Форум ''Интернет и Право''
28 Марта 2024, 21:21:08 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 ... 3 4 [5] 6   Вниз
  Печать  
Автор Тема: ПРИГОВОР суда за неправомерное использование чужих логинов и паролей  (Прочитано 26415 раз)
Carolus
Участник
**
Офлайн Офлайн

Сообщений: 371


Нечем защищаться - бей кодексом!


E-mail
« Ответ #40 : 15 Декабря 2006, 21:16:04 »

с использование логина ххх, полученного им незаконным путем

Прокомментируйте, пожалуйста, вот этот момент!

Я мыслю так. Привлечь по 272-й нетрудно, если подсудимый сам признался во всём и сказал, что взял данные авторизации на хакерском сайте. А вот если бы он заявил, что пароль и логин ему ... дали (владелец или от имени владельца). Как бы ему можно было бы вменить НЕЗАКОННЫЙ путь завладения паролем и логином. А так получается, что модификация охраняемой информации была, до только несанкционированной её трудно назвать. Санкция - это логин и пароль. Ввёл правильно, а не взломал = получил санкционированный доступ. Даже если он их украл, то по идее надо доказывать момент кражи пароля, а не после того, как результатом пользуются. А ведь хакер может прикинуться лохом и сказать, что, мол, нашёл сайт, там бесплатный Инет предлагали, ну он и взял Улыбающийся Кстати, нетрудно и поддельное письмо с какого-нибудь реального мэйла сделать и подвесить себе во Входящие, когда "Р"ычащие" придут - тыкать их туда и настаивать, что это кто-то (а хоть бы и владелец) с ним поделился по доброте душевной. Сомнение, как известно, толкуется в пользу обвиняемого. Итог: обвинение рассыпается, т.к. умысел на несанкционированный доступ не доказан.
Записан
Сергей Середа
Тех.специалист
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1415


Говори, что думаешь, но думай, что говоришь (с)

286903819
WWW
« Ответ #41 : 16 Декабря 2006, 02:48:39 »

с использование логина ххх, полученного им незаконным путем

Прокомментируйте, пожалуйста, вот этот момент!

Я мыслю так. Привлечь по 272-й нетрудно, если подсудимый сам признался во всём и сказал, что взял данные авторизации на хакерском сайте. А вот если бы он заявил, что пароль и логин ему ... дали (владелец или от имени владельца). Как бы ему можно было бы вменить НЕЗАКОННЫЙ путь завладения паролем и логином. А так получается, что модификация охраняемой информации была, до только несанкционированной её трудно назвать. Санкция - это логин и пароль. Ввёл правильно, а не взломал = получил санкционированный доступ. Даже если он их украл, то по идее надо доказывать момент кражи пароля, а не после того, как результатом пользуются. А ведь хакер может прикинуться лохом и сказать, что, мол, нашёл сайт, там бесплатный Инет предлагали, ну он и взял Улыбающийся Кстати, нетрудно и поддельное письмо с какого-нибудь реального мэйла сделать и подвесить себе во Входящие, когда "Р"ычащие" придут - тыкать их туда и настаивать, что это кто-то (а хоть бы и владелец) с ним поделился по доброте душевной. Сомнение, как известно, толкуется в пользу обвиняемого. Итог: обвинение рассыпается, т.к. умысел на несанкционированный доступ не доказан.

Я мыслю, что Вы верно мыслите Подмигивающий
По большей части, подсудимого запугивают тем, что если "уйдёт в несознанку", получит "по полной", а если сознается и со всем согласится, то приговор будет максимально мягким. Коллеги вот делились, что могут применять и иные меры "убеждения", типа резиновой дубинки или чего похуже...




Записан
Сергей Середа
Тех.специалист
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1415


Говори, что думаешь, но думай, что говоришь (с)

286903819
WWW
« Ответ #42 : 16 Декабря 2006, 03:10:31 »

Про второй пункт законодательство молчит. Но я согласен с Вашей трактовкой.
"Обладатель информации, если иное не предусмотрено федеральными законами, вправе... определять порядок и условия такого доступа..."

А, в этом смысле. Да, согласен. Просто сконцентрировал внимание на фразе "использование только предусмотренных владельцем технических средств авторизации и разграничения прав доступа пользователей".

если номер многоканального телефона провайдера общеизвестен (их часто публикуют в объявлениях), то модемное соединение с ним и попытку входа никогда не признают неразрешёнными. Это - часть публичной оферты воспользоваться услугами провайдера.

http://www.it.canterbury.ac.nz/web/internet/telnetgate.shtml
Полагаете этот новозеландский университет, опубликовав эти адреса, инструкции и т.п. на общедоступном сайте, санкционировал всем использование этой системы, разрешив по крайней мере подключение и ввод логинов/паролей первому встречному?

Полагаю, что дело обстоит именно так. Пока в этом тексте не будет явно указано, что, тем, кто не является студентом или сотрудником института запрещается осуществлять попытки ввода логина и пароля. (А подумайте, что мы посадим в тюрьму маму или папу студента, которых он попросил посмотреть, какие у него оценки по сессии).
Кроме этого, я хорошо помню, как мы учились работе в Интернет в 1994-5 г.г., заходя по протоколам Gopher, FTP и Telnet на сервера американских университетов типа uiuc.edu. Тогда доступ по "анонимусу" был открыт у многих.

У подсудимого и в мыслях не было модифицировать биллинговую информацию.
Вводя чужие реквизиты, желал, чтобы плата за услуги была начислена ему самому? Имел разумные основания полагать, что в конкретном случае (а не как может быть вообще) билинговая информация не будет изменена? Достоверно знал, что в конкретном случае провайдер не ведет учет доступа пользователя/-ей к услуге, и изменение текущей информации о подключении с реквизитами пользователя Х., не приведет к блокированию возможности самого этого Х. получить доступ к услугам и информации в это же самое время?

Во-первых, а почему, собственно, осуждённый должен был всё это знать? У нас, что, каждый встречный и поперечный знает, что такое биллинг (или хотя бы может это выговорить)? А если не знал, то и намерения иметь не мог. А я очень сильно сомневаюсь, что школьники и студенты первых курсов (которые составляют большинство народа, "тырящего" логины и пароли) имеют понятие о принципах и механизмах учёта трафика и его тарификации. Кроме того, я сильно сомневаюсь, что привлечение этих самых школьников и студентов к уголовной ответственности шибко принесёт пользу обществу...

Во-вторых, в очередной раз повторяю, что модификация биллинговой информации происходит против воли (или вне зависимости от воли) что законного пользователя услуг, что незаконного. Поэтому говорить, что автоматическая модификация биллинговой информации была произведена по их желанию, значит говорить неправду. Никакой команды на модификацию этой информации ими не давалось, т.е. их действия с информацией не были причиной модификации биллинговой информации.

Приведу еще пример. Украл негодяй мобильник и начал по нему говорить за счет законного владельца SIM/UIM-карты. "Вламывать" ему 272?
« Последнее редактирование: 16 Декабря 2006, 03:11:40 от Сергей Середа » Записан
Сергей Середа
Тех.специалист
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1415


Говори, что думаешь, но думай, что говоришь (с)

286903819
WWW
« Ответ #43 : 16 Декабря 2006, 03:48:55 »

Цитировать
Осудят ли Г за убийство? Думаю, что нет.
Непредумышленной убийство. В Российском праве это убийство по неосторожности.
Не соглашусь. Товарищ кражу совершил и намерений лишить жизни гражданина Б или даже нанести ему телесные повреждения не имел. Соответственно, в крайнем случае, фатальные для Б последствия кражи можно считать "невиновным причинением вреда", а оно неподсудно (п. 2, ст. 3 УК РФ). Ну, насколько я понимаю.

...Отсюда вывод, что если в системе безопасности есть "дыра", то это следствие действий владельца системы (программиста, администратора и т.д.), а не следствие недоброй воли правонарушителя.

А вот тут тяжело что-то сказать однозначно. Доступ к информации при явном запрете её обладателя, вроде как, все равно неправомерный, даже если защита "дырявая".
Я так до конца и понял, что выходит по закону. С одной стороны, в ФЗ "Об информации..." говорится, что обладатель информации обязан принимать меры к её защите (ст. 6) и что, если такие меры не принимаются, то ему будет отказано в возмещении убытков (ст. 17). Т.е., вроде как, "сам виноват". Но вот про то, что не подлежит уголовной ответственности лицо, совершившее неправомерный доступ к компьютерной информации, обладатель которой не принимал мер к её защите, тут ничего не говорится. Так что, боюсь, "посодют", тем более, что у нас это дело любят...

В отличии от железных сейфов, программу нельзя "взломать", не изменив ее код. Особенности неизмененной программы можно лишь использовать для достижения желаемого результата.

Не скажите, коллега Подмигивающий Я Вам авторитетно могу заявить, что "взломать" программу без модификации её кода очень даже можно (http://consumer.nm.ru/hacktool.htm, пункт 21).

Цитировать
Хорошо, а если бы он не "логинился", а "работал между строк", "подсылая" через локальную сеть свои пакеты с обратным адресом законного пользователя во время его работы и перехватывая свои ответные пакеты до того, как они попадали к легальному пользователю?
Это вмешательство в работу программ, реализующих стек протоколов TCP/IP.

И что? Во-первых, бОльшая их часть доступна под BSD License или GPL, которые явно разрешают модифицровать эти программы. Во-вторых, такую программу можно вообще самому написать (при должной квалификации). Так что с этой стороны никаких заковык.

Цитировать
Последствия те же, а ввода логина и пароля нету...
Зато есть идентификация по MAC-адресам.
[/quot]

Кстати, тоже интересный пример. Windows и Linux/Unix позволяют менять MAC-адрес по желанию и настроению пользователя, сама сетевая карта принадлежит пользователю. Он берет и меняет MAC-адрес. Получает доступ в сеть провайдера. И что он сделал незаконного? Кстати, такое иногда делают и совершенно законные пользователи, когда вместо десктопа с постоянным выходом в Интернет подключают на время ноутбук или просто компьютер "апгрейдят".

...Вы здесь неявно подменяете понятия "угроза извне" на "угроза изнутри". Если админ лох, то тут медицина бессильна. Приходится обращаться к помощи юристов.

А это, насколько я понимаю, при квалификации неправомерного доступа совершенно неважно. Только на тяжесть влияет.

Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #44 : 16 Декабря 2006, 12:17:04 »

Я мыслю так. Привлечь по 272-й нетрудно, если подсудимый сам признался во всём и сказал, что взял данные авторизации на хакерском сайте. А вот если бы он заявил, что пароль и логин ему ... дали (владелец или от имени владельца). Как бы ему можно было бы вменить НЕЗАКОННЫЙ путь завладения паролем и логином.
Я вам один умный вещь скажу, только вы не обижайтесь. Если бы всё было по-вашему, каждый вор мог бы отмазаться - дескать, потерпевший сам мне всё подарил.

Мне известны по меньшей мере два дела, закончившихся обвинительным приговором, в которых подсудимый на самом деле, а не в качестве гнилой отмазки получил логин-пароль от потерпевшего. Добровольно. С устным разрешением пользоваться. И схлопотал по 272-й, потому что потерпевший отказался от того, что давал своё разрешение. А кроме устного разрешения ничего не было. В одном случае трудовые отношения между потерпевшим и подсудимым не были официально оформлены, в другом случае они уже формально закончились на момент инкриминируемых действий.

А вы говорите = сомнения в пользу обвиняемого. Не любые сомнения! А лишь неразрешимые. А здесь сомнения легко разрешаются. Чужим пользовался? Да. Документы есть? Нет. Владелец разрешение подтыверждает? Нет. Значит, украл. Никаких сомнений.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #45 : 16 Декабря 2006, 12:32:33 »

Во-первых, а почему, собственно, осуждённый должен был всё это знать? У нас, что, каждый встречный и поперечный знает, что такое биллинг (или хотя бы может это выговорить)? А если не знал, то и намерения иметь не мог. А я очень сильно сомневаюсь, что школьники и студенты первых курсов (которые составляют большинство народа, "тырящего" логины и пароли) имеют понятие о принципах и механизмах учёта трафика и его тарификации.
Кстати. По известным мне нормальным делам такого рода знания подозреваемого в области учёта оказанных услуг и их оплаты являлись одним из предметов доказывания.

"...показаниями свидетеля Хрюнделя, которому обвиняемый рассказывал, что получил незаконно логин на доступ в Интернет, принадлежащий иному лицу, на котором, по словам обвиняемого оставалось около 15-20 долларов США, что подтверждает, что обвиняемому было известно, что оказываемые услуги платные, а плата списывается с чужого счёта..."

Во-вторых, в очередной раз повторяю, что модификация биллинговой информации происходит против воли (или вне зависимости от воли) что законного пользователя услуг, что незаконного. Поэтому говорить, что автоматическая модификация биллинговой информации была произведена по их желанию, значит говорить неправду.
Называется "косвенный умысел". Статья 25, часть 3 УК.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Urix
Гость


E-mail
« Ответ #46 : 16 Декабря 2006, 13:53:17 »

Цитировать
Я Вам авторитетно могу заявить, что "взломать" программу без модификации её кода очень даже можно
С точки зрения программирования такой "взлом" лишь следствие существования в программе недокументированных возможностей (ошибок), являющихся неотъемлемой частью графа хода исполнения программы. Даже DNS-шторм является лишь следствием ошибок в bind-е, которые регулярно вылавливают и патчат. Естественно, что все предусмотреть невозможно и практически невозможно написать код без ошибок. Дело в том, что неточность в программировании есть ошибка в прогнозе поведения программы в нештатной ситуации.  Но использование ошибок не может являться основанием для предъявления обвинений в неправомерном доступе. Например, если человек идет по улице и поднимает лежащую на земле денежную купюру, выпавшую из дырявого кармана (неожиданная, недокументированная возможность), то это не является основанием для обвинений в воровстве.
Цитировать
А здесь сомнения легко разрешаются.
Я сталкивался с такими "разрешениями сомнений". Например, отказ в дактилоскопической экспертизе предмета (якобы орудия преступления), на которой настаивал обвиняемый, а свидетели сами показывали, что летом в жару обвиняемый был без перчаток. Просто было отказано в удовлетворении ходатайства о проведении неотложного следственного действия и все. Вместо экспертизы следователь самостоятельно проводит осмотр предмета, при котором, естественно, уничтожает все следы. Дык шта-ааа...
« Последнее редактирование: 16 Декабря 2006, 14:12:30 от Urix » Записан
Сергей Середа
Тех.специалист
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1415


Говори, что думаешь, но думай, что говоришь (с)

286903819
WWW
« Ответ #47 : 16 Декабря 2006, 14:51:53 »

Цитировать
Я Вам авторитетно могу заявить, что "взломать" программу без модификации её кода очень даже можно
С точки зрения программирования такой "взлом" лишь следствие существования в программе недокументированных возможностей (ошибок), являющихся неотъемлемой частью графа хода исполнения программы.

Я имел в виду "взлом" программы для обхода средств технической защиты АП.

А в том смысле, что имел в виду Вы, это "срыв стека" - код программы не меняется, просто на новый блок устанавливается указатель инструкций.
И не уверен, что срыв стека можно подвести под 272 или 273 статьи - на стандартный вход подаются данные, а парсер, из-за некорректной их обработки передаёт на них управление. В то же время, эти данные никто не пытался подать, как исполняемый код. Таким же макаром можно какой-нить jpg в com переименовать и попробовать запустить, а потом, если что-то в системе сотрется, посадить дизайнера за написание вредоносного ПО...
Записан
Urix
Гость


E-mail
« Ответ #48 : 16 Декабря 2006, 15:08:20 »

Цитировать
И не уверен, что срыв стека можно подвести под 272 или 273 статьи - на стандартный вход подаются данные, а парсер, из-за некорректной их обработки передаёт на них управление.
В Виндозе этого нет, а в Unix-ах стек - это область системных данных. Вмешательство в эту область является вмешательством в работу операцонной системы (другой программы), следовательно и 272 и 273 и 274 составы присутствуют. Вменять такие вещи можно только в результате грамотно поставленных вопросов эксперту, который как раз и скажет, что в результате действий был получен несанкционированный (не предусмотренный описанием программы) доступ и несанкционированное (не предусмотренное описанием программы) изменение данных в системной области, что привело к нарушениям в работе операционной системы на вычислительной машине в результате чего произошло блокирование, модификация данных. В таком случае даже признание не нужно. Состав налицо уже после экспертизы.

Беда в том, что так никто не делает. Слишком сложно для одноуровневого мышления. Все норовят получить "царицу доказательств" либо "резиновыми демократизаторами", либо "слониками", либо гениталии дверями...

Цитировать
Таким же макаром можно какой-нить jpg в com переименовать и попробовать запустить, а потом, если что-то в системе сотрется, посадить дизайнера за написание вредоносного ПО...
Ессесно, что я об этом и говорил. Нужен четкий и однозначный критерий преступности деяний. Сейчас такого критерия нет. А все из-за различий в естественно-научных-технических и юридических определениях одних и тех же являений. И нужно обязательно определиться с тем, в каких операционных системах деяния будут преступными, а в каких нет из-за особенностей работы ОС.
« Последнее редактирование: 18 Декабря 2006, 03:57:56 от Urix » Записан
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #49 : 18 Декабря 2006, 12:40:30 »

Кроме этого, я хорошо помню, как мы учились работе в Интернет в 1994-5 г.г., заходя по протоколам Gopher, FTP и Telnet на сервера американских университетов типа uiuc.edu. Тогда доступ по "анонимусу" был открыт у многих.
А я студентом в походы бывало хаживал, так в некоторых местах по сию пору жители дома на замок не  закрывают и всем в окрестности это известно, однако, ИМХО, это не означает, что все они отказались от своего права на неприкосновенность жилища и дали свое согласие неопределеннному кругу лиц использовать его, как им заблагорасудится.
Полагаю, что дело обстоит именно так. Пока в этом тексте не будет явно указано, что, тем, кто не является студентом или сотрудником института запрещается осуществлять попытки ввода логина и пароля.
ИМХО, как раз наоборот, никакой презумпции разрешения на использование системы нет, и до тех пор пока ясно и четко владелец не сформулировал, что разрешается использовать всем, у вас нет оснований полагать обратное.
(А подумайте, что мы посадим в тюрьму маму или папу студента, которых он попросил посмотреть, какие у него оценки по сессии).
Не, посадим студента... Как нарушившего правила эксплуатации и передавшего свои реквизиты третьим лицам... Подмигивающий
Записан

Страниц: 1 ... 3 4 [5] 6   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines