Нахождение уязвимости — преступление?

Question

[Никита Колосов]

Хотел бы поинтересоваться у хабровчан.

Нашел на сайте одной крупной (федерального уровня) госконторы SQL-инъекцию (получение полного доступа к БД, включая логины и пароли в открытом виде), отправил в техподдержку описание.

Вопрос — чисто теоретически, могут ли меня привлечь к ответственности, если я только обнаружил уязвимость и никак ей не воспользовался? Всё-таки меня беспокоит тот факт, что контора государственная а обнаружил я уязвимость чисто случайно (в том смысле, что не юзал специального софта и никаких прокси и анонимайзеров)

Comments

[Никита Колосов]

Почитал комментарии к 272 статье УК РФ. Написано следующее:

Состав преступления является материальным и предполагает обязательное наступление одного из следующих последствий: уничтожение информации; блокирование информации; модификация информации; копирование информации; нарушение работы ЭВМ, системы ЭВМ или их сети.

т.е если я только получил доступ к информации и не копировал/модифицировал/уничтожал, то, по идее, состава преступления нет

[Никита Колосов]

И вот еще

Для наглядности рассмотрим пример:

Гражданка И., желая проверить верность ей гражданина П., посетив сайт электронного почтового сервиса, используя ранее полученный неправомерным путем логин и пароль гражданина П., осуществляет визуальный просмотр содержимого его почтового ящика. Никаких действий по копированию, изменению уничтожению информации И. она не предпринимает.

Строго руководствуясь диспозицией статьи 272 УК РФ, можно утверждать, что к уголовной ответственности по данной статье гражданка И. не может быть привлечена, поскольку, несмотря на неправомерный доступ к почтовому ресурсу никаких материальных последствий в виде копирования, блокирования, уничтожения и модификации информации она не совершала.
Однако наступает ответственность по статье 138 (нарушение тайны переписки)

Соответственно, посколько получение доступа никак не нарушило другие статьи УК, всё ОК.

[Никита Колосов]

Пришел ответ от тех поддержки. Уязвимость закрыта. 8 часов прошло с момента как я им написал

Answer 1

[MikhailEdoshin]

Вы лучше в следующий раз на двач отправьте, там знают, что делать. И голова болеть не будет.

Answer 2

[mithraen]

Чисто юридически — могут. В реальности зависит от адекватности конкретных людей.

Answer 3

[xmoonlight]

Если бы целью не задавались — то не обнаружили бы!
А если обнаружили — значит у Вас была цель.
Т.е. умышленные действия.
А умышленные — преступление.
Вот и вся логика людей, которые пополняют себе PR-level за выдачу таких как Вы в негативном виде тем, кто ничего не понимает в этом…
К сожалению…
Удачи Вам!!! (она Вам понадобится!)

Comments

[Никита Колосов]

Ну, это понятно, что большинство из тех, кто занимается расследованием таких преступлений, зачастую в этом ничего не смыслят, это ни для кого не секрет. А по существу проблемы уже нашел подробный разбор статьи 272 УК РФ

[xmoonlight]

Нарушение работы системы ЭВМ: Вы модифицировали клиентский запрос на сервер для получения доступа.

[Никита Колосов]

Нарушение работы ЭВМ, системы ЭВМ или их сети — это временное или устойчивое создание помех для их функционирования в соответствии с назначением. Поскольку приложение (и ЭВМ) продолжают работать как положено, опять же, нет никаких проблем

[xmoonlight]

Поясняю: Вы своими действиями (запросами к серверу, не предусмотренными системой) забрали часть процессорного времени сервера на их обработку и, тем самым, замедлили формирование ответов другим пользователям на стандартные запросы.
Исходя из этого можно фиксировать факт того, что Вы своими действиями НАРУШИЛИ нормальное функционирование системы.
Т.е. «временное или устойчивое создание помех для их функционирования в соответствии с назначением» — Вы выполнили на 100%.

[Ganga]

xmoonlight, Любой запрос к БД забирает часть процессорного времени. Это НОРМАЛЬНОЕ функционирование системи, имхо.

[xmoonlight]

Ganga, полиции расскажете и судьям!
(я то это тоже понимаю, но обсуждаю с их точки зрения, все что выше по тексту....)

Answer 4

[Артур Смирнов]

У нас возможно всё.
А правомерность того что Вы сделали ввели на законодательном уровне только в Нидерландах насколько я знаю, и на хабре была статья.

Answer 5

[prabhu]

1. Заюзай уязвимость
2. Потри логи.
3. Наследи с прокси.
4. Отошли фидбек админам.
…
5. PROFIT

Comments

[Никита Колосов]

Поздно, закрыли уязвимость =)

Answer 6

[Дмитрий Гукетлев]

Ну сами то как думаете?
Вот представьте вы местный админ\начальник it отдела. Хочется повышение и премию, а тут вы такой красивый с репортом. Если бы это был хакер через тор то его еще найди и докажи, и вы прямо со своего домашнего компа написали в тех поддержку, приходи и сажай. Телевидение, премия, повышения, родина в безопасности, вам дают пару лет условно, все довольны, в т.ч. вы, что легко отделались. А что работать теперь только грузчиком, ну, что поделать.

С другой стороны, наследив в логах и не написав техподдержку вы рискуете наверное даже больше.

Таким образом получается просто случайно обнаружив уязвимость вы уже одной ногой в тюрьме.

Ну это если рассматривать негативный сценарий. Возможно там во главе it департамента сидит хороший парень, который отправит вам письмо с благодарностью, но практика показывает, что чаще нет.

Хотябы вот: habrahabr.ru/post/166459/
Президент компании Skytech сказал, что парню грозит от 6 до 12 месяцев тюрьмы, если он прямо сейчас не приедет и не подпишет NDA…

Comments

[nojoke]

Скорее ровно наоборот. Сидит админ\начальник it отдела, а за не прикрытую дырку в сайте, да еще и с публичной оглаской ему светит таких огребcти. Особенно если начальство узнает. Так что тихо пофиксили, а товарища на карандаш взяли на всякий случай :)

[Дмитрий Гукетлев]

Это зависит от того как подать.

"… благодаря профессионализму админа Пупкина А.П. была успешно отражена хакерская атака международной хакерской группировки Anonymous. Благодаря своевременным и профессиональным действиям майора Такого-то руководитель и координатор атаки был успешно задержан" — рассказал нашему корреспонденту, награжденный государственной наградой начальник полиции области.

[Дмитрий Гукетлев]

Причем это безотносительно какой-либо страны. Просто вообще ИБ вещь очень очень деликатная, и относиться к ней надо очень очень очень очень осторожно.