Pirates informatiques dans le cadre des lois de la Fédération de Russie

Après avoir publié un article sur mes recherches en tant que chapeau gris , dans les commentaires sur l'article et dans le chat Telegram (@router_os), les gens ont commencé à écrire que j'avais violé toutes les lois et qu'ils me mettraient en prison.

Et comme promis , quelques mois plus tard j'écris cet article et même pas depuis la caméra SIZO :-) De plus, j'ai reçu hier un autre certificat MTCRE .



Il existe de nombreux articles sur Internet sur les pirates et les attitudes à leur égard dans divers pays. Mais je n'ai pas trouvé un seul article intelligible sur la façon dont les pirates en Fédération de Russie sont traités dans le cadre des lois existantes. Peut-être pas là-bas, mais quand même.

Je propose de comprendre les variétés de pirates informatiques plus en détail, y compris du point de vue de la pratique judiciaire en Fédération de Russie.

Ensuite sera purement mon opinion, basée sur mon expérience et les informations obtenues à partir de sources ouvertes.

Par conséquent, j'aimerais voir votre opinion et vos commentaires dans les commentaires.

Aujourd'hui, il existe trois types de pirates:

Chapeau blanc ou pirate éthique

Le plus souvent, ce sont des spécialistes de la sécurité embauchés dont les tâches comprennent la recherche de vulnérabilités dans les systèmes informatiques par ordre ou tâche technique du propriétaire du système.

Ils sont aussi appelés - pentesters.

Dans la plupart des cas, ils ont une formation spécialisée. Les fanatiques de leur métier parmi eux ne sont pas nombreux. Ils font ce qu'on leur a enseigné et ce qu'on leur a demandé de faire. Au-dessus de leurs têtes, n'essayez pas de sauter.

Aussi en chapeau blanc peut être attribué aux participants à des concours et des programmes à l'image de "Bug Bounty".

Motivation principale: rémunération garantie pour leur travail.

Chapeau noir ou cybercriminel

Ce sont les super méchants qui ont l'habitude de voir dans divers films et dont on parle à la télévision.

En règle générale, ce sont les mêmes spécialistes hautement qualifiés que les hackers éthiques, mais ils peuvent être sans études supérieures et avoir une motivation personnelle égoïste. Par exemple, volez une autre base et vendez-la dans Darknet.

Les actions des "Black Hats" sont presque illégales dans le monde. La chance de devenir riche est beaucoup plus élevée que celle du White Hat, mais le risque d'aller dans des endroits moins éloignés est également élevé.

Ils ont toujours une intention criminelle.

Chapeau gris

Bien que la couleur de ces chapeaux soit intermédiaire, ils sont fondamentalement différents des cybercriminels et des pirates éthiques.

Ce sont généralement des jeunes qui croient encore à la justice dans ce monde et sont prêts à aider les autres gratuitement. Avec une véritable curiosité, ils étudient le système informatique à l'étude.

Si une vulnérabilité est découverte qui peut être exploitée par des attaquants, ils tentent d'influencer son développement ultérieur:

• Quelqu'un informe le propriétaire du système informatique de ce bogue.
• Quelqu'un essaie de le réparer vous-même
• Quelqu'un sur une ressource publique publie une description de ce bogue.

Leurs activités ne visent pas à réaliser des bénéfices.

La nature de l'homme est telle que chacun veut être reconnu dans la société.

Mais, "Qui aide les gens - il passe du temps en vain." (Shapoklyak). Par conséquent, sans recevoir la reconnaissance souhaitée, les élèves enlèvent le «chapeau gris».

De plus, les anciens altruistes ont plusieurs façons:

• Recherche de travaux juridiques liés au sujet à l'étude.
• Marteler et oublier.
• Mettez-vous sur le chemin glissant du cybercriminel.

Pirates

Ce sont en fait des cybercriminels. Oui, et la grande majorité sont loin de l'informatique, mais je dois les mentionner dans le cadre de cet article.

Néanmoins, leur objectif est de voler du contenu, de désactiver la protection et de revendre sans payer de redevances au propriétaire du contenu. De plus, ils sont jugés par des articles "hackers".

Loi russe sur les pirates

Dans notre pays, tout est permis, ce qui n'est clairement pas interdit.

Ce qui est interdit aux pirates est prévu par quatre articles 28 du chapitre du Code pénal. Jetons-y un œil dans l'ordre.

PS: Dans cet article, je ne considère pas les crimes qui ne relèvent pas du chapitre 28. Par exemple, ils tentent ici d'attirer le propriétaire du mandataire de Kate Mobile en vertu de l'article 132 du Code pénal de la Fédération de Russie (agression sexuelle contre une personne non identifiée), car le pédophile a utilisé cette application.

272 du Code pénal de la Fédération de Russie «Accès illégal aux informations informatiques protégées par la loi»

Toutes les informations ne sont pas protégées par la loi. Autrement dit, pour que les informations soient protégées, elles doivent être mentionnées dans un acte législatif.

Si quelqu'un a pénétré votre ordinateur et volé votre papier à terme, il ne peut pas l'attirer en vertu de cet article.

Quels types d'informations la loi protège-t-elle:

1. Conversations téléphoniques secrètes et tout type de messagerie texte. (Article 29 de la Constitution de la Fédération de Russie). Les fraudeurs qui ont volé des SMS à 900 et retiré de l'argent de la carte de la victime ont été attirés par cet article en particulier. ( Bonjour au protocole SS7 ).
2. Commercial (n ° 98-) et secret d'État (n ° 5482-1). Pour ces informations, le cercle des personnes y ayant accès et les règles d'utilisation doivent être strictement définis. C'est-à-dire, cette information que sans autorisation spéciale un simple citoyen ne peut pas la recevoir.
3. Confidentialité médicale (article 13 de la loi n ° 323-FZ). L'accès illégal à la documentation du ministère de la Santé peut être attiré par cet article.
4. Secret bancaire (article 26 de la loi n ° 395-1).
5. Etc.

De plus, toute information peut devenir «protégée par la loi» si le propriétaire de l'information a pris toutes les mesures nécessaires pour la protéger. ( Article 6 de la loi n ° 149- du 27 juillet 2006 n ° 149- "relative à l'information ..." ).

Si un attaquant a piraté votre site avec le nom d'utilisateur "admin" et le mot de passe "123" et a posté une photo indécente sur la page principale, alors sous Art. 272 du Code pénal de la Fédération de Russie, il ne peut pas être attiré, même en considérant qu'il avait une intention criminelle.
L'obligation de mettre à jour le logiciel sur le routeur est une condition préalable à la protection des informations.

273 du Code pénal de la Fédération de Russie Création, utilisation et diffusion de programmes informatiques malveillants

Sous cet article tombent, bien sûr, tous les virus et les fissures pour les programmes qui neutralisent la protection des logiciels.

Mais le programme du pentest est un moment très controversé. Une annotation doit être écrite dans de tels programmes afin qu'elle ne puisse être utilisée qu'avec le consentement du propriétaire du système d'information. Mais si le pouvoir judiciaire est nécessaire, il ne sera pas difficile d'appeler ce programme malveillant.

Dans tous les cas, cet article doit être pris en flagrant délit lors de la création, de l'utilisation ou de la distribution en connaissance de cause de ces programmes. Ou une reconnaissance sincère.

Et puisque nos enquêteurs ne sont pas très forts en informatique, la phrase de cet article comprend souvent la ligne:

«Lors de l'audience, l'accusé a plaidé coupable aux charges retenues contre lui en vertu de l'art. 273 h.1 du Code pénal de la Fédération de Russie dans son intégralité et a demandé la décision de la peine d'une manière spéciale, sans procès. "

Par conséquent, si la collection de fissures est stockée sur votre disque, ce n'est pas la base de l'attraction dans cet article.

274 du Code pénal de la Fédération de Russie Violation des règles de fonctionnement des moyens de stockage, de traitement ou de transmission des informations informatiques et des réseaux d'information et de télécommunication

Selon cet article, il n'est possible d'attirer que si l'acte a entraîné la destruction, le blocage, la modification ou la copie d'informations informatiques, qui ont causé des dommages importants.

Honnêtement, je n'ai pas trouvé de pratique judiciaire là-dessus ... Soit je regarde mal, soit en Fédération de Russie, ils n'ont pas appris à l'appliquer.

274.1 du Code pénal de la Fédération de Russie Impact illégal sur l'infrastructure d'information critique de la Fédération de Russie

La même situation. La théorie de cet article peut être trouvée ici habr.com/en/post/346372

Etude de cas

Après la prochaine version du «compte personnel du client de la banque», les développeurs ont fait un bug qui, lors du transfert d'argent de la carte vers le compte, n'a pas vérifié la disponibilité de cet argent sur la carte. Un employé ordinaire qui sait cliquer avec une souris a remarqué ce bug. Je me suis donné un certain montant. Et il l'a fait à la fois au travail et à la maison sans VPN.

Il a personnellement retiré cet argent d'un GAB. Étant donné que la limite quotidienne de la carte était fixée à 25 000 roubles, il l'a fait pendant plusieurs jours d'affilée, jusqu'à ce que ce bug soit trouvé dans la banque.
Quand ils l'ont trouvé et ont proposé de rendre volontairement le butin sans contacter la police (après tout, le montant de la banque et le SB de la banque l'ont compris), il a refusé, disant que ce n'était pas mon problème que votre système distribue le butin.

Dude a été condamné juste en vertu de la partie 1 de l'art. 272 du Code pénal, car il a délibérément modifié illégalement les informations bancaires protégées par la loi.

Dommages

Même si les éléments d'un crime ne sont pas établis dans les actions du pirate informatique, les dommages peuvent être obtenus dans un ordre civil (Code civil, article 1064).

Par exemple, si j'ai mis à jour le micrologiciel sur un Mikrotik qui fuit et que cela a «mal tourné», alors le propriétaire de ce routeur (après avoir refusé de lancer un UD) peut me poursuivre en justice et demander au tribunal de récupérer ces dommages auprès de moi.

Conclusion

En fait, les pirates informatiques de la Fédération de Russie ne peuvent être poursuivis que pour deux articles et uniquement dans les circonstances suivantes:

1. Le pirate a eu accès à des informations protégées par la loi ou a profité de logiciels malveillants
2. Dans le même temps, il a été pris en flagrant délit et / ou il existe des preuves que c'est lui (ce qui est extrêmement rare).
3. Intention ou négligence criminelle avérée.

Eh bien, ou lui-même admet tout, même s'il n'a rien fait :-)

Selon les lois de la Fédération de Russie, les «chapeaux gris» ne peuvent pas devenir accidentellement des criminels. Pour ce faire, ils doivent avoir une intention criminelle et être assez stupides en termes informatiques et juridiques. En effet, il n'y a pratiquement pas de vrais hackers condamnés en Fédération de Russie.

Et je ne peux pas être poursuivi en vertu des lois de la Fédération de Russie pour le fait que j'ai apporté des modifications au pare-feu du routeur, même si quelqu'un a été endommagé par cette action ...

Mais n'oubliez pas que les enquêteurs et les tribunaux de la Fédération de Russie peuvent prendre des décisions qui peuvent ne pas être des amis avec un sens sain et rappellent souvent


J'espère que cet article vous donne plus de confiance dans vos recherches informatiques!