Форум ''Интернет и Право''
19 Ноябрь 2017, 12:58:12 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1]   Вниз
  Печать  
Автор Тема: Дело иркутского доброхакера  (Прочитано 1527 раз)
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« : 10 Январь 2011, 21:21:25 »

В апреле 2009 один сайтовладелец отписал в местном форуме предложение посмотреть его новый сайт. Общественность восприняла просьбу неоднозначно. Кто-то стал оценивать дизайн, кто-то указывал на погрешности в вёрстке, иные высказались об экономическом аспекте самого проекта. А герой нашего рассказа решил проверить этот ресурс на уязвимости.

Долго искать "дыру" ему не пришлось. Сайт оказался сделан на распространённом движке (content management system - CMS), а доступ в его административный интерфейс был закрыт дефолтным паролем (т.е. паролем по умолчанию, который устанавливает производитель).

Наш герой поступил так, как ему подсказала совесть. Сменил дефолтный пароль на новый (чтоб закрыть уязвимость) и написал сайтовладельцу сообщение об этом, прибавив о своей готовности передать новый пароль. Правда, сообщение не отправил по электронной почте, аське или СМС, а оставил на титульной странице сайта. Наверное, чтоб не потерялось и быстрее дошло. Подмигивающий Минут через двадцать админ веб-сайта стукнулся к нашему самозваному пентестеру в аську, и тот ему сообщил новый пароль.

Сайтовладелец немедля пишет заявление в милицию, и там возбуждают уголовное дело по ст.272. Неправомерный доступ к охраняемой законом компьютерной информации. Доступ к информации был? Был, однозначно. Правомерный? Вроде, нет. Информация охраняется законом? Как будто, да. Виновен!

Одна особенность в том, что ФЗ "Об информации...", на который ссылается обвинение, напрямую не говорит об охране доступности и целостности контента веб-сайта.
Цитировать
Статья 7
1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.
2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
Таким образом, контент публичного веб-сайта относится к общедоступной информации, которая конфиденциальной не является. А про целостность данный ФЗ не упоминает. (Разумеется, контент охраняется авторским правом, но уже не как информация, а как произведение - это иная ипостась и иная отрасль права.)

Таким образом, добавление текста к титульной странице чужого сайта нарушением конфиденциальности не является. А целостность общедоступной информации де-юре не охраняется.

Вторая особенность дела в том, что его следовало бы рассматривать как действия в условиях крайней необходимости.
Цитировать
Статья 39. Крайняя необходимость
1. Не является преступлением причинение вреда охраняемым уголовным законом интересам в состоянии крайней необходимости, то есть для устранения опасности, непосредственно угрожающей личности и правам данного лица или иных лиц, охраняемым законом интересам общества или государства, если эта опасность не могла быть устранена иными средствами и при этом не было допущено превышения пределов крайней необходимости.
Нормальное функционирование веб-сайта, очевидно, относится к тем самым интересам общества и правам лица-владельца сайта, которые охраняются ст.272 УК. А дефолтный пароль, безусловно, есть опасность, которую неплохо бы устранить. Чем быстрее, тем лучше, пока черви с вирусами её не нашли.

Админ сайта не отрицает, что "взломщик" передал ему новый пароль. Однако утверждает, что пароль оказался неверным. Противоречие можно устранить, проанализировав логи веб-сервера и посмотрев, кто, с какого IP и в какие моменты времени авторизовался. Однако следователь этого не сделал. И даже не провёл как положено выемку логов, ограничившись получением их копии от потерпевшего.

Также админ и сайтовладелец утверждают, что за "восстановление" сайта второй заплатил первому 50 000 рублей, которые теперь надо взыскать с подсудимого. (Интимная подробность: шелл-доступ и доступ в БД оставались нетронутыми.)

Предварительное следствие закончено. Обвинение сформулировано, свидетели допрошены. Завтра прения сторон - и затем приговор.

Пруфлинк с завязкой и скриншотом дефейса.

Прошу уважаемых юристов высказать свою оценку квалификации деяния. Неюристов прошу воздержаться.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Страниц: [1]   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2017. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).
Rambler's Top100

Произвольная ссылка:

Powered by SMF 1.1.21 | SMF © 2011, Simple Machines