在
发表有关我的研究 的文章后 ,人们
在文章评论和电报聊天(@router_os)中写了我的研究报告,说我违反了所有法律,将我入狱。
正如所
承诺的那样 ,几个月后,我写了这篇文章,甚至没有用SIZO相机写过:-)此外,我
昨天还收到了另一份
MTCRE证书。
互联网上有很多关于黑客的文章,以及各国的黑客态度。 但是我没有找到关于在现行法律的框架内如何对待俄罗斯联邦黑客的可理解的文章。 也许不看那里,但是仍然。
我建议更详细地了解黑客的种类,包括从俄罗斯联邦司法实践的角度。
根据我的经验和从开放源代码获得的信息,接下来将纯粹是我的观点。
因此,我希望在评论中看到您的意见和评论。今天,有三种类型的黑客:
白帽子或道德黑客
大多数情况下,这些人是聘请的安全专家,其任务包括根据系统所有者的命令或技术任务来查找计算机系统中的漏洞。
他们也被称为-渗透测试者。
在大多数情况下,他们受过专业教育。 他们当中的狂热者并不多。 他们按照所教的和所要做的去做。 在他们的头上不要试图跳。
同样,白帽子也可以归因于比赛和节目的参与者,就像“ Bug Bounty”一样。
主要动机:保证他们的工作报酬。
黑帽或网络犯罪分子
这些是超级恶棍,他们习惯于在各种电影中看电视并在电视上谈论。
通常,这些专家与道德黑客一样都是高素质的专家,但是他们可以没有受过高等教育,也没有自我服务的个人动机。 例如,窃取另一个基地并在Darknet中出售。
“黑帽”的行为在全世界几乎都是非法的。 致富的机会比白帽的要高得多,但是去不太偏远的地方的风险也很高。
他们总是有犯罪意图。
灰色帽子
尽管这些帽子的颜色是中间的,但它们与网络犯罪分子和道德黑客根本不同。
通常这些年轻人仍然相信这个世界上的正义,并愿意免费帮助他人。 出于好奇,他们研究了所研究的IT系统。
如果发现攻击者可以利用的漏洞,他们将尝试影响其进一步的发展:
- 有人将此错误通知IT系统的所有者。
- 有人试图自己修复它
- 公共资源上的某人发布了此错误的描述。
他们的活动并非旨在牟利。
人的本性是如此,每个人都希望得到社会的认可。
但是,
“谁能帮助人们-他白白浪费时间”。 (Shapoklyak)。 因此,学生没有获得期望的认可,就脱下了“灰色帽子”。
此外,前利他主义者有几种方式:
- 搜索与正在研究的主题相关的法律工作。
- 锤击忘记。
- 走上网络犯罪分子的湿滑道路。
我也不例外。我在2015年遇到Mikrotik设备时,当时我在使用该设备的组织中找到一份工作。 但是该网络的构建非常令人恶心(例如,NAT网络的每个部分都有直接链接),我开始研究微观技术,以期正确构建网络。
一年后,我换了工作,Mikrotik开始很少找我。 但是我仍然坚持不懈地选择这个系统。
由于没有从RouterOS知识中获得实质性利益,我于2018年通过了MTCNA考试,并于昨天收到MTCRE
迟早,如果没有专业兴趣,我对Mikrotik的好奇心就会消失。
海盗
实际上,他们是网络犯罪分子。 是的,绝大多数都离IT远了,但是我应该在本文的框架中提及它们。
尽管如此,他们的目标是窃取内容,取消保护并转售而不向内容所有者支付特许权使用费。 而且,它们由“黑客”文章来判断。
俄罗斯关于黑客的法律
在我们国家,一切允许的事情显然是不被禁止的。
《刑法》这一章的四条第二十八条规定了黑客禁止的行为。 让我们按顺序看一下它们。
PS:在本文中,我不认为不属于第28章的罪行。 例如,由于恋童癖者使用此应用程序,他们在这里试图根据俄罗斯联邦《刑法》第132条(针对身份不明的人的性侵犯)吸引Kate Mobile的代理人 。俄罗斯联邦《刑法》第272条“非法获取受法律保护的计算机信息”
并非所有信息都受法律保护。 也就是说,为了使信息受到保护,必须在立法法案中加以提及。
如果有人侵入您的计算机并窃取了您的学期论文,那么根据本文,他们将无法吸引他。法律保护哪种信息:
- 秘密电话交谈和任何形式的短信。 (俄罗斯联邦宪法第29条)。 这篇特殊文章吸引了从900中偷走短信并从受害者卡中提取钱的欺诈者。 ( 您好,SS7协议 )。
- 商业(第98-号)和国家机密(第5482-1号)。 对于此信息,应严格定义可以访问该信息的人员圈子及其使用规则。 就是说,没有特别许可,一个简单的公民就无法接收的信息。
- 医疗机密性(第323-FZ号法律第13条)。 根据本文,可能会导致非法访问卫生部的文件。
- 银行保密(第395-1号法律第26条)。
- 等等
同样,如果信息的所有者已采取所有必要的措施来保护它,则任何信息都可能受到“法律保护”。 (
2006年7月27日第149-号法律“关于信息...”的第6条 )。
如果攻击者使用用户名“ admin”和密码“ 123”入侵了您的网站,并在主页上发布了不雅图片,则在“艺术”下。 根据俄罗斯联邦《刑法》第272条,即使考虑到他有犯罪意图,也无法吸引他。
要求更新路由器上的软件是保护信息的先决条件。
俄罗斯联邦《刑法》第273条创建,使用和分发恶意计算机程序
当然,根据这篇文章,所有病毒和破解程序都将削弱软件保护。
但是,针对渗透测试的程序是一个非常有争议的时刻。 必须将注释写入此类程序,以便仅在信息系统所有者的同意下才能使用它。 但是,如果需要司法机构,将这个程序称为恶意程序将不难。
无论如何,在创建,使用或有意分发这些程序时,都应该以繁文caught节。 还是真诚的认可。
而且由于我们的调查人员绝大多数都不擅长IT,因此本文中的句子通常包含以下内容:
“在听证会上,被告承认根据《艺术》对他的指控。 俄罗斯联邦《刑法》第273 h。1条规定了全部内容,并要求以特殊方式对此判决作出判决,无需进行审判。
因此,如果裂缝集合存储在磁盘上,那么这并不是本文吸引的基础。
俄罗斯联邦《刑法》第274条违反计算机信息以及信息和电信网络的存储,处理或传输手段的操作规则
根据本文,只有在该行为引起对计算机信息的破坏,阻止,修改或复制造成
重大损害的情况下,才有可能吸引他人
。老实说,我没有找到司法实践……要么我看上去很糟糕,要么在俄罗斯联邦,他们没有学习如何应用它。
俄罗斯联邦《刑法》第274.1条对俄罗斯联邦的关键信息基础架构产生非法影响
同样的情况。 有关本文的理论,请参见
habr.com/en/post/346372个案研究
在下一次发布“银行客户的个人帐户”之后,开发人员犯了一个错误,该错误在将钱从卡上转移到帐户时,没有检查卡上的钱是否可用。 知道如何用鼠标单击的普通店员已经注意到此错误。 给自己一些。 而且他在工作中和在家中都不需要任何VPN。
他亲自从自动取款机上取了这笔钱。 由于卡的每日限额设置为25,000卢布,因此他连续几天这样做,直到在银行中发现此错误。
当他们找到他并主动提出退还赃物而没有与警察联系时(毕竟,银行的门槛和银行的SB理解了这一点),然后他拒绝了,他说,您的系统分发赃物不是我的问题。
杜德(Dude)仅在《艺术》第1部分下被定罪。 《刑法典》第272条,因为他故意非法修改了受法律保护的银行信息。
破损
即使在黑客的行动中没有确定犯罪要件,也可以在民事秩序中获得损害赔偿(《民法典》第1064条)。
例如,如果我在有漏洞的Mikrotik上更新了固件并且“变坏了”,那么此路由器的所有者(拒绝启动UD后)可以按照民事命令起诉我,并请求法院从我这里追回该损失。
结论
实际上,只有在以下情况下,俄罗斯联邦的黑客才能被起诉只有两条:
- 黑客可以访问受法律保护的信息或利用恶意软件
- 同时,他被人当场抓获和/或有证据表明是他本人(极为罕见)。
- 证明有犯罪意图或过失。
好吧,或者他本人也承认了一切,即使他什么也不做:-)
根据俄罗斯联邦的法律,“灰色帽子”不能偶然成为罪犯。 为此,他们必须有犯罪意图,并且必须在IT和法律方面足够愚蠢。 确实,俄罗斯联邦几乎没有定罪的真正黑客。
而且即使我有人对路由器的防火墙进行了更改,也无法因俄罗斯联邦的法律而受到起诉。
但是请不要忘记,俄罗斯联邦的
调查人员和法院可以做出任何可能不健康的决定,并且常常提醒
笑话:他们从一个人那里偷走了一头牛。 他回到家对儿子说:
-一些迷从我们那里偷走了一头牛。
哥哥:-如果那个小家伙是个小家伙。
中间兄弟:-如果很小的话-是罗宾的意思。
弟弟:-如果是罗宾(Robin)-则是Vaska Kosoy。
所有人都在罗宾(Robin)中获得提名,他们在那里按Vaska Slanting。
但是,瓦斯卡并没有放弃这头母牛。 他被引向和平大法官。
太平绅士:
“嗯……我不明白你的逻辑。” 我在这里有一个盒子,里面放着什么?
哥哥:-盒子是正方形的,所以里面是圆形的。
中:-如果呈圆形,则呈橙色。
初级:-如果是圆形和橙色,则为橙色。
法官打开盒子,确实有一个橙色。
法官-Vaska Kosomu:
-倾斜,给牛。
希望本文能使您对IT研究更有信心!