そして、 約束されたように、数か月後に私はこの記事を書き、SIZOカメラからも書きませんでした。
インターネットには、さまざまな国でハッカーとハッカーに対する態度についての記事がたくさんあります。 しかし、ロシア連邦のハッカーが既存の法律の枠組みの中でどのように扱われるかについて、わかりやすい記事は1つも見つかりませんでした。 たぶんそこを見ていませんが、それでも。
ロシア連邦の司法慣行の観点を含め、ハッカーの種類をより詳細に理解することを提案します。
次は、私の経験とオープンソースから得た情報に基づいた、純粋に私の意見です。
したがって、私はコメントであなたの意見やコメントを見たいと思います。
今日、ハッカーには3つのタイプがあります。
白い帽子または倫理的ハッカー
ほとんどの場合、これらは、システム所有者の注文または技術的なタスクによるコンピューターシステムの脆弱性の発見をタスクに含む、セキュリティ専門家を雇っています。
ペンテスターとも呼ばれます。
ほとんどの場合、彼らは専門的な教育を受けています。 その中の彼らのクラフトの熱狂者は多くありません。 彼らは彼らが教えられたこと、そして彼らがするように頼まれたことをします。 彼らの頭の上にジャンプしようとしないでください。
また、ホワイトハットは、「バグバウンティ」に似たコンテストやプログラムの参加者に起因する可能性があります。
主な動機:仕事に対する報酬の保証。
黒い帽子またはサイバー犯罪者
これらは、さまざまな映画を見ることに慣れていて、テレビで話題になっている極悪役です。
原則として、これらは倫理的なハッカーと同じ高度に資格のある専門家ですが、高等教育を受けず、自己奉仕の個人的な動機を持つことができます。 たとえば、別の拠点を盗んでDarknetで販売します。
「ブラックハット」の行動は世界中でほとんど違法です。 金持ちになるチャンスはホワイトハットのチャンスよりもはるかに高いですが、それほど遠くない場所に行くリスクも高くなります。
彼らは常に犯罪目的を持っています。
灰色の帽子
これらの帽子の色は中間色ですが、サイバー犯罪者や倫理的なハッカーとは根本的に異なります。
通常、これらはまだこの世界の正義を信じ、無料で他の人を助ける準備ができている若者です。 彼らは真の好奇心で、研究中のITシステムを研究しています。
攻撃者が悪用できる脆弱性が発見された場合、攻撃者はさらなる開発に影響を与えようとします。
- 誰かがこのバグについてITシステムの所有者に通知します。
- 誰かが自分で修正しようとしています
- パブリックリソースの誰かがこのバグの説明を公開しています。
彼らの活動は利益を上げることを目的としていません。
人間の性質は、誰もが社会で認識されることを望むほどです。
しかし、 「だれが人々を助けるか-彼は無駄に時間を費やします。」 (Shapoklyak)。 したがって、生徒は希望する認定を受けずに「灰色の帽子」を脱ぎます。
さらに、元利他主義者にはいくつかの方法があります。
- 研究中のトピックに関連する法的作業を検索します。
- ハンマーして忘れる。
- サイバー犯罪者の滑りやすい道を進んでください。
そして私も例外ではありません。
2015年にMikrotik機器に出会いました。この機器が使用されている組織で仕事を得たときです。 しかし、ネットワークは非常にうんざりするように構築され(たとえば、NATネットワークの各セグメントには直接リンクがありました)、適切なネットワーク構築を目的としてマイクロティクスの研究を始めました。
1年後、私は転職し、Mikrotikはあまり頻繁に私に着きませんでした。 しかし、私はこのシステムをゆっくりと選び続けました。
RouterOSの知識から実質的なメリットがないため、2018年にMTCNA試験に合格し、昨日MTCREを受け取りました
遅かれ早かれ、専門的な関心がなければ、Mikrotikに対する私の好奇心は消えていきます。
1年後、私は転職し、Mikrotikはあまり頻繁に私に着きませんでした。 しかし、私はこのシステムをゆっくりと選び続けました。
RouterOSの知識から実質的なメリットがないため、2018年にMTCNA試験に合格し、昨日MTCREを受け取りました
遅かれ早かれ、専門的な関心がなければ、Mikrotikに対する私の好奇心は消えていきます。
海賊
実際、彼らはサイバー犯罪者です。 はい、大部分はITから遠いですが、この記事のフレームワークでそれらについて言及する必要があります。
それにもかかわらず、彼らの目標は、コンテンツの所有者にロイヤリティを支払うことなく、コンテンツを盗み、保護を無効にし、再販することです。 さらに、それらは「ハッカー」記事によって判断されます。
ハッカーに関するロシアの法律
私たちの国では、明らかに禁止されていないすべてのものが許可されています。
ハッカーにとって禁止されているものは、刑法の章の4つの記事28で規定されています。 それらを順番に見てみましょう。
PS:この記事では、第28章に該当しない犯罪は考慮していません。 たとえば、 ここでは、ロシア連邦刑法第132条(身元不明者に対する性的暴力行為)に基づいてケイトモバイルのプロキシの所有者を誘引しようとしています。小児性愛者がこのアプリケーションを使用しているからです。
ロシア連邦刑法272条「法律で保護されたコンピューター情報への違法アクセス」
すべての情報が法律で保護されているわけではありません。 つまり、情報が保護されるためには、立法行為で言及されなければなりません。
誰かがあなたのコンピューターに侵入して用語集を盗んだとしても、この記事で彼を引き付けることはできません。
法律が保護する情報の種類:
- 秘密の電話会話とあらゆる種類のテキストメッセージング。 (ロシア連邦憲法第29条)。 900件からSMSを盗み、被害者のカードからお金を引き出す詐欺師は、この記事に惹かれました。 ( SS7プロトコルにこんにちは )。
- コマーシャル(No.98-)および州の秘密(No. 5482-1)。 この情報については、アクセスできる人の輪とその使用規則を厳密に定義する必要があります。 つまり、特別な許可がなければ、単純な市民はそれを受け取ることができないという情報です。
- 医療機密(法律No. 323-FZの第13条)。 厚生省の文書への違法なアクセスは、この記事のもとで引き付けられます。
- 銀行の秘密(法律第395-1条第26条)。
- 等
また、情報の所有者がそれを保護するために必要なすべての措置を講じた場合、情報は「法律によって保護される」ようになります。 ( 2006年7月27日法律第149-FZの第6条第149-FZ「情報について...」 )。
攻撃者がユーザー名「admin」とパスワード「123」を使用してサイトをハッキングし、メインページのArtの下に不適切な画像を投稿した場合。 ロシア連邦刑法第272条では、彼が犯罪目的を持っていたとしても、彼を引き付けることはできません。
ルーター上のソフトウェアを更新する要件は、情報を保護するための前提条件です。
ロシア連邦刑法273悪意のあるコンピュータープログラムの作成、使用、および配布
もちろん、この記事では、ソフトウェア保護を無効にするプログラムのすべてのウイルスとクラックに該当します。
しかし、ペンテストのプログラムは非常に物議を醸す瞬間です。 注釈は、情報システムの所有者の同意がある場合にのみ使用できるようなプログラムに書き込む必要があります。 しかし、司法が必要な場合、このプログラムを悪意のあるものと呼ぶことは難しくありません。
いずれにせよ、これらのプログラムを作成、使用、または故意に配布する際に、この記事は赤字で捕らえられるべきです。 または誠実な認識。
そして、私たちの調査員は圧倒的にITに強くないため、この記事の文章には次の行が含まれていることがよくあります。
「聴聞会で、被告はアートの下で彼に対する告発に対して有罪を認めた。 273 h。ロシア連邦刑法第1項全文。裁判なしで、特別な方法で判決の決定を求めた。したがって、クラックのコレクションがディスクに保存されている場合、これはこの記事での魅力の根拠ではありません。
ロシア連邦刑法274条コンピュータ情報および情報および電気通信ネットワークの保管、処理または送信の手段の運用に関する規則への違反
この記事によると、行為がコンピューター情報の破壊、ブロック、変更、またはコピーを伴い、 大きな損害を引き起こした場合にのみ誘致することが可能です。
正直なところ、私はそれに関する司法慣行を見つけませんでした...私はひどく見ているか、ロシア連邦でそれを適用する方法を学びませんでした。
ロシア連邦刑法第274.1号ロシア連邦の重要な情報インフラストラクチャに対する違法な影響
同じ状況。 この記事の理論はここにありますhabr.com/en/post/346372
事例紹介
「銀行のクライアントの個人口座」の次のリリース後、開発者は、カードから口座に送金するときにカード上のこのお金の利用可能性をチェックしなかったバグを作りました。 マウスでクリックする方法を知っている普通の書記官は、このバグに気づきました。 自分に一定量を与えた。 そして彼は、VPNなしで職場と自宅の両方でそれをしました。
彼は個人的にこのお金をATMから引き出しました。 カードの1日の制限は25,000ルーブルに設定されていたため、このバグが銀行で発見されるまで数日間続けてこれを行いました。
彼らが彼を見つけ、警察に連絡せずに自発的に戦利品を返すことを申し出たとき(結局、銀行の側室と銀行のSBはこれを理解していました)、彼は拒否しました。
男はアートの第1部のすぐ下で有罪判決を受けました。 刑法の272、法律で保護されている銀行情報を故意に違法に変更したため。
ダメージ
犯罪の要素がハッカーの行動で確立されていない場合でも、損害は民事秩序で取得することができます(民法、第1064条)。
たとえば、リークの多いMikrotikのファームウェアを更新して「不良」になった場合、このルーターの所有者は(UDの開始を拒否した後)民事命令で私を訴え、裁判所からこの損害を回復するよう求めることができます。
おわりに
実際、ロシア連邦のハッカーは、次の状況でのみ2件の記事で起訴されます。
- ハッカーは法律で保護された情報にアクセスしたか、マルウェアを利用した
- 同時に、彼は赤毛で捕らえられました、そして/または、それが彼であったという証拠があります(これは非常にまれです)。
- 実証済みの犯罪意図または過失。
さて、または彼が何もしなかったとしても、彼自身がすべてを認めます:-)
ロシア連邦の法律によれば、「灰色の帽子」は偶然に犯罪者になることはありません。 これを行うには、犯罪者の意図があり、ITおよび法的用語で十分に愚かでなければなりません。 結局のところ、ロシア連邦には有罪判決を受けた本物のハッカーはほとんどいません。
そして、私は、ロシア連邦の法律の下で、誰かがこのアクションで損害を受けたとしても、ルーターのファイアウォールに変更を加えたという事実のために起訴することはできません...
しかし、ロシア連邦の調査官と裁判所は、健全な意味を持つ友人ではないかもしれない決定を下すことができ、しばしば思い出させることを忘れないでください
冗談:
彼らは男から牛を盗みました。 彼は家に帰り、息子たちにこう言います:
-何人かのファゴットが私たちから牛を盗みました。
兄:-ファゴットが小さなものを意味する場合。
ミドルブラザー:-小さい場合-ロビンからという意味です。
弟:-ロビンの場合-それはヴァスカコソイを意味します。
すべてがロビンにノミネートされ、そこでVaska Slantingを押します。
しかし、ヴァスカは牛をあきらめません。 彼は平和の正義に導かれています。
平和の正義:
-ええと...私はあなたの論理を理解していません。 ここに箱があります、そこに何がありますか?
兄:-箱は正方形なので、中には何か丸いものがあります。
中:-丸い場合はオレンジ。
ジュニア:-丸くてオレンジ色の場合は、オレンジ色。
裁判官が箱を開けると、本当にオレンジがあります。
裁判官-ヴァスカコソム:
-斜めに、牛を与えます。
-何人かのファゴットが私たちから牛を盗みました。
兄:-ファゴットが小さなものを意味する場合。
ミドルブラザー:-小さい場合-ロビンからという意味です。
弟:-ロビンの場合-それはヴァスカコソイを意味します。
すべてがロビンにノミネートされ、そこでVaska Slantingを押します。
しかし、ヴァスカは牛をあきらめません。 彼は平和の正義に導かれています。
平和の正義:
-ええと...私はあなたの論理を理解していません。 ここに箱があります、そこに何がありますか?
兄:-箱は正方形なので、中には何か丸いものがあります。
中:-丸い場合はオレンジ。
ジュニア:-丸くてオレンジ色の場合は、オレンジ色。
裁判官が箱を開けると、本当にオレンジがあります。
裁判官-ヴァスカコソム:
-斜めに、牛を与えます。
この記事がIT研究にもっと自信を与えることを願っています!