Форум ''Интернет и Право''
29 Марта 2024, 19:19:51 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 [2] 3 4 ... 6   Вниз
  Печать  
Автор Тема: ПРИГОВОР суда за неправомерное использование чужих логинов и паролей  (Прочитано 26439 раз)
Сергей Середа
Тех.специалист
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1415


Говори, что думаешь, но думай, что говоришь (с)

286903819
WWW
« Ответ #10 : 04 Декабря 2006, 00:36:35 »

А я думал (не)правомерность определяется разрешением "собственником информационных ресурсов" (по старому закону) и "обладателя информации" (по новому). А, оказывается, санкционировать доступ к информации может вообще любой "Вася"...
Не согласный я с Вами.
Правомерность и неправомерность, как следует из самогО этого термина, определяется правом. Разрешение обладателя информации, как справедливо указано, делает доступ правомерным. Но это не единственный возможный вариант. Доступ может считаться правомерным и при других условиях.

Во-первых, по поводу правомерности и права. Все эти отнесения к "Праву" заканчиваются законом "Об информации...". Кроме упомянутой мною санкции обладателя информации, в "Праве" говорится лишь о возможности беспрепятственного доступа к отдельным категориям инфрмации. ЗдОрово, что Вы об этом помните, но к обсуждаемому вопросу это никакого отношения не имеет. Все остается так, как я и указывал: есть санкция - доступ правомерен, нет санкции - доступ, соответственно, неправомерен (если к этой информации можно запрещать доступ).
Это раз.

Второе. Повторюсь, что не вижу никаких причин считать косвенное изменение информации (например, при автоматической фиксации биллинговой информации) доступом к информации. Никакого доступа тут нет и не может быть (как с точки зрения здравого смысла, так и с точки зрения дисциплины "Информационная безопасность" и даже российского законодательства).  
Как можно вменять человеку в вину результаты процесса, инициировать и влиять на который он не может в принципе? Подобная практика - типичное безаконие и произвол. Я понимаю, что с учетом сегодняшних реалий, этим никого не удивишь, но мы ведь говорим о нормальной ситуации с правоприменением.

 
Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #11 : 04 Декабря 2006, 12:47:56 »

Во-первых, я пояснил, что имею в виду под "непосредственным доступом" - возможность задать команду, которая приведет именно к копированию/модификации/уничтожению или блокированию информации. Т.е. осуществить именно ввод/уничтожение или редактирование данных, а не просто стать причиной модификации тех или иных данных (без которой пользоваться информационными системами вообще невозможно).
Давайте не будем вводить собственных определений. "Непосредственным" всегда считался доступ, осуществляемый "без посредства", то есть, руками, глазами и ушами. При наличии же любых технических и программных средства доступ уже не называется непосредственным. Таким образом, к компьютерной информации непосредственного доступа быть не может.



Во-вторых, это утверждение подтверждается просто здравым смыслом. Какой может быть "доступ", если нет никакой возможности контролировать те самые "копирование/модификацию/уничтожение или блокирование информации"?
Смотря что считать "контролированием". В обсуждаемом случае злоумышленник осознаёт (или должен осознавать) причинно-следственную связь: ввод чужого логина-пароля => уменьшение суммы на чужом аккаунте. А раз он это осознаёт, то должен отвечать за такую модификацию. Субъективная часть состава преступления называется.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Сергей Середа
Тех.специалист
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1415


Говори, что думаешь, но думай, что говоришь (с)

286903819
WWW
« Ответ #12 : 04 Декабря 2006, 20:38:16 »

Во-первых, я пояснил, что имею в виду под "непосредственным доступом" - возможность задать команду, которая приведет именно к копированию/модификации/уничтожению или блокированию информации. Т.е. осуществить именно ввод/уничтожение или редактирование данных, а не просто стать причиной модификации тех или иных данных (без которой пользоваться информационными системами вообще невозможно).
Давайте не будем вводить собственных определений. "Непосредственным" всегда считался доступ, осуществляемый "без посредства", то есть, руками, глазами и ушами. При наличии же любых технических и программных средства доступ уже не называется непосредственным. Таким образом, к компьютерной информации непосредственного доступа быть не может.

Давайте тогда уже вспомним, что "непосредственных" человеческих действий вообще не бывает. Они все опосредованы через нервные импульсы и эффекторы.
Кроме этого, где я могу прочитать определение "непосредственного лоступа", которым руководствуетесь Вы?

Я же использовал сочетание "непосредственный доступ", чтобы как-то отделить его от предложенной Вами черезчур расширенной трактовки доступа как любого действия, прямо или косвенно приводящего к модификации компьютерной информации.

А так под Ваше понимание доступа к информации подходит и перехват ПЭМИН или использование электромагнитного излучения для уничтожения информации на магнитных носителях.
Во всяком случае, в Скуратовском комментарии к УК было явно указано, что подобные действия к доступу к информации оношения не имеют.


Во-вторых, это утверждение подтверждается просто здравым смыслом. Какой может быть "доступ", если нет никакой возможности контролировать те самые "копирование/модификацию/уничтожение или блокирование информации"?
Смотря что считать "контролированием". В обсуждаемом случае злоумышленник осознаёт (или должен осознавать) причинно-следственную связь: ввод чужого логина-пароля => уменьшение суммы на чужом аккаунте. А раз он это осознаёт, то должен отвечать за такую модификацию. Субъективная часть состава преступления называется.

А почему он должен ее осознавать? Существуют неограниченные по трафику тарифные планы провайдеров. Они действуют в течение какого-то ограниченного времени после оплаты (месяц, чаще всего). В данном случае никакой связи "ввод чужого логина-пароля => уменьшение суммы на чужом аккаунте" нет и в помине. Получается, злоумышленник должен быть экспертом в провайдерском бизнесе, лишь чтобы "грамотно" обеспечить себе "субъективную часть состава преступления". Абсурд-с...

А по описываемой Вами логике, по 272 статье нужно привлекать всех, кто "кликнув" баннер, тут же закрывает открывшееся в браузере новое окно. А ведь знает, негодяй, причинно-следственную связь "клик по баннеру => увеличение суммы у владельца странички с баннерами". Получается, он, имея злой умысел, обманывает рекламодателя, увеличивая в его БД число переходов с баннера. Чистый "неправомерный доступ". СОдим?
Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #13 : 04 Декабря 2006, 23:00:38 »

Давайте тогда уже вспомним, что "непосредственных" человеческих действий вообще не бывает. Они все опосредованы через нервные импульсы и эффекторы.
Кроме этого, где я могу прочитать определение "непосредственного лоступа", которым руководствуетесь Вы?
Сергей Александрович, кто из нас первым сказал "непосредственный"? Я как раз хотел подчеркнуть, что не надо вводить термин "непосредственный доступ к информации". В кодексе говорится про "доступ", просто доступ. Это значит, что имеется в виду доступ через любое опосредование.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Subjective
Посетитель
*
Офлайн Офлайн

Сообщений: 30



E-mail
« Ответ #14 : 04 Декабря 2006, 23:47:07 »

To: Сергей Середа

Сергей, по-моему, Вы ошибаетесь в трактовке УК (причем не в первый раз Подмигивающий)

1. Откуда Вы взяли, что ДОСТУП и ПОСЛЕДСТВИЯ должны осуществляться с одной и той же информацией?!

Неправомерный доступ в данном случае был осуществлен к охраняемой законом связке "логин-пароль", а модификация - со статистикой использования клиентом услуги доступа в сеть Интернет.

2. Причем, если подходить формально, модификация (а также уничтожение, блокирование и копирование) не обязательно должна производиться с ОХРАНЯЕМОЙ ЗАКОНОМ компьютерной   информацией.

Основную роль в данном случае играет именно неправомерность доступа.

Хотя по второму пункту можно и поспорить
    Улыбающийся
Записан
Сергей Середа
Тех.специалист
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1415


Говори, что думаешь, но думай, что говоришь (с)

286903819
WWW
« Ответ #15 : 05 Декабря 2006, 03:18:58 »

To: Сергей Середа

Сергей, по-моему, Вы ошибаетесь в трактовке УК (причем не в первый раз Подмигивающий)

Все дело в том, что в плане характеристики неправомерного/несанкционированного доступа УК вовсе не первичен. Формулировка статей 28-й главы УК является лишь весьма ущербным пекладом "технических" определений на язык правовых терминов. А я УК не рактую, а просто пытаюсь выудить оттуда крупицы рационального.

1. Откуда Вы взяли, что ДОСТУП и ПОСЛЕДСТВИЯ должны осуществляться с одной и той же информацией?!

По этому поводу читайте в конце постинга.

Неправомерный доступ в данном случае был осуществлен к охраняемой законом связке "логин-пароль", а модификация - со статистикой использования клиентом услуги доступа в сеть Интернет.

Во-первых, если был осуществлен неправомерный доступ к логину и паролю на чужом ПК, этого уже достаточно для привлечения по статье 272 УК. Однако в описании дела про неправомерный доступ к компьютерной информации в виде логина и пароля ничего не говорится. Указывается лишь, что осужденный "осуществлял выходы в сеть Интернет с использование логина ххх, полученного им незаконным путем". Следовательно, либо следствию не удалось доказать, что подобный доступ был, либо злоумышленник просто подсмотрел логин и пароль и записал их на бумажку. Так что первый пункт Ваших рассуждений не имеет силы.
Относительно модификации я уже писал. Вы в курсе, какова биллинговая система у провайдера? А уточняли ли это эксперты? Я не знаю. И что делать, если тарифный план безлимитный?
Подойдем к этому с другой стороны. Вы хотите сказать, что провайдер санкционирует доступ к своей биллинговой информации своим легальным клиентам? Как бы не так. Максимум, чего можно дождаться от провайдера - "предоставление информации", но никакого доступа. Смеётесь, что ли?
Таким образом, у нас выходит, что все пользователи осуществляют неправомерный доступ к биллинговой информации. Очень мило.


2. Причем, если подходить формально, модификация (а также уничтожение, блокирование и копирование) не обязательно должна производиться с ОХРАНЯЕМОЙ ЗАКОНОМ компьютерной   информацией.

Основную роль в данном случае играет именно неправомерность доступа.

Хотя по второму пункту можно и поспорить
    Улыбающийся

Вы имеете в виду, что в формулировке 272-й статьи УК не указано, что в двух частях предложения: "Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети..." и "если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети" имеется одна и та же компьютерная информация?
А это интересно. Могу предположить модификацию чего-то вроде autoexec.bat (DOS), системного реестра (Win), etc/passwd (Posix). Это может привести к модификации или уничтожению других информационных блоков или блокированию доступа к ним.
Но, все равно, в первую очередь, это модификация именно той компьютерной информации, к которой получен доступ (и этого для привлечения к ответственности уже достаточно, "производная" модификация влияет лишь на размер нанесенного ущерба). Если же ничего самостоятельно не модифицировать, то и последствий для других информационных блоков никаких не будет. Чтобы было следствие, должна быть причина.
То есть в любом случае злоумышленник должен выпонить активные действия с информацией, к которой у него есть доступ. Так что даже если кто-то осуществит неправомерный доступ к компьютерной информации, но последствий в виде копирования, модификации, уничтожения или блокирования информации не наступит (например, он информацию на экран выведет и от руки ее на бумажку запишет), то 272 статью к нему применить будет нельзя. За отсутствием состава. Можно будет привлечь за незаконный сбор информации, разлашение коммерческой или гос. тайны, шпионаж и т.п., но не за неправомерный доступ к компьютерной информации.
Записан
CyberCop
Ведущий
Частый посетитель
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1889


Свой среди чужих - Чужой среди своих.


WWW E-mail
« Ответ #16 : 05 Декабря 2006, 10:02:18 »

Но, все равно, в первую очередь, это модификация именно той компьютерной информации, к которой получен доступ (и этого для привлечения к ответственности уже достаточно, "производная" модификация влияет лишь на размер нанесенного ущерба).
    Прошу прощения, но здесь Вы заблуждаетесь.  Веселый

"Неправомерный доступ к охраняемой законом компьютерной информации..., если ЭТО ДЕЯНИЕ повлекло уничтожение....".
Где в диспозиции ч.1 ст. 272 УК РФ Вы увидели "повлекло уничтожение, ... ЭТОЙ ИНФОРМАЦИИ"?  Подмигивающий
     Раз его нет, то виды информации могут быть различными: одна - орудие преступления, другая - охраняемая законом - предмет преступного посягательства.  Веселый
Записан
Subjective
Посетитель
*
Офлайн Офлайн

Сообщений: 30



E-mail
« Ответ #17 : 05 Декабря 2006, 11:19:08 »


Во-первых, если был осуществлен неправомерный доступ к логину и паролю на чужом ПК, этого уже достаточно для привлечения по статье 272 УК. Однако в описании дела про неправомерный доступ к компьютерной информации в виде логина и пароля ничего не говорится. Указывается лишь, что осужденный "осуществлял выходы в сеть Интернет с использование логина ххх, полученного им незаконным путем". Следовательно, либо следствию не удалось доказать, что подобный доступ был, либо злоумышленник просто подсмотрел логин и пароль и записал их на бумажку. Так что первый пункт Ваших рассуждений не имеет силы.

Сергей, а я Вас самого процитирую немного.

Итак, "В ФЗ "Об информации, информационных технологиях и о защите информации", статье 2 указано: "доступ к информации - возможность получения информации и ее использования"."

Скажите, а что такое использование "логина-пароля" полученных незаконным путем, как "незаконное использование"? Т.е. "незаконный доступ" в данном случае понимается как "незаконное использование".

И не важно, каким именно образом (незаконным) он пароль этот получил.

Так что первый пункт моих рассуждений все-таки силу имеет.

Относительно модификации я уже писал. Вы в курсе, какова биллинговая система у провайдера? А уточняли ли это эксперты? Я не знаю. И что делать, если тарифный план безлимитный?
Подойдем к этому с другой стороны. Вы хотите сказать, что провайдер санкционирует доступ к своей биллинговой информации своим легальным клиентам? Как бы не так. Максимум, чего можно дождаться от провайдера - "предоставление информации", но никакого доступа. Смеётесь, что ли?
Таким образом, у нас выходит, что все пользователи осуществляют неправомерный доступ к биллинговой информации. Очень мило.

Вы будете смеяться, но немного в курсе (про статистику). И она, поверьте мне, устроена так, что в первую очередь отмечаются  факты выхода в сеть Интернет клиентов (время, длительность сеанса и т.д.). И уж только потом - считаются денюжки. Так что лимитность, равно как и безлимитность тарифа здесь роли не играет.


Подойдем к этому с другой стороны. Вы хотите сказать, что провайдер санкционирует доступ к своей биллинговой информации своим легальным клиентам? Как бы не так. Максимум, чего можно дождаться от провайдера - "предоставление информации", но никакого доступа. Смеётесь, что ли?
Таким образом, у нас выходит, что все пользователи осуществляют неправомерный доступ к биллинговой информации. Очень мило.

А кто Вам сказал, что провайдер должен предоставлять доступ клиентам к статистике? И главное для чего?

Легальный пользователь действительно осуществляет модификацию данных статистики своих выходов, да вот только модификация эта является последствием ПРАВОМЕРНОГО доступа. Поэтому никаких претензий к законопослушному клиенту быть не может.


Вы имеете в виду, что в формулировке 272-й статьи УК не указано, что в двух частях предложения: "Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети..." и "если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети" имеется одна и та же компьютерная информация?
А это интересно. Могу предположить модификацию чего-то вроде autoexec.bat (DOS), системного реестра (Win), etc/passwd (Posix). Это может привести к модификации или уничтожению других информационных блоков или блокированию доступа к ним.
Но, все равно, в первую очередь, это модификация именно той компьютерной информации, к которой получен доступ (и этого для привлечения к ответственности уже достаточно, "производная" модификация влияет лишь на размер нанесенного ущерба). Если же ничего самостоятельно не модифицировать, то и последствий для других информационных блоков никаких не будет. Чтобы было следствие, должна быть причина.
То есть в любом случае злоумышленник должен выпонить активные действия с информацией, к которой у него есть доступ. Так что даже если кто-то осуществит неправомерный доступ к компьютерной информации, но последствий в виде копирования, модификации, уничтожения или блокирования информации не наступит (например, он информацию на экран выведет и от руки ее на бумажку запишет), то 272 статью к нему применить будет нельзя. За отсутствием состава. Можно будет привлечь за незаконный сбор информации, разлашение коммерческой или гос. тайны, шпионаж и т.п., но не за неправомерный доступ к компьютерной информации.

А вот тут, извините, Сергей, превелико, но полный бред получается.

Во-первых, получение доступа к информации в подавляющем большинстве случаев связано с ее модифицированием/копированием/блокированием/уничтожением. Это факт.

Что есть вывод каких либо данных на Ваш монитор, как не копирование соответствующей информации в видеопамять Вашего компьютера. Компьютер, он ведь в тонкостях юридических не разбирается. Ему все одно куда копировать на устройство хранения или в память. Так что состав тук очень даже имеется.

А по поводу того, что злоумышленник должен получить доступ и модифицировать/... одну и ту же информацию - Вы это откуда взяли? Я в УК сколько не смотрел - не нашел. CyberCop абсолютно прав.

Хотите пример "из жизни"? Пожалуйста.

Я хакер (это пример, на самом деле я не хакер... не хакер я...Улыбающийся) и путем взлома получил администраторский логин-пароль базы данных какого-нибудь крупного Интернет-магазина (неправомерный доступ). Используя их я с помощью стандартных команд удалил к чертям собачьим все содержащиеся в ней данные (непосредственно к ним я доступа не осуществлял, на монитор не выводил и даже на бумажку не записывал). Это по-Вашему что такое? Невинная игра в классики? Или реальный состав ст.272 УК РФ? По-моему, второе.  

А "непосредственная" модификация информации, к которой я получил доступ - это, извините, если я магнитом по украденной дискете повожу или побитово ее буду править.
Ведь даже нажатие на кнопку "Delete" в файловом менеджере есть лишь опосредованное удаление файла с помощью программной реализации этого самого менеджера.

 
Записан
Сергей Середа
Тех.специалист
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1415


Говори, что думаешь, но думай, что говоришь (с)

286903819
WWW
« Ответ #18 : 05 Декабря 2006, 11:34:31 »

Но, все равно, в первую очередь, это модификация именно той компьютерной информации, к которой получен доступ (и этого для привлечения к ответственности уже достаточно, "производная" модификация влияет лишь на размер нанесенного ущерба).
    Прошу прощения, но здесь Вы заблуждаетесь.  Веселый

"Неправомерный доступ к охраняемой законом компьютерной информации..., если ЭТО ДЕЯНИЕ повлекло уничтожение....".
Где в диспозиции ч.1 ст. 272 УК РФ Вы увидели "повлекло уничтожение, ... ЭТОЙ ИНФОРМАЦИИ"?  Подмигивающий
     Раз его нет, то виды информации могут быть различными: одна - орудие преступления, другая - охраняемая законом - предмет преступного посягательства.  Веселый

Жаль, что я остался непонятым.
Именно на отсутствие упоминания об "ЭТОЙ ИНФОРМАЦИИ" я и обратил внимание при помощи г-на (г-жи) Subjective, за что ему (ей) благодарен.

Тем не менее, проанализировав возможные варианты, когда доступ осуществляется к одному информационному блоку, а изменения осуществляются в другом, я пришел к Выводу, что изменения в информационному блоке, доступа к которому не было, невозможно осуществить, не изменив компьютерную информацию в блоке, доступ к которому был. Если мы, конечно, не будем рассматривать телепатию и методы Вуду. Поэтому я и написал, что не бывает следствия (в том числе, проводимого компетентными органами ;-) без причины.

Если я заблуждаюсь, приведите контрпример. Буду ждать.
Записан
Subjective
Посетитель
*
Офлайн Офлайн

Сообщений: 30



E-mail
« Ответ #19 : 05 Декабря 2006, 11:37:47 »

Жаль, что я остался непонятым.
Именно на отсутствие упоминания об "ЭТОЙ ИНФОРМАЦИИ" я и обратил внимание при помощи г-на (г-жи) Subjective, за что ему (ей) благодарен.

ОНО!  Смеющийся

Можете назвать меня просто - товарисчь!  Улыбающийся
Записан
Страниц: 1 [2] 3 4 ... 6   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines