Setelah
menerbitkan artikel tentang penelitian saya sebagai topi abu-abu , dalam
komentar di artikel dan di obrolan Telegram (@router_os), orang-orang mulai menulis bahwa saya telah melanggar semua undang-undang dan mereka akan memasukkan saya ke penjara.
Dan seperti yang
dijanjikan , beberapa bulan kemudian saya menulis artikel ini dan bahkan tidak dari kamera SIZO :-) Selain itu, saya menerima sertifikat
MTCRE lain
kemarin .
Ada banyak artikel di Internet tentang peretas dan sikap terhadap mereka di berbagai negara. Tetapi saya tidak menemukan satu artikel yang dapat dipahami tentang bagaimana peretas di Federasi Rusia diperlakukan dalam kerangka hukum yang ada. Mungkin tidak melihat ke sana, tapi tetap saja.
Saya mengusulkan untuk memahami varietas peretas secara lebih rinci, termasuk dari sudut pandang praktik peradilan di Federasi Rusia.
Selanjutnya akan murni pendapat saya, berdasarkan pengalaman dan informasi yang saya peroleh dari sumber terbuka.
Karena itu, saya ingin melihat pendapat dan komentar Anda di komentar.Saat ini ada tiga jenis peretas:
Topi putih atau Peretas Etis
Paling sering, ini adalah spesialis keamanan yang disewa yang tugasnya termasuk menemukan kerentanan dalam sistem komputer berdasarkan pesanan atau tugas teknis dari pemilik sistem.
Mereka juga disebut - pentester.
Dalam kebanyakan kasus, mereka memiliki pendidikan khusus. Kaum fanatik kerajinan mereka di antara mereka tidak banyak. Mereka melakukan apa yang telah diajarkan kepada mereka dan apa yang diminta untuk dilakukan. Di atas kepala mereka jangan mencoba untuk melompat.
Juga di White hat dapat dikaitkan dengan peserta dalam kontes dan program dalam rupa "Bug Bounty".
Motivasi utama: bayaran yang terjamin untuk pekerjaan mereka.
Topi hitam atau kejahatan dunia maya
Ini adalah penjahat super yang terbiasa menonton di berbagai film dan dibicarakan di TV.
Sebagai aturan, ini adalah spesialis berkualifikasi tinggi yang sama dengan peretas etis, tetapi mereka bisa tanpa pendidikan tinggi dan memiliki motivasi pribadi yang mementingkan diri sendiri. Misalnya, mencuri pangkalan lain dan menjualnya di Darknet.
Tindakan "Topi Hitam" hampir ilegal di seluruh dunia. Peluang untuk menjadi kaya jauh lebih tinggi daripada White Hat, tetapi risiko pergi ke tempat-tempat yang tidak begitu jauh juga tinggi.
Mereka selalu punya niat kriminal.
Topi abu-abu
Meskipun warna topi ini bersifat menengah, mereka pada dasarnya berbeda dari penjahat cyber dan peretas etis.
Biasanya ini adalah orang-orang muda yang masih percaya pada keadilan di dunia ini dan siap membantu orang lain secara gratis. Dengan rasa ingin tahu yang tulus, mereka mempelajari sistem TI yang sedang dipelajari.
Jika kerentanan ditemukan yang dapat dieksploitasi oleh penyerang, mereka mencoba untuk mempengaruhi perkembangan selanjutnya:
- Seseorang memberi tahu pemilik sistem TI tentang bug ini.
- Seseorang sedang mencoba memperbaikinya sendiri
- Seseorang di sumber daya publik menerbitkan deskripsi bug ini.
Aktivitas mereka tidak bertujuan menghasilkan keuntungan.
Sifat manusia sedemikian rupa sehingga setiap orang menginginkan pengakuan dalam masyarakat.
Tapi,
"Siapa yang membantu orang - ia menghabiskan waktu dengan sia-sia." (Shapoklyak). Karena itu, tanpa menerima pengakuan yang diinginkan, siswa melepas "Grey Hat".
Lebih lanjut, mantan altruis memiliki beberapa cara:
- Cari pekerjaan hukum yang terkait dengan topik yang diteliti.
- Untuk palu dan lupakan.
- Dapatkan di jalan licin cybercriminal.
Dan saya tidak terkecuali.Saya bertemu peralatan Mikrotik pada tahun 2015, ketika saya mendapat pekerjaan di sebuah organisasi di mana peralatan ini digunakan. Tetapi jaringan itu dibangun sangat menjijikkan (misalnya, setiap segmen dari jaringan NAT memiliki hubungan langsung) dan saya mulai mempelajari mikrotik dengan tujuan pembangunan jaringan yang tepat.
Setahun kemudian, saya berganti pekerjaan dan Mikrotik mulai jarang menemui saya. Tapi saya terus lamban memilih sistem ini.
Tidak memiliki manfaat materi dari pengetahuan RouterOS, saya lulus ujian MTCNA pada tahun 2018 dan menerima MTCRE kemarin
Cepat atau lambat, keingintahuan saya untuk Mikrotik akan hilang jika tidak ada minat profesional.
Bajak laut
Mereka, pada kenyataannya, adalah penjahat cyber. Ya, dan sebagian besar jauh dari IT, tetapi saya harus menyebutkannya dalam kerangka artikel ini.
Namun demikian, tujuan mereka adalah mencuri konten, menonaktifkan perlindungan, dan menjual kembali tanpa membayar royalti kepada pemilik konten. Selain itu, mereka dinilai oleh artikel "peretas".
Hukum Rusia tentang peretas
Di negara kita, semuanya diizinkan yang jelas tidak dilarang.
Apa yang dilarang bagi peretas ditentukan dalam empat artikel 28 bab KUHP. Mari kita lihat secara berurutan.
PS: Dalam artikel ini saya tidak menganggap kejahatan yang tidak termasuk dalam pasal 28. Sebagai contoh, di sini mereka mencoba untuk menarik pemilik proxy untuk Kate Mobile berdasarkan pasal 132 KUHP Federasi Rusia (kekerasan seksual terhadap orang yang tidak dikenal), karena pedofil menggunakan aplikasi ini.272 KUHP Federasi Rusia "Akses yang melanggar hukum ke informasi komputer yang dilindungi oleh hukum"
Tidak semua informasi dilindungi oleh hukum. Artinya, agar informasi dilindungi, harus disebutkan dalam undang-undang.
Jika seseorang menembus komputer Anda dan mencuri makalah Anda, mereka tidak dapat menariknya di bawah artikel ini.Informasi apa yang dilindungi undang-undang:
- Percakapan telepon rahasia dan segala jenis pesan teks. (Pasal 29 Konstitusi Federasi Rusia). Penipu yang mencuri SMS dari 900 dan menarik uang dari kartu korban tertarik oleh artikel khusus ini. ( Halo ke protokol SS7 ).
- Komersial (No. 98-) dan rahasia negara (No. 5482-1). Untuk informasi ini, lingkaran orang yang memiliki akses ke sana dan aturan penggunaannya harus ditentukan secara ketat. Yaitu, informasi yang tanpa izin khusus seorang warga negara biasa tidak dapat menerimanya.
- Kerahasiaan medis (Pasal 13 UU No. 323-FZ). Akses ilegal ke dokumentasi Kementerian Kesehatan dapat ditarik berdasarkan artikel ini.
- Kerahasiaan bank (Pasal 26 UU No. 395-1).
- Dll
Juga, informasi apa pun dapat menjadi "dilindungi oleh hukum" jika pemilik informasi telah mengambil semua tindakan yang diperlukan untuk melindunginya. (
Pasal 6 UU No. 149- tanggal 27 Juli 2006 No. 149- "Tentang Informasi ..." ).
Jika penyerang meretas situs Anda dengan nama pengguna "admin" dan kata sandi "123" dan memposting gambar tidak senonoh di halaman utama, maka di bawah Seni. 272 dari KUHP Federasi Rusia, ia tidak dapat ditarik, bahkan mengingat bahwa ia memiliki niat kriminal.
Persyaratan untuk memperbarui perangkat lunak pada router adalah prasyarat untuk perlindungan informasi.
273 KUHP Federasi Rusia Penciptaan, penggunaan dan distribusi program komputer jahat
Di bawah artikel ini jatuh, tentu saja, semua virus dan celah untuk program yang menetralkan perlindungan perangkat lunak.
Tetapi program untuk pentest adalah momen yang sangat kontroversial. Anotasi harus ditulis untuk program sedemikian rupa sehingga hanya dapat digunakan dengan seizin pemilik sistem informasi. Tetapi jika peradilan diperlukan, tidak akan sulit untuk menyebut program ini berbahaya.
Dalam hal apa pun, artikel ini harus tertangkap basah ketika membuat, menggunakan, atau secara sadar mendistribusikan program-program ini. Atau pengakuan yang tulus.
Dan karena penyelidik kami sangat tidak kuat di bidang TI, kalimat pada artikel ini sering kali menyertakan baris:
"Pada persidangan, terdakwa mengaku bersalah atas dakwaan terhadapnya di bawah Seni. 273 h. 1 KUHP Federasi Rusia secara penuh dan meminta putusan hukuman dengan cara yang khusus, tanpa pengadilan. "
Oleh karena itu, jika kumpulan retakan disimpan pada disk Anda, maka ini bukan dasar untuk daya tarik di bawah artikel ini.
274 KUHP Federasi Rusia Pelanggaran aturan untuk pengoperasian sarana penyimpanan, pemrosesan atau transmisi informasi dan informasi komputer dan jaringan telekomunikasi
Menurut artikel ini, adalah mungkin untuk menarik hanya jika tindakan tersebut memerlukan penghancuran, pemblokiran, modifikasi atau penyalinan informasi komputer, yang menyebabkan
kerusakan besar.Sejujurnya, saya tidak menemukan praktik peradilan di atasnya ... Entah saya terlihat buruk, atau di Federasi Rusia mereka tidak belajar cara menerapkannya.
274.1 KUHP Federasi Rusia Dampak tidak sah pada infrastruktur informasi kritis Federasi Rusia
Situasi yang sama. Teori tentang artikel ini dapat ditemukan di sini
habr.com/en/post/346372Studi kasus
Setelah rilis berikutnya "akun pribadi klien bank", pengembang membuat bug yang, ketika mentransfer uang dari kartu ke akun, tidak memeriksa ketersediaan uang ini pada kartu. Petugas biasa yang tahu cara mengklik dengan mouse telah memperhatikan bug ini. Memberi diriku jumlah tertentu. Dan dia melakukannya baik di kantor maupun di rumah tanpa VPN.
Dia secara pribadi menarik uang ini dari ATM. Karena batas harian pada kartu ditetapkan pada 25.000 rubel, ia melakukan ini selama beberapa hari berturut-turut, sampai bug ini ditemukan di bank.
Ketika ia ditemukan dan ditawari untuk secara sukarela mengembalikan barang rampasan itu tanpa menghubungi polisi (setelah semua, kusen bank dan SB bank memahami hal ini), ia pergi ke penyangkalan, mengatakan bahwa bukan masalah saya bahwa sistem Anda mendistribusikan barang rampasan itu.
Bung dihukum hanya di bawah Bagian 1 Seni. 272 KUHP, ketika ia dengan sengaja memodifikasi informasi perbankan yang dilindungi oleh hukum.
Kerusakan
Bahkan jika unsur-unsur kejahatan tidak ditetapkan dalam tindakan peretas, maka kerusakan dapat diperoleh dalam perintah sipil (KUHPerdata, Pasal 1064).
Sebagai contoh, jika saya memperbarui firmware pada Mikrotik yang bocor dan itu "memburuk", maka pemilik router ini (setelah menolak untuk memulai UD) dapat menuntut saya dalam perintah sipil dan meminta pengadilan untuk memulihkan kerusakan ini dari saya.
Kesimpulan
Faktanya, peretas di Federasi Rusia dapat dituntut hanya karena dua artikel dan hanya dalam keadaan berikut:
- Peretas mendapat akses ke informasi yang dilindungi oleh hukum atau memanfaatkan malware
- Pada saat yang sama, ia tertangkap basah dan / atau ada bukti bahwa dialah (yang sangat langka).
- Niat atau kelalaian kriminal yang terbukti.
Yah, atau dia sendiri mengakui segalanya, bahkan jika dia tidak melakukan apa pun :-)
Menurut hukum Federasi Rusia, "Grey Hats" tidak dapat secara tidak sengaja menjadi penjahat. Untuk melakukan ini, mereka harus memiliki niat kriminal dan cukup bodoh dalam hal IT dan hukum. Memang, praktis tidak ada peretas sejati terpidana di Federasi Rusia.
Dan saya tidak dapat dituntut berdasarkan hukum Federasi Rusia karena saya membuat perubahan pada firewall router, bahkan jika seseorang mengalami kerusakan akibat tindakan ini ...
Tetapi jangan lupa bahwa
simpatisan dan pengadilan di Federasi Rusia dapat membuat keputusan yang mungkin tidak berteman dengan makna yang sehat dan sering mengingatkan
lelucon:Mereka mencuri seekor sapi dari seorang pria. Dia pulang ke rumah dan berkata kepada putra-putranya:
- Beberapa homo mencuri seekor sapi dari kami.
Kakak laki-laki: - Jika homo berarti yang kecil.
Saudara laki-laki: - Jika kecil - artinya dari Robin.
Adik Laki-Laki: - Jika dari Robin - maka Vaska Kosoy.
Semua dinominasikan dalam Robin dan di sana mereka menekan Vaska Slanting.
Namun, Vaska tidak melepaskan sapi itu. Ia dituntun menuju keadilan damai.
Keadilan perdamaian:
"Yah ... aku tidak mengerti logika kamu." Di sini saya punya kotak, apa yang ada di dalamnya?
Kakak lelaki: - Kotak itu kotak, jadi ada sesuatu yang bulat di dalamnya.
Sedang: - Jika bulat, maka jingga.
Junior: - Jika berbentuk bulat dan oranye, maka oranye.
Hakim membuka kotak itu, dan memang ada warna oranye.
Hakim - Vaska Kosomu:
- Miring, berikan sapi itu.
Saya harap artikel ini memberi Anda lebih percaya diri dalam riset TI Anda!