantidad. Y lo hizo tanto en el trabajo como en casa sin ninguna VPN.
Él personalmente retiró este dinero de un cajero automático. Como el límite diario de la tarjeta se estableció en 25,000 rublos, lo hizo durante varios días seguidos, hasta que se encontró este error en el banco.
Cuando lo encontraron y se ofrecieron a devolver voluntariamente el botín sin contactar a la policía (después de todo, la jamba del banco y la SB del banco entendieron esto), luego se negó, diciendo que no es mi problema que su sistema distribuya el botín.
Dude fue condenado justo en virtud de la Parte 1 del art. 272 del Código Penal, ya que deliberadamente modificó ilegalmente la información bancaria protegida por la ley.
Daño
Incluso si los elementos de un delito no se establecen en las acciones del pirata informático, el daño se puede obtener en una orden civil (Código Civil, Artículo 1064).
Por ejemplo, si actualicé el firmware en un Mikrotik con fugas y "salió mal", entonces el propietario de este enrutador (después de negarse a iniciar un UD) puede demandarme en una orden civil y pedirle al tribunal que recupere este daño.
Conclusión
De hecho, los piratas informáticos en la Federación de Rusia pueden ser procesados solo por dos artículos y solo en las siguientes circunstancias:
- El pirata informático obtuvo acceso a información protegida por ley o aprovechó el malware
- Al mismo tiempo, fue atrapado con las manos en la masa y / o hay evidencia de que fue él (lo cual es extremadamente raro).
- Intento criminal comprobado o negligencia.
Bueno, o él mismo admite todo, incluso si no hizo nada :-)
Según las leyes de la Federación de Rusia, los "sombreros grises" no pueden convertirse accidentalmente en delincuentes. Para hacer esto, deben tener una intención criminal y ser lo suficientemente estúpidos en términos legales y de TI. De hecho, prácticamente no hay verdaderos hackers condenados en la Federación Rusa.
Y no puedo ser procesado bajo las leyes de la Federación Rusa por el hecho de que hice cambios en el firewall del enrutador, incluso si alguien sufrió daños por esta acción ...
Pero no olvide que los
investigadores y los tribunales de la Federación de Rusia pueden tomar decisiones que pueden no ser amigas con un significado saludable y, a menudo, recordar
bromaLe robaron una vaca a un hombre. Vuelve a casa y le dice a sus hijos:
- Algún maricón nos robó una vaca.
Hermano mayor: - Si el maricón significa pequeño.
Hermano medio: - Si es pequeño - significa de Robin.
Hermano menor: - Si es de Robin - entonces Vaska Kosoy.
Todos están nominados en Robin y allí presionan a Vaska Slanting.
Sin embargo, Vaska no renuncia a la vaca. Lo llevan a un juez de paz.
Juez de paz:
"Bueno ... no entiendo tu lógica". Aquí tengo una caja, ¿qué hay en ella?
Hermano mayor: - La caja es cuadrada, por lo que algo es redondo por dentro.
Medio: - Si es redondo, entonces naranja.
Junior: - Si es redondo y naranja, entonces una naranja.
El juez abre la caja, y realmente hay una naranja.
Juez - Vaska Kosomu:
- Oblicuo, dale la vaca.
¡Espero que este artículo te dé más confianza en tu investigación de TI!