Хакеры в рамках законов РФ
После публикации статьи о моих исследования в качестве Grey hat, в комментариях к статье и в чате Telegram (@router_os) люди стали писать, что я нарушил все законы и меня посадят.
И как обещал, спустя несколько месяцев я пишу эту статью и даже не из камеры СИЗО :-) Более того вчера получил очередной сертификат MTCRE.
В Интернете очень много статей о хакерах и отношениях к ним в различных странах. Но я не нашёл ни одной внятной статьи как относятся к хакерам в Российской Федерации в рамках действующих законов. Возможно не там искал, но всё же.
Предлагаю разобраться в разновидностях хакеров более детально в том числе с точки зрения судебной практики в РФ.
Далее будет чисто моё мнение, основанное на моём опыте и информации, полученной из открытых источников.
Поэтому хотел бы увидеть Ваше мнение и замечания в комментариях.
На сегодняшний день существуют три типа хакеров:
White hat или Этичный хакер
Чаще всего это наёмные специалисты по безопасности в задачи которых входит поиск уязвимости в компьютерных системах по заказу или техническому заданию владельца системы.
Их также называют — пентестеры.
В большинстве случаев они имеют профильное образование. Фанатиков своего дела среди них не много. Они делают то, чему их научили и что их попросили сделать. Выше головы не стараются прыгнуть.
Так же к White hat можно отнести участников конкурсов и программ на подобии «Bug Bounty».
Главная мотивация: гарантированное вознаграждение за их работу.
Black Hat или киберпреступник
Это те супер злодеи, которых привыкли видеть в различных фильмах и о которых рассказывают по ТВ.
Как правило это те же высококвалифицированные специалисты, как и этичные хакеры, но могут быть без высшего образования и имеющие корыстную личную мотивацию. Например, стырить очередную базу и продать её в Даркнете.
Действия «Чёрных шляп» почти во всём мире вне закона. Шанс озолотиться на много выше, чем у «Белой шляпы», но и риск уехать в места не столь отдалённые тоже высок.
Они всегда имеют преступный умысел.
Grey hat
Хоть цвет у этих шляп промежуточный, но они в корне отличаются от киберпреступников и этичных хакеров.
Обычно это молодые люди, которые ещё верят в справедливость в этом мире и готовы безвозмездно помогать другим. С неподдельным любопытством изучают исследуемую IT систему.
В случае обнаружения какой-то уязвимости, которой могут воспользоваться злоумышленники, пытаются повлиять на её дальнейшее развитие:
- Кто-то об этой баге сообщает владельцу IT системы
- Кто-то пытается её исправить самостоятельно
- Кто-то на общественном ресурсе публикует описание этого бага.
Их деятельность не направлена на получение прибыли.
Природа человека такова, что каждый хочет признания в обществе.
Но, «Кто людям помогает — тот тратит время зря.» (Шапокляк). Поэтому не получив желаемого признания, студенты снимают «Серую шляпу».
Дальше у бывших альтруистов несколько путей:
- Искать легальную работу, связанную с исследуемой темой.
- Забить и забыть.
- Встать на скользкую дорожку киберпреступника.
Через год я сменил работу и Микротик ко мне стал попадать на много реже. Но я продолжил в вялом режиме ковырять эту систему.
Не имея материальной выгоды от знаний RouterOS я в 2018 сдал экзамен MTCNA и вчера получил MTCRE
Рано или поздно любопытство к Mikrotik у меня угаснет, если не появится профессиональный интерес.
Пираты
Они, по сути, относятся к киберпреступникам. Да и подавляющее большинство далеки от ИТ, но я должен их упомянуть в рамках этой статьи.
Всё же их цель своровать контент, деактивировать защиту и перепродавать, не отчисляя вознаграждений владельцу контента. Тем более их судят по «хакерским» статьям.
Закон РФ о хакерах
В нашей стране разрешено всё, что явно не запрещено.
Что запрещено для хакеров прописано в четырёх статьях 28 главы Уголовного Кодекса. Давайте по порядку рассмотрим их.
P.S.: В данной статье я не рассматриваю преступления, которые не подпадают под 28 главу. Например, здесь владельца прокси для Kate Mobile пытаются привлечь по статье 132 УК РФ (насильственные действия сексуального характера в отношении неустановленного лица), так как педофил пользовался этим приложением.
272 УК РФ «Неправомерный доступ к охраняемой законом компьютерной информации»
Не всю информацию охраняет закон. То есть чтобы информация стала охраняемой, то о ней должно упоминаться в законодательном акте.
Если кто-то проник к Вам на комп и стырил Вашу курсовую работу, то его не могут привлечь по этой статье.
Какую именно информацию охраняет закон:
- Тайну телефонные переговоров и любой вид текстовых сообщений. (ст. 29 Конституции РФ). Мошенники, которые крали смс с номера 900 и выводили деньги с карты жертвы привлекались именно по этой статье. (Привет протоколу SS7).
- Коммерческая (№ 98-ФЗ) и государственная тайна (№ 5482–1). Для этой информации должен быть строго определён круг лиц, имеющий к ней доступ и регламент её использования. То есть та информация, которую без специального разрешения простой гражданин получить её не может.
- Врачебная тайна (ст. 13 закона №323-ФЗ). Неправомерный доступ к документации Минздрава можно привлекать по этой статье.
- Банковская тайна (ст. 26 закона № 395–1).
- И т.д.
Если злоумышленник взломал Ваш сайт и на главной странице разместил неприличную картинку, то по ст. 272 УК РФ его привлечь нельзя, даже учитывая, что у него был преступный умысел.
273 УК РФ Создание, использование и распространение вредоносных компьютерных программ
Под эту статью попадают, разумеется, все вирусы и кряки для программ, которые нейтрализуют защиту ПО.
А вот программы для пентеста — очень спорный момент. К таким программам в обязательном порядке пишут аннотацию, что её можно использовать только с согласия владельца информационной системы. Но если судебной власти понадобится, то не составит особого труда назвать эту программу вредоносной.
При любом раскладе по этой статье должны поймать с поличным при создании, использовании или осознанном распространении этих программ. Либо чистосердечное признание.
А так как наши следователи в подавляющем большинстве не сильны в IT, то в приговоре по этой статье часто фигурирует строка:
«В судебном заседании подсудимый признал себя виновным в предъявленном ему обвинении по ст. 273 ч. 1 УК РФ полностью и ходатайствовал о постановлении приговора в особом порядке, без проведения судебного разбирательства.»
Поэтому если коллекция кряков хранится на вашем диске, то это не основание привлечения по этой статье.
274 УК РФ Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
Привлечь по этой статье можно только если деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб.
Честно говоря, я не нашёл судебную практику по ней… Либо плохо ищу, либо в РФ не научились её применять.
274.1 УК РФ Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации
Та же ситуация. Теорию по этой статье можно найти здесь habr.com/ru/post/346372
Пример из моей практики
После очередного релиза «личного кабинета клиента банка» разрабы допустили баг, который при переводе денег с карты на счёт не проверял наличие этих денег на карте. Обычный клерк, который умеет кликать мышкой углядел этот баг. Накликал себе некоторую сумму. Причём делал это и на работе и у себя дома без всяких VPN.
Сам лично снимал эти деньги в банкомате. Так как суточный лимит по карте был установлен в 25000 рублей, то он это делал несколько дней подряд, пока эту багу не обнаружили в банке.
Когда его нашли и предложили добровольно вернуть бабло без обращения в полицию (всё-таки косяк банка и СБ банка это понимала), то он пошёл в отказ, мол не мои проблемы, что ваша система бабло раздаёт.
Чувака осудили как раз по ч.1 ст. 272 УК РФ, так как он осознано неправомерно модифицировал охраняемую законом банковскую информацию.
Ущерб
Даже если в деяниях хакера не установлен состав преступления, то ущерб можно получить в гражданском порядке (ГК РФ Статья 1064).
Например, если бы я обновил прошивку на дырявом Mikrotik и он «окирпичился», то владелец этого роутера (после отказа в возбуждении УД) может подать на меня в суд в гражданском порядке и попросить суд взыскать с меня этот ущерб.
Заключение
По сути хакера в РФ могут привлечь к уголовной ответственности только по двум статья и только при следующих обстоятельствах:
- Хакер получил доступ к охраняемой законом информации либо воспользовался вредоносной программой
- При этом его поймали с поличным и/или имеются доказательства, что это именно он (что происходит крайне редко).
- Доказан преступный умысел либо халатность.
Ну или он сам во всём признается, даже если ничего не делал :-)
Согласно законам РФ «Серые шляпы» не могут случайно стать уголовниками. Для этого у них должен быть преступный умысел и быть достаточно тупыми в IT и правовом плане. Ведь осуждённых реальных хакеров в РФ практически нет.
И меня в рамках законов РФ нельзя привлечь к уголовной ответственности за то, что я внёс изменения в фаервол маршрутизатора, даже если кто-то понёс от этого действия ущерб…
Но не забываем, что следователи и суды в РФ могут выносить любые решения, которые могут не дружить со здоровым смыслом и часто напоминают
Украли у мужика корову. Приходит он домой и говорит сыновьям:
— У нас корову украл какой-то пидар.
Старший брат: — Если пидар — значит маленький.
Средний брат: — Если маленький — значит из Малиновки.
Младший Брат: — Если из Малиновки — значит Васька Косой.
Все выдвигаются в Малиновку и там прессуют Ваську Косого.
Однако Васька корову не отдает. Его ведут к мировому судье.
Мировой судья:
— Ну… Логика мне ваша непонятна. Вот у меня коробка, что в ней лежит?
Старший брат: — Коробка квадратная, значит внутри что-то круглое.
Средний: — Если круглое, то оранжевое.
Младший: — Если круглое и оранжевое, то апельсин.
Судья открывает коробку, а там и правда апельсин.
Судья — Ваське Косому:
— Косой, отдай корову.
Надеюсь, что эта статья даст Вам больше уверенности в исследованиях в сфере IT!