 |
|
|
|
![[info]](http://l-stat.livejournal.com/img/userinfo.gif?v=92.1) infowatch | |
|
|
|
|
|
|
|
Дело было так. Некий сайтовладелец отписал в местном форуме предложение посмотреть его новый сайт. Общественность восприняла просьбу неоднозначно. Кто-то стал оценивать дизайн, кто-то указывал на погрешности в вёрстке, иные высказались об экономическом аспекте самого проекта. А герой нашего рассказа решил проверить этот ресурс на уязвимости. Долго искать дыру ему не пришлось. Сайт оказался сделан на распространённом движке (CMS), а доступ в его административный интерфейс был закрыт дефолтным паролем. Что предписывает в таком случае хакерская этика? Мы-то с вами в курсе. А некоторые – университетов не кончали и соответствующую теорию не знают. Про закон я вообще молчу. Наш герой поступил так, как ему подсказала совесть. Сменил дефолтный пароль на новый (чтоб закрыть уязвимость) и написал сайтовладельцу сообщение об этом, прибавив о своей готовности передать новый пароль. Правда, сообщение не отправил по электронной почте, аське или СМС, а оставил на титульной странице сайта. Наверное, чтоб не потерялось и быстрее дошло. ;) Минут через двадцать админ веб-сайта стукнулся к нашему самозваному пентестеру в аську, и тот ему сообщил новый пароль. Казалось бы, инцидент исчерпан. Как бы не так! Как мы все понимаем, обнаруживший уязвимость отклонился от канонов этичного хакера. Но отклонился лишь слегка. Извинительно. А вот отклонение от российского законодательства... На этот счёт мнения кардинально разошлись. Сайтовладелец немедля пишет заявление в милицию, и там возбуждают уголовное дело по ст.272. Неправомерный доступ к охраняемой законом компьютерной информации. Доступ к информации был? Был, однозначно. Правомерный? Вроде, нет. Информация охраняется законом? Как будто, да. Виновен! Одна особенность в том, что ФЗ "Об информации...", на который ссылается обвинение, напрямую не говорит об охране доступности и целостности контента веб-сайта. (Охрану конфиденциальности пароля мы с вами уже обсуждали.) «Статья 7
1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.
2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. » Таким образом, контент публичного веб-сайта относится к общедоступной информации, которая конфиденциальной не является. А про целостность данный ФЗ не упоминает. (Разумеется, контент охраняется авторским правом, но уже не как информация, а как произведение – это иная ипостась и иная отрасль права.) Таким образом, добавление текста к титульной странице чужого сайта нарушением конфиденциальности не является. А целостность общедоступной информации де-юре не охраняется. Вторая особенность дела в том, что его следовало бы рассматривать как действия в условиях крайней необходимости. «Статья 39. Крайняя необходимость
1. Не является преступлением причинение вреда охраняемым уголовным законом интересам в состоянии крайней необходимости, то есть для устранения опасности, непосредственно угрожающей личности и правам данного лица или иных лиц, охраняемым законом интересам общества или государства, если эта опасность не могла быть устранена иными средствами и при этом не было допущено превышения пределов крайней необходимости. » Нормальное функционирование веб-сайта, очевидно, относится к тем самым интересам общества и правам лица-владельца сайта, которые охраняются ст.272 УК. А дефолтный пароль, безусловно, есть опасность, которую неплохо бы устранить. Чем быстрее, тем лучше, пока черви с вирусами не нашли. Админ сайта не отрицает, что "взломщик" передал ему новый пароль. Однако утверждает, что пароль оказался неверным. Противоречие можно устранить, проанализировав логи веб-сервера и посмотрев, кто, с какого IP и в какие моменты времени авторизовался. Однако следователь этого не сделал. И даже не провёл как положено выемку логов, ограничившись получением их копии от потерпевшего. Также админ и сайтовладелец утверждают, что за "восстановление" сайта второй заплатил первому 50 000 рублей, которые теперь надо взыскать с подсудимого. (Интимная подробность: шелл-доступ и доступ в БД оставались нетронутыми.) Предварительное следствие закончено. Обвинение сформулировано, свидетели допрошены. Завтра прения сторон – и затем приговор. Вот вам пруфлинк с завязкой и скриншотом дефейса. Tags: НСД, пентест, расследование, статья 272
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| From: malotavr |
Date: January 11th, 2011 02:09 pm (UTC) |
| (Link) |
|
А была ли опасность, в контексте которой можно шоворить о крайней необходимости?
> ...если эта опасность не могла быть устранена иными средствами и при этом не было допущено превышения пределов крайней необходимости.
"Опасность, исходящая из различных источников, должна:
а) угрожать личности и правам данного лица или иных лиц, охраняемым законом интересам общества или государства;
б) быть наличной;
в) быть действительной (реальной);
г) быть при данных обстоятельствах неустранимой другими средствами, не связанными с причинением вреда интересам третьих лиц" (комментарий к УК РФ под редакией Скуратова)
а) - налицо
б) - отсутствует. Уязвимость наличиствует, но вряд ли защита в состоянии доказать, что существование уязвимости в течение некоторого длительного времени обязательно привело бы к нарушению интересов сайтовладельца.
в) - отсуствует. Налицо угроза, т.е. _потенциальная_ возможность причинения вреда интересам сайтовдладельца. Говорить о действительности опасности в таких обстоятельствах слишклом смело
г) - отсутствует. У обвиняемого была возможность сообщить сайтовладельцу об уязвимости, например, через форумную почту. То, что сменить пароль оказалось быстрее, рояля не играет.
|
|
|
|
|
|
|
|
|
|
|
| From: malotavr |
Date: January 11th, 2011 07:23 pm (UTC) |
| (Link) |
|
Вы-таки считаете, что между личностью политического деятеля и диспоозицией статьи 39 УК РФ "Крайняя необходимость" есть какая-то зависимость? Боюсь, что в прениях сторон такой довод не прокатит. Ладно, бог с ним, с лицом похожим на генерального прокурора. Профессор Рарог ни в чем предосудительном не замечен?
"5. Опасность должна быть реальной (действительной) и наличной. Реальность опасности означает, что она существует в действительности, а не в воображени человека. Если опасность только привиделась человеку, имеет место ситуация мнимой крайней необходимости, которая должна оцениваться по правилам о фактической ошибке лица. Наличность означает, что она возникла и еще не миновала." ("Комментарий к УК РФ", МГЮА, 2008).
"8. Если защитить охраняемые благо можно, не жертвуя для его спасения иными охраняемыми законом интересами, причинение вреда не является правомерным."
Теми же авторами достаточно четко прокомментирован ваш тезис о якобы "неохране" доступности и целостности информации:
"Информация является охраняемой законом постольку, поскольку лицо не обладает правами доступа к данной информаци; характер информации, ее охрана законодательством об авторских и смежных правах, законодательством о государоственной тайне и т.п. не имеют значения. ... Доступ к информации предполагает получение возможности знакомиться, изменять, перемещать или удалять информацию в отсутствие надлежаще полученных прав совершать все или ряд указанных действий".
В данном случае обвиняемый надлежащим образом получил право знакомиться с информацией на сайте, но не получил право изменять ее. Причем это относится как к контенту сайта, так и дефолтному парлю ;)
На мой взгляд, сайтовладелец изящно, хотя и жестоко, отплатил обвиняемому за испорченную деловую репутацию.
|
|
|
|
|
|
|
|
|
|
|
| From: malotavr |
Date: January 11th, 2011 07:56 pm (UTC) |
| (Link) |
|
На мой взгляд, возникла путаница между опасностью и угрозой. Как добросовестный эксперт, вы мождете утвердительно ответить на вопрос, существовала ли угроза заражения, но в общем случае мы с вами не можем судить о том, существовала ли опасность заражения.
Абстрактное заражение сайта вирусом - это угроза, а угроза, по определению, - ПОТЕНЦИАЛЬНАЯ причина опасных последствий. Для того, чтобы угроза (потенциал) превратилась в опасность (действительность и наличность), нужно, чтобы а) существловал источник этой опасности и б) чтобы этот источник дейтьвительно реализовывал эту опасность в момент совершения обвиняемым обществено опасного деяния. Вот как-то так.
|
|
|
|
|
|
|
|
|
|
|
| From: malotavr |
Date: January 12th, 2011 01:26 pm (UTC) |
| (Link) |
|
> То, что опасность (угроза по-нашему) не выдумана и объективна.
Переход от выдуманной опасности к действительной - это очень сложный вопрос, по которому ломаются копья при любом обсуждении пределов необходимой самообороны :) И как-то однозначного мнения на этот счет нет вот уже десятки лет.
По-моему, вы скрещиваете ежа с ужом: одной стороны у вас вполне конкретный экземпляр CMS, с другой - абстрактные вирусы, которые умеют заражать абстрактные CMS. На мой взгляд, добросовестный эксперт не может себе позволить оперировать абстракциями. Уважаемому эксперту известно наименование вирусов, умеющих модифицировать контент той конкретной CMS, которую использовал потерпевший? Если да - это стало бы сильным аргументом, хотя остается вопрос, располагал ли теми же сведениями обвиняемый :) Если не располагал - у него не было объективных оснований считать опасность действительной.
Независимо от этого, остаются еще два факта, с которыми вы, надеюсь, спорить не будете:
1. Обвиняемый неправомерно изменил главную страницу сайта, и это действие не имело никакого отношения к устранению опасности.
2. Обвиняемый мог устранить опасность, просто уведомив о ней потерпевшего.
С учетом этого, действия обвиняемого далеки от крайней необходимости :)
|
|
|
|
|
|
|
|
|
|
|
«На мой взгляд, добросовестный эксперт не может себе позволить оперировать абстракциями. Уважаемому эксперту известно наименование вирусов, умеющих модифицировать контент той конкретной CMS, которую использовал потерпевший?» Перед экспертом (хотя, скорее, специалистом) такой вопрос и не должен ставиться. Ведь объективное вменение не допускается. Оценивать следует не наличие конкретного червя под конкретную ЦМС, а знания и представления об этом обвиняемого. Тут как при оценке решения врача. У него не было времени на анализы. Надо быстро решать: ампутировать или нет. При квалификации такого деяния суд не должен опираться на результаты последующих исследований, которые установили, что можно было обойтись без ампутации. «1. Обвиняемый неправомерно изменил главную страницу сайта, и это действие не имело никакого отношения к устранению опасности.» Имело. Способ довести информацию до сайтовладельца самым быстрым и самым надёжным способом. «2. Обвиняемый мог устранить опасность, просто уведомив о ней потерпевшего.» Мог. Но такой способ не самый быстрый. А сменить пароль - самый быстрый. |
|
|
|
|
|
|
|
|
|
|
| From: malotavr |
Date: January 12th, 2011 06:40 pm (UTC) |
| (Link) |
|
"Тут как при оценке решения врача. У него не было времени на анализы. Надо быстро решать: ампутировать или нет."
Мне странно на ваших же примерах объяснять вам разницу между потенциальным и действительным событием. Врач в вашем примере а) видел симптомы, свидетельствующие о начале болезни и б) достаточно точно знал ожидаемое время наступления негативных последствий болезни. Обвиняемый же а) видел не начавшееся действие, которое могло бы привести к опасным последствием, а лишь потенциадьную возможность это действие совершить, и б) не имел ни малейшего представления о том, насколько срочно нужно устранить эту уязвимость, чтобы опасные последствия не наступили.
Теорвер учили? Из того, что есть некоторая отличная от единицы веоятность наблюдения некоторого события, вовсе не соледуеь, что нам действительно доведется это событие наблюдать. Это стандартная ошибка, которую дляют безопасники - мне года два назад один коллега плешь проел на предмет того, что нужно прямо сейчас задублировать всю сетевую инфраструктуру нортелами, а то все циски могут по мановению волшебной палочки перестать работать.
"Способ довести информацию до сайтовладельца самым быстрым и самым надёжным способом."
Эта отмазка не канает :) Уголовный кодекс называет непременным условием крайней необходимости безальтернативность испорльзованного способа устранения опасности. До вмешательства обвиняемого сайт споеойно просуществовал не менее 20 часов, и у него не было никаких оснований считать, что в течение следующих несколько часов сайт непременно подвергнется атаке. Наоборот, на его месте было логично предположить, что сайтовладелец, начаший тему на форуме для получения отзываов о своем сайте, до конца рабочего дня (два часа с момента публикации сообщения обвиняемым) непременно на этот форум заглянет.
|
|
|
|
|
|
| |
|
|
|
в прошлое
![[info]](http://l-stat.livejournal.com/img/userinfo2.gif?v=92.1){kind=small}
![[info]](http://l-stat.livejournal.com/img/twitter-profile.gif?v=92.1){kind=small}