Geekly articles weekly

Hackers no âmbito das leis da Federação Russa

Depois de publicar um artigo sobre minha pesquisa como um chapéu cinza , nos comentários sobre o artigo e no chat do Telegram (@router_os), as pessoas começaram a escrever que eu havia violado todas as leis e elas me colocariam na cadeia.

E, como prometido , alguns meses depois, escrevi este artigo e nem mesmo da câmera SIZO :-) Além disso, recebi outro certificado MTCRE ontem .



Existem muitos artigos na Internet sobre hackers e atitudes em relação a eles em vários países. Mas não encontrei um único artigo inteligível sobre como os hackers na Federação Russa são tratados dentro da estrutura das leis existentes. Talvez não esteja olhando para lá, mas ainda assim.

Proponho entender as variedades de hackers em mais detalhes, inclusive do ponto de vista da prática judicial na Federação Russa.

Em seguida, será puramente minha opinião, com base em minha experiência e informações obtidas de fontes abertas.

Portanto, gostaria de ver sua opinião e comentários nos comentários.

Hoje existem três tipos de hackers:

Chapéu branco ou hacker ético


Na maioria das vezes, são especialistas em segurança contratados cujas tarefas incluem encontrar vulnerabilidades nos sistemas de computadores por pedido ou tarefa técnica do proprietário do sistema.

Eles também são chamados - pentesters.

Na maioria dos casos, eles têm uma educação especializada. Os fanáticos de sua arte entre eles não são muitos. Eles fazem o que foram ensinados e o que foram convidados a fazer. Acima de suas cabeças, não tente pular.

Também no chapéu branco pode ser atribuído aos participantes em concursos e programas à semelhança de "Bug Bounty".

Motivação principal: remuneração garantida por seu trabalho.

Chapéu preto ou cibercriminoso


Estes são os super vilões que estão acostumados a assistir em vários filmes e que são comentados na TV.

Como regra, esses são os mesmos especialistas altamente qualificados que os hackers éticos, mas podem ser sem educação superior e ter motivação pessoal que serve a si próprio. Por exemplo, roube outra base e venda na Darknet.

As ações dos "chapéus pretos" são quase ilegais em todo o mundo. A chance de ficar rico é muito maior do que a do White Hat, mas o risco de ir a lugares não tão remotos também é alto.

Eles sempre têm uma intenção criminosa.

Chapéu cinza


Embora a cor desses chapéus seja intermediária, eles são fundamentalmente diferentes dos cibercriminosos e hackers éticos.

Geralmente, são jovens que ainda acreditam na justiça neste mundo e estão prontos para ajudar os outros de graça. Com genuína curiosidade, estudam o sistema de TI em estudo.

Se for descoberta uma vulnerabilidade que possa ser explorada pelos invasores, eles tentarão influenciar seu desenvolvimento adicional:

  • Alguém informa o proprietário do sistema de TI sobre esse bug.
  • Alguém está tentando consertar você mesmo
  • Alguém em um recurso público publica uma descrição desse bug.

Suas atividades não visam obter lucro.

A natureza do homem é tal que todos querem reconhecimento na sociedade.

Mas, "Quem ajuda as pessoas - ele gasta tempo em vão". (Shapoklyak). Portanto, sem receber o reconhecimento desejado, os alunos tiram o "Chapéu Cinzento".

Além disso, os ex-altruístas têm várias maneiras:

  • Pesquise trabalho jurídico relacionado ao tópico em estudo.
  • Martelar e esquecer.
  • Entre no caminho escorregadio do cibercriminoso.

E eu não sou exceção.
Eu conheci o equipamento Mikrotik em 2015, quando consegui um emprego em uma organização na qual esse equipamento foi usado. Mas a rede foi construída de forma muito repugnante (por exemplo, cada segmento da rede NAT tinha links diretos) e comecei a estudar microtics com o objetivo de construir uma rede adequada.

Um ano depois, troquei de emprego e o Mikrotik começou a me encontrar com muito menos frequência. Mas continuei a escolher lentamente esse sistema.

Não tendo nenhum benefício material com o conhecimento do RouterOS, passei no exame MTCNA em 2018 e recebi o MTCRE ontem

Cedo ou tarde, minha curiosidade pelo Mikrotik desaparecerá se não houver interesse profissional.

Piratas


Eles são, de fato, cibercriminosos. Sim, e a grande maioria está longe da TI, mas devo mencioná-las na estrutura deste artigo.

No entanto, seu objetivo é roubar conteúdo, desativar a proteção e revender sem pagar royalties ao proprietário do conteúdo. Além disso, eles são julgados por artigos de "hackers".

Lei russa sobre hackers


Em nosso país, tudo é permitido claramente que não é proibido.

O que é proibido para hackers é prescrito em quatro artigos 28 do capítulo do Código Penal. Vamos dar uma olhada neles em ordem.

PS: Neste artigo, não considero crimes que não se enquadram no capítulo 28. Por exemplo, aqui eles estão tentando atrair o proprietário do procurador da Kate Mobile nos termos do artigo 132 do Código Penal da Federação Russa (agressão sexual contra uma pessoa não identificada), uma vez que o pedófilo usou esse aplicativo.

272 do Código Penal da Federação Russa “Acesso ilegal a informações de computadores protegidas por lei”


Nem todas as informações são protegidas por lei. Ou seja, para que as informações sejam protegidas, elas devem ser mencionadas em um ato legislativo.

Se alguém penetrar no seu computador e roubar seu trabalho, ele não poderá atraí-lo neste artigo.

Que tipo de informação a lei protege:

  1. Conversas telefônicas secretas e qualquer tipo de mensagem de texto. (Artigo 29 da Constituição da Federação Russa). Os fraudadores que roubaram SMS de 900 e sacaram dinheiro do cartão da vítima foram atraídos por este artigo em particular. ( Olá para o protocolo SS7 ).
  2. Segredo comercial (nº 98-) e estatal (nº 5482-1). Para essas informações, o círculo de pessoas com acesso a elas e as regras para seu uso devem ser estritamente definidos. Ou seja, aquelas informações que, sem permissão especial, um simples cidadão não pode recebê-las.
  3. Confidencialidade médica (artigo 13 da Lei nº 323-FZ). O acesso ilegal à documentação do Ministério da Saúde pode ser atraído por este artigo.
  4. Sigilo bancário (artigo 26 da Lei nº 395-1).
  5. Etc.


Além disso, qualquer informação pode ficar "protegida por lei" se o proprietário da informação tiver tomado todas as medidas necessárias para protegê-la. ( Artigo 6 da Lei nº 149-ated de 27 de julho de 2006 nº 149- "Informações ..." ).

Se um invasor invadiu seu site com o nome de usuário "admin" e a senha "123" e postou uma foto indecente na página principal, em Art. 272 do Código Penal da Federação Russa, ele não pode ser atraído, mesmo considerando que ele tinha uma intenção criminosa.
O requisito para atualizar o software no roteador é um pré-requisito para a proteção das informações.

273 do Código Penal da Federação Russa Criação, uso e distribuição de programas de computador maliciosos


Sob este artigo, é claro, todos os vírus e fendas de programas que neutralizam a proteção de software.

Mas o programa para o pentest é um momento muito controverso. Uma anotação deve ser gravada nesses programas para que possa ser usada apenas com o consentimento do proprietário do sistema de informação. Mas se o judiciário for necessário, não será difícil chamar esse programa de malicioso.

De qualquer forma, este artigo deve ser capturado em flagrante ao criar, usar ou distribuir conscientemente esses programas. Ou reconhecimento sincero.

E, como nossos investigadores não são muito fortes em TI, a frase neste artigo geralmente inclui a linha:
“Na audiência, o réu se declarou culpado das acusações contra ele nos termos do art. 273 h. 1 do Código Penal da Federação Russa na íntegra e solicitou a decisão da sentença de maneira especial, sem julgamento. ”
Portanto, se a coleção de rachaduras estiver armazenada em seu disco, essa não é a base da atração neste artigo.

274 do Código Penal da Federação Russa Violação das regras para operação de meios de armazenamento, processamento ou transmissão de informações de computadores e redes de informações e telecomunicações


De acordo com este artigo, é possível atrair apenas se o ato implicar a destruição, bloqueio, modificação ou cópia de informações do computador, o que causou grandes danos.

Sinceramente, não encontrei prática judicial ... Ou estou mal, ou na Federação Russa eles não aprenderam como aplicá-la.

274.1 do Código Penal da Federação Russa Impacto ilegal na infraestrutura crítica de informação da Federação Russa


A mesma situação. A teoria deste artigo pode ser encontrada aqui habr.com/en/post/346372

Estudo de caso


Após o próximo lançamento da "conta pessoal do cliente do banco", os desenvolvedores cometeram um erro que, ao transferir dinheiro do cartão para a conta, não verificava a disponibilidade desse dinheiro no cartão. Um funcionário comum que sabe clicar com o mouse percebeu esse bug. Dei-me uma certa quantia. E ele fez isso no trabalho e em casa sem nenhuma VPN.

Ele retirou pessoalmente esse dinheiro de um caixa eletrônico. Como o limite diário do cartão foi fixado em 25.000 rublos, ele fez isso por vários dias seguidos, até que esse bug foi encontrado no banco.
Quando ele foi encontrado e se ofereceu para devolver voluntariamente o saque sem entrar em contato com a polícia (afinal, o batente do banco e o SB do banco entendiam isso), ele foi negado, dizendo que não é problema meu que seu sistema distribua o saque.

O gajo foi condenado apenas sob a parte 1 do art. 272 do Código Penal, quando deliberadamente modificou ilegalmente as informações bancárias protegidas por lei.

Danos


Mesmo que os elementos de um crime não estejam estabelecidos nas ações do hacker, o dano pode ser obtido em uma ordem civil (Código Civil, artigo 1064).

Por exemplo, se eu atualizei o firmware em um Mikrotik com vazamento e ele "deu errado", o proprietário desse roteador (depois de se recusar a iniciar um UD) pode me processar em uma ordem civil e pedir ao tribunal que recupere esse dano.

Conclusão


De fato, hackers na Federação Russa podem ser processados ​​por apenas dois artigos e apenas nas seguintes circunstâncias:

  1. O hacker teve acesso a informações protegidas por lei ou aproveitou o malware
  2. Ao mesmo tempo, ele foi pego em flagrante e / ou há evidências de que foi ele (o que é extremamente raro).
  3. Intenção ou negligência criminal comprovada.

Bem, ou ele próprio admite tudo, mesmo que não tenha feito nada :-)

De acordo com as leis da Federação Russa, "Chapéus Cinzentos" não podem se tornar criminosos acidentalmente. Para fazer isso, eles devem ter uma intenção criminosa e serem estúpidos o suficiente em termos legais e de TI. De fato, praticamente não há hackers condenados na Federação Russa.

E eu, de acordo com as leis da Federação Russa, não posso ser processado pelo fato de ter feito alterações no firewall do roteador, mesmo que alguém tenha sofrido danos por essa ação ...

Mas não esqueça que investigadores e tribunais da Federação Russa podem tomar decisões que talvez não sejam amigas de um significado saudável e que muitas vezes lembrem

piada:
Eles roubaram uma vaca de um homem. Ele chega em casa e diz a seus filhos:
- Alguns viados roubaram uma vaca de nós.
Irmão mais velho: - Se o viado significa um pequeno.
Irmão do meio: - Se pequeno - significa de Robin.
Irmão mais novo: - Se for do Robin - então Vaska Kosoy.
Todos são nomeados em Robin e lá pressionam Vaska Slanting.
No entanto, Vaska não desiste da vaca. Ele está sendo levado a uma justiça da paz.
Justiça da paz:
"Bem ... eu não entendo sua lógica." Aqui eu tenho uma caixa, o que há nela?
Irmão mais velho: - A caixa é quadrada, então algo é redondo por dentro.
Médio: - Se redondo, então laranja.
Junior: - Se é redondo e laranja, então é laranja.
O juiz abre a caixa e realmente há uma laranja.
Juiz - Vaska Kosomu:
- oblíquo, dê a vaca.

Espero que este artigo lhe dê mais confiança em sua pesquisa de TI!

Source: https://habr.com/ru/post/pt426405/

More articles:


All Articles