infowatch (infowatch) wrote,
infowatch
infowatch

Category:

Подбор пароля

Появился в комментариях интересный вопрос.
«Нарушает ли закон процесс перебора паролей к любым системам удаленного администрирования? (ssh, telnet, rdp, разделы администрирования web и пр.) Нарушен ли закон, если автоматизированное средство, которое не попадает под определение вредоносного ПО, успешно подобрало пароль? Например, к пограничному маршрутизатору, который является собственностью, пусть даже домашнего пользователя. Само собой, все описанные действия выполняются без получения разрешения со стороны владельца информационного ресурса.»

Пароль является охраняемой законом информацией. Он охраняется в силу п.1 ч.3 ст.6 ЗоИИТиЗИ, если только обладатель сам принимает меры по защите этой информации (п.2 ч.4 ст.6).

Следовательно, несанкционированный доступ к паролю является неправомерным. Санкцию может дать обладатель этого пароля.

Доступ к информации – это возможность получения информации и ее использования (п.6 ст.2 ЗоИИТиЗИ). Только возможность. То есть, сам факт авторизации по логину-паролю в информационной системе уже является доступом к хранящейся там информации, даже если кроме авторизации никаких действий не произведено.

Является ли таким же доступом аутентификация? Вопрос не до конца ясный. Но поскольку в большинстве ИС аутентификация автоматически влечёт за собой авторизацию, можно этот вопрос пропустить.

Таким образом, если лицо подобрало пароль путём нескольких попыток авторизации в ИС, оно получило доступ к информации, которая защищается при помощи парольной авторизации, то есть является охраняемой законом.

Другой случай – когда пароль подбирается не через попытки авторизации (аутентификации) в ИС, а локально. Например, при помощи обращения хэш-функции (предположим, хэш попал к нам законно). В этом случае ситуация совсем туманная. С одной стороны, пароль сам по себе есть охраняемая законом компьютерная информация. Следовательно, несанкционированный доступ к нему незаконен. Но с другой стороны, восстановление из хэша можно рассматривать не как получение информации, а как самостоятельное её создание. А лицо, самостоятельно создавшее информацию, является её обладателем (п.5 ст.2).

Вообще в области информационного права много неясного. Законодатель, когда формулировал нормы, не слишком чётко представлял себе практику. А даже если б и представлял, то это было давно. Нигде положение не меняется с такой скоростью, как в ИТ. Суды могли бы внести ясность во многие вопросы при помощи прецедентов и толкований, но дел по компьютерным преступлениям рассматривается мало, а при их рассмотрении мало кто заинтересован в соблюдении закона. Так что юристы-теоретики могут рассуждать долго, но с подтверждением их выводов на практике есть проблемы.


Tags: НСД, законодательство, пароли, статья 272
Subscribe

  • Наследование дырки

    Субстанция, накинутая Сноуденом на вентилятор (ещё до того момента, когда с него взяли обещание не гадить в сторону США), начинает портить атмосферу.…

  • Прослушка и мораль

    АНБ США – самая могучая на сегодня техническая разведка и криптоаналитическая служба. В её истории был крайне любопытный эпизод.…

  • Знакомый почерк

    Тут утекли и попали на разбор к специалисту исходные коды КОИБов. Почему-то я не удивлён, что в них нашёлся чёрный ход. Правда, ход не примитивный,…

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 15 comments

  • Наследование дырки

    Субстанция, накинутая Сноуденом на вентилятор (ещё до того момента, когда с него взяли обещание не гадить в сторону США), начинает портить атмосферу.…

  • Прослушка и мораль

    АНБ США – самая могучая на сегодня техническая разведка и криптоаналитическая служба. В её истории был крайне любопытный эпизод.…

  • Знакомый почерк

    Тут утекли и попали на разбор к специалисту исходные коды КОИБов. Почему-то я не удивлён, что в них нашёлся чёрный ход. Правда, ход не примитивный,…