Название: Дело иркутского доброхакера Отправлено: Николай Николаевич Федотов от 10 Января 2011, 21:21:25 В апреле 2009 один сайтовладелец отписал в местном форуме предложение посмотреть его новый сайт. Общественность восприняла просьбу неоднозначно. Кто-то стал оценивать дизайн, кто-то указывал на погрешности в вёрстке, иные высказались об экономическом аспекте самого проекта. А герой нашего рассказа решил проверить этот ресурс на уязвимости.
Долго искать "дыру" ему не пришлось. Сайт оказался сделан на распространённом движке (content management system - CMS), а доступ в его административный интерфейс был закрыт дефолтным паролем (т.е. паролем по умолчанию, который устанавливает производитель). Наш герой поступил так, как ему подсказала совесть. Сменил дефолтный пароль на новый (чтоб закрыть уязвимость) и написал сайтовладельцу сообщение об этом, прибавив о своей готовности передать новый пароль. Правда, сообщение не отправил по электронной почте, аське или СМС, а оставил на титульной странице сайта. Наверное, чтоб не потерялось и быстрее дошло. ;) Минут через двадцать админ веб-сайта стукнулся к нашему самозваному пентестеру в аську, и тот ему сообщил новый пароль. Сайтовладелец немедля пишет заявление в милицию, и там возбуждают уголовное дело по ст.272. Неправомерный доступ к охраняемой законом компьютерной информации. Доступ к информации был? Был, однозначно. Правомерный? Вроде, нет. Информация охраняется законом? Как будто, да. Виновен! Одна особенность в том, что ФЗ "Об информации..." (http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=103186), на который ссылается обвинение, напрямую не говорит об охране доступности и целостности контента веб-сайта. Цитировать Статья 7 Таким образом, контент публичного веб-сайта относится к общедоступной информации, которая конфиденциальной не является. А про целостность данный ФЗ не упоминает. (Разумеется, контент охраняется авторским правом, но уже не как информация, а как произведение - это иная ипостась и иная отрасль права.)1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. 2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Таким образом, добавление текста к титульной странице чужого сайта нарушением конфиденциальности не является. А целостность общедоступной информации де-юре не охраняется. Вторая особенность дела в том, что его следовало бы рассматривать как действия в условиях крайней необходимости (http://base.garant.ru/10108000/8/#39). Цитировать Статья 39. Крайняя необходимость Нормальное функционирование веб-сайта, очевидно, относится к тем самым интересам общества и правам лица-владельца сайта, которые охраняются ст.272 УК. А дефолтный пароль, безусловно, есть опасность, которую неплохо бы устранить. Чем быстрее, тем лучше, пока черви с вирусами её не нашли.1. Не является преступлением причинение вреда охраняемым уголовным законом интересам в состоянии крайней необходимости, то есть для устранения опасности, непосредственно угрожающей личности и правам данного лица или иных лиц, охраняемым законом интересам общества или государства, если эта опасность не могла быть устранена иными средствами и при этом не было допущено превышения пределов крайней необходимости. Админ сайта не отрицает, что "взломщик" передал ему новый пароль. Однако утверждает, что пароль оказался неверным. Противоречие можно устранить, проанализировав логи веб-сервера и посмотрев, кто, с какого IP и в какие моменты времени авторизовался. Однако следователь этого не сделал. И даже не провёл как положено (http://forensics.ru/FNN-logevidence.html) выемку логов, ограничившись получением их копии от потерпевшего. Также админ и сайтовладелец утверждают, что за "восстановление" сайта второй заплатил первому 50 000 рублей, которые теперь надо взыскать с подсудимого. (Интимная подробность: шелл-доступ и доступ в БД оставались нетронутыми.) Предварительное следствие закончено. Обвинение сформулировано, свидетели допрошены. Завтра прения сторон - и затем приговор. Пруфлинк (http://portirkutsk.ru/forum/viewtopic.php?t=17546) с завязкой и скриншотом дефейса. Прошу уважаемых юристов высказать свою оценку квалификации деяния. Неюристов прошу воздержаться. |