December 21st, 2009

white

Подбор пароля

Появился в комментариях интересный вопрос.
«Нарушает ли закон процесс перебора паролей к любым системам удаленного администрирования? (ssh, telnet, rdp, разделы администрирования web и пр.) Нарушен ли закон, если автоматизированное средство, которое не попадает под определение вредоносного ПО, успешно подобрало пароль? Например, к пограничному маршрутизатору, который является собственностью, пусть даже домашнего пользователя. Само собой, все описанные действия выполняются без получения разрешения со стороны владельца информационного ресурса.»

Пароль является охраняемой законом информацией. Он охраняется в силу п.1 ч.3 ст.6 ЗоИИТиЗИ, если только обладатель сам принимает меры по защите этой информации (п.2 ч.4 ст.6).

Следовательно, несанкционированный доступ к паролю является неправомерным. Санкцию может дать обладатель этого пароля.

Доступ к информации – это возможность получения информации и ее использования (п.6 ст.2 ЗоИИТиЗИ). Только возможность. То есть, сам факт авторизации по логину-паролю в информационной системе уже является доступом к хранящейся там информации, даже если кроме авторизации никаких действий не произведено.

Является ли таким же доступом аутентификация? Вопрос не до конца ясный. Но поскольку в большинстве ИС аутентификация автоматически влечёт за собой авторизацию, можно этот вопрос пропустить.

Таким образом, если лицо подобрало пароль путём нескольких попыток авторизации в ИС, оно получило доступ к информации, которая защищается при помощи парольной авторизации, то есть является охраняемой законом.

Другой случай – когда пароль подбирается не через попытки авторизации (аутентификации) в ИС, а локально. Например, при помощи обращения хэш-функции (предположим, хэш попал к нам законно). В этом случае ситуация совсем туманная. С одной стороны, пароль сам по себе есть охраняемая законом компьютерная информация. Следовательно, несанкционированный доступ к нему незаконен. Но с другой стороны, восстановление из хэша можно рассматривать не как получение информации, а как самостоятельное её создание. А лицо, самостоятельно создавшее информацию, является её обладателем (п.5 ст.2).

Вообще в области информационного права много неясного. Законодатель, когда формулировал нормы, не слишком чётко представлял себе практику. А даже если б и представлял, то это было давно. Нигде положение не меняется с такой скоростью, как в ИТ. Суды могли бы внести ясность во многие вопросы при помощи прецедентов и толкований, но дел по компьютерным преступлениям рассматривается мало, а при их рассмотрении мало кто заинтересован в соблюдении закона. Так что юристы-теоретики могут рассуждать долго, но с подтверждением их выводов на практике есть проблемы.