Полная версия
Опасная профессия. Будни работы в сфере информационных технологий
Со слов А.Е.. следовало, что перед ним была поставлена задача, а как ее выполнить ему не сказали, поэтому он ее выполнял так, как сам решил.
Было установлено, что имело место неправомерное подключение периметра внутренней сети предприятия к сети Интернет, что категорически запрещено. Также было установлено, что А.Е. вносил изменения в программное обеспечение на автоматизированном рабочем месте, подключил внешнее устройство к рабочему месту, находящемуся во внутренней сети предприятия. Есин пояснил, что все действия проводил в рамках своих должностных обязанностей во исполнение поручения руководителя. Все действия выполнил с целью скорейшего выполнения задания… однако уточнил, что удаленный доступ из дома организовал для того, чтобы работать из дома удаленно в нерабочее время, то есть сверхурочно.
Для того, чтобы наиболее полно оценить каналы утечки информации, а также причиненный ущерб, было принято решение привлечь к проверке стороннюю специализированную организацию <адрес>. По результатам проверки сотрудниками указанной организации был предоставлен отчет, исходя из которого, факт указанных выше нарушений подтвердился, также указано, что объекту КИИ был нанесен вред в плане создания канала возможного воздействия на объект КИИ – ЦОД. В результате организации канала могло быть выведено из строя оборудование ЦОД путем внешнего внесения через канал вредоносных программ.
Ущерб предприятию выражен в том, что пришлось оплачивать услуги компании <адрес>.
действиями А.Е. объекту КИИ РФ (ЦОД РКЦ) нанесен организационный (технологически-эксплуатационный) вред, выразившийся в нарушении безопасности доступа и эксплуатации обрабатываемой и хранящейся компьютерной информации оборонного предприятия, находящейся в КИИ РФ третьей категории значимости, в результате чего создана возможность проникновения внешних злоумышленников в периметр объектов КИИ РФ и нанесения им критического ущерба вплоть до выведения из строя, потери данных и отказа критических для функционирования предприятия процессов.
Доводы защиты о принятых А.Е. при организации канала средствах защиты от проникновения в ИВС предприятия, суд не принимает во внимание, поскольку как установлено в судебном заседании, данные средства не исключают возможность проникновения в закрытую сеть предприятия при наличии канала связи, организованного напрямую через сеть Интернет
При этом, суд отмечает, что доводы подсудимого относительно применения им всех известных ему технических мер (аппаратных и программных) с целью исключения возможных угроз безопасности информационно-телекоммуникационной сети предприятия, прямо свидетельствуют о том, что подсудимый осознавал, что своими действиями нарушает безопасность доступа и эксплуатации обрабатываемой и хранящейся в ЦОД информации и понимал последствия этого в виде возможности проникновения внешних злоумышленников в периметр объектов КИИ РФ.
Аналогичным образом, об осведомленности А.Е. относительно возможных последствий в виде причинения вреда объектам ЦОД, относящимся к КИИ РФ, свидетельствуют его доводы о том, что устройство «Mikrotik» не работало непрерывно, а включалось им только по необходимости.
Как установлено судом, А.Е. нарушая правила эксплуатации информационно-телекоммуникационных сетей, а также правила доступа к информационно-телекоммуникационным сетям, будучи квалифицированным специалистом в области информационных технологий, являясь сетевым администратором, будучи осведомленным о правилах работы в ИВС предприятия и установленных запретах, а также об отнесении объектов ЦОД предприятия к КИИ РФ, осознавал общественную опасность своих действий, предвидел возможность наступления общественно опасных последствий в виде причинения вреда, выразившегося в нарушении безопасности доступа и эксплуатации обрабатываемой и хранящейся компьютерной информации оборонного предприятия, находящейся в КИИ РФ, создании возможности проникновения внешних злоумышленников в периметр объектов КИИ РФ и нанесения им критического ущерба вплоть до выведения из строя, потери данных и отказа критических для функционирования предприятия процессов, то есть создании угрозы наступления тяжких последствий для ИВС и технологических процессов завода, в том числе срыва сроков исполнения государственного оборонного заказа, не желал, но сознательно допускал эти последствия.
ПРИГОВОРИЛ:
Признать А. Е. виновным в совершении преступления, предусмотренного ч. 3 ст. 274.1 УК РФ, и назначить ему наказание в виде лишения свободы сроком в 1 (один) год 6 (шесть) месяцев»
(Приговор от 28.02.2023 №1—11/2023)
Зарубежные ресурсы не для использования в работе
Достаточно часто возникает необходимость переслать на зарубежную почту типа gmail или воспользоваться иностранными мессенджерами в рабочих целях. Причем отправка может проводиться на свой же личный почтовый ящик, а в мессенджере сохраняться в папке «Избранное». Просто что бы нужная информация всегда была доступна при необходимости.
Но именно для ИТ специалистов это несет наибольшую опасность – документация о сетевой архитектуре, настройках, протоколах маршрутизации относиться государством к чувствительной для безопасности страны, так как ее наличие у хакера повышает разрушительные последствия от потенциальных компьютерных атак.
«..которая после отправки на личный почтовый ящик сохранилась в памяти облачного хранилища компании „Google“ зарегистрированной в США, тем самым О.В. причинил вред критической информационной инфраструктуре Российской Федерации в виде раскрытия информации о моделях, серийных номерах, количестве используемых портов и территориальном расположении телекоммуникационного оборудования применяемого на сети связи Амурского филиала ПАО „Ростелеком“, нарушив правила эксплуатации информационных систем, информационно-телекоммуникационных систем, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, осуществив копирование электронных сведений, содержащих подробные данные о топологии сети Амурского филиала ПАО „Ростелеком“, и передав их постороннему лицу, не имеющему допуска к указанным сведениям, путем отправки их на адрес электронной почты бесплатного электронного сервиса компании „Google“ зарегистрированной в США. Нарушение правил доступа к сведениям о топологии сети Амурского филиала ПАО „Ростелеком“ или нарушение правил передачи посторонним лицам указанной информации, содержащейся в информационных системах, информационно-телекоммуникационных сетях, автоматизированных системах управления, сетях электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, причинило вред в виде угрозы нарушения целостности сети связи ПАО „Ростелеком“, вследствие прекращения функционирования телекоммуникационного оборудования в результате разрушающих функционирование телекоммуникационного оборудования в результате разрушающих физических или информационных воздействий.»
(Приговор от 26.06.2020 №1—536/2020)
Аналогичные ситуации возникают при пересылке информации ограниченного доступа, например, персональных данных, через иностранные мессенджеры.
Правоохранительные органы трактуют, как передачу охраняемой законом информации по средствам связи, контролируемых специальными службами иностранных государств.
«Судом установлено, что осужденный, используя служебный персональный компьютер и персональные учетные записи сотрудников одного из областных медицинских учреждений, зарегистрированных в государственной информационной системе здравоохранения Оренбургской области, незаконно копировал персональные данные пациентов. После чего с помощью программы анонимной электронной переписки в одном из мессенджеров по каналу связи, находящемуся под управлением Бюро разведки и исследований Государственного департамента США, а также Федерального бюро расследований…
Направленные Пикаловым Д. А. в адрес разведывательных органов США персональные данные наших граждан могли быть использованы против безопасности Российской Федерации.
.. виновным в совершении преступлений, предусмотренных ч. 5 ст. 274.1 и ст. 275 УК РФ и осужден по совокупности преступлений к 19 годам лишения свободы с отбыванием наказания в исправительной колонии строгого режима со штрафом в размере 300 000 рублей и иными дополнительными видами наказания.»
(Приговор от 16.12.2024 №2—19/2024)
Пентест
Тема проведения пентестов сейчас очень модная, активно внедряется в нормативные требования по защите информации, специалисты по пентесту востребованы рынком и высокооплачиваемые. Все это привлекает как молодых и начинающих специалистов ИБ, так и уже опытных из других специализаций ИБ.
При этом, пентесты одно из самых слабо урегулированных специализаций ИБ с точки зрения уголовного преследования. Уж очень тонкая грань между «этичным хакингом» и криминальным хакингом, особенно с учетом использования однотипных инструментов взлома/пентеста.
«Программное обеспечение использовалось исключительно в познавательных целях, доступ к сетевому оборудованию потерпевших не осуществлял, ее использованием не желал и не причинил никому вреда. Он скачал на свой компьютер программу « <данные изъяты>» и хотел использовать ее для проверки компьютерной сети организации, в которой работает. Он запускал программу « <данные изъяты>» и она в автоматическом режиме попыталась сканировать сетевое оборудование. Программу он использовал в ознакомительных целях, то есть у него не было никакого намеренного умысла причинить вред и никакого вреда потерпевшим он не причинил.
Программа « <данные изъяты>» не является вредоносной, у программы « <данные изъяты>» есть собственный сайт в сети интернет, на ней указаны разработчики данного программного обеспечения. Сайт не заблокирован Роскомнадзором.
Кроме того, та программа, которой он пользовался, не позиционирует себя как вредоносная, сообщений о незаконном использовании при запуске не выдает, что подтверждается проведенной экспертизой, сайт программы находится в свободном (общем) доступе в сети «Интернет», активная аудитория пользователей данной программы составляет не менее 3300 человек, которые не скрывают факт, использование данной программы и открыто общаются друг с другом в сети «Интернет». Полагает, что вывод о вредоносности программного обеспечения сделан экспертом ФИО10 на основе личного опыта, игнорируя четкие понятия и терминологию, указанные в закрепленных ГОСТах..Обращает внимание на то, что на сайте «Роскомнадзора», информации о вредоносности или запрета к использованию данной программы не содержится, антивирусные программы, данное программное обеспечение, как вредоносное не определяют, официальный сайт программы в сети «Интернет» не заблокирован.
Согласно выводам эксперта, «Router Skan» – это программа для поиска в сети интернет веб-интерфейсов сетевого оборудования, с целью дальнейшего получения несанкционированного доступа к нему. Несанкционированный доступ достигается путем нейтрализации средств защиты веб-интерфейса сетевого оборудования с помощью подбора пары логин/пароль либо эксплуатации программных уязвимостей указанного оборудования. Программа «Router Skan» предоставляет возможность пользователю нейтрализовать средства защиты компьютерной информации, то есть является вредоносной компьютерной программой. Иного предназначения данное программное обеспечение не имеет
— показаниями эксперта ЭКЦ ГУ МВД России по Воронежской области ФИО3 о том, что для экспертизы был предоставлен системный блок, было несколько вопросов, его были вопросы 1, 2, 4, 7. Первый вопрос – имеется ли электронное программное обеспечение с определенным наименованием? Второй вопрос – детектируется ли антивирусными программными обеспечениями с определенным наименованием? Четвертый вопрос – имеются следы использования данного программного обеспечения? Седьмой вопрос – имеется ли следы выхода в сеть интернет, или использовались какие-либо учетные данные пользователя компьютера? Он на эти вопросы ответил. На первый вопрос – программное обеспечение было обнаружено. На второй вопрос – программа «Router Scan» антивирусным программным обеспечением не детектировалось, как вредоносная.»
(Постановление от 02.03.2021 №1—40/2021)
«УСТАНОВИЛ:
В.Ю. для установления уязвимостей удаленного ресурса информационно-телекоммуникационной сети «Интернет» (далее Интернет-ресурс) решил использовать со своей персональной электронной вычислительной машины (далее ПЭВМ) вредоносную компьютерную программу «SQLi Dumper», предназначенную заведомо для него для получения неправомерного доступа к компьютерной информации методом SQL-инъекций, несанкционированного уничтожения, блокирования, модификации и копирования компьютерной информации на сервере, в случае подставки вредоносными SQL-запросами некорректных значений в параметры, применяемые веб-сервером.
Признать В. Ю. виновным в совершении преступления, предусмотренного ч. 1 ст. 273 УК РФ и назначить ему наказание в виде ограничения свободы сроком 1 (один) год.»
(Приговор от 02.07.2020 №1—183/2020)
«А. вину полностью не признал и пояснил, что он проживает в <адрес>, работает <данные изъяты> он скачал на свой компьютер программу « <данные изъяты>» и хотел использовать ее для проверки компьютерной сети организации, в которой работает. Он запускал программу « <данные изъяты>» и она в автоматическом режиме попыталась сканировать сетевое оборудование. Программу он использовал в ознакомительных целях, то есть у него не было никакого намеренного умысла причинить вред. Никакого вреда потерпевшим он не причинил. Программа « <данные изъяты>» не является вредоносной, у программы « <данные изъяты>» есть собственный сайт в сети интернет, на ней указаны разработчики данного программного обеспечения. Сайт не заблокирован Роскомнадзором.
Действия А. суд квалифицирует по ч. 1 ст. 273 УК РФ, так как он совершил использование программы, заведомо предназначенной для нейтрализации средств защиты компьютерной информации.
А. обладает знаниями в области информационных технологий и использования компьютерной техники, поскольку имеет высшее образование по специальности информационные системы и технологии и стаж работы по специальности.
Доводы защиты о том, что действиями А. потерпевшим не причинено никакого вреда, суд находит не состоятельными, поскольку состав, предусмотренный ч. 1 ст. 273 УК РФ является формальным и не требует наступления каких-либо последствий, уголовная ответственность возникает уже в результате использования компьютерных программ, заведомо предназначенных для нейтрализации средств защиты компьютерной информации, независимо от того, наступили ли в результате этого какие-либо общественно опасные последствия.»
(Приговор от 25.11.2020 г. по делу №1—40/2020)
«подсудимый является студентом КГУ ИФМЭН «Информационная безопасность», изучает теорию информации и кодирования, обладает навыками и знаниями в области программирования.
В 2022 году он заинтересовался технологиями поиска по открытым источникам. Поиск по открытым источникам – это размещенная на открытых сайтах, площадках информация, которая ранее была похищена неустановленными лицами у организаций, физических лиц, после чего размещена на вышеуказанных площадках. В процессе изучения его заинтересовала сфера «Penetration Testing» – тестирование систем на уязвимость. Он изучал различные площадки, связанные с этой сферой, например «Наск The Вох» и его заинтересовало, каким образом можно получать доступ к данным на каком-либо носителе – персональном компьютере, облаке, сервере. Зимой 2023 года он зашел на ресурс «…» https://… com. На одной из форумных веток площадки он нашел пост, размещенный пользователем «Эссентри Тим». В данном посте содержался код вредоносной программы, которая по факту является стиллером, с названием»..». Стиллер – это файл формата «ехе», который попадая на компьютер какого-либо пользователя, собирает всю возможную информацию, в том числе, пароли, логины, файлы, техническую информацию об устройстве, после чего отправляет ее на сервер человека, который полностью настроил работу кода в соответствии с заданными стандартами конкретного стиллера. «Скомпилировать код» значит собрать воедино весь массив кода, чтобы все его файлы могли между собой правильно взаимодействовать. Под кодом он подразумевает несколько файлов, имеющих различные расширения и форматы. Так, там имелась панель, предназначенная для получения данных, билдер, который собирает вирус воедино с целью взаимодействия всех заданных команд. Вирус, собранный билдером отправляет на вышеописанную панель полученные в результате заражения программой сведения и информацию. Он протестировал данный стиллер на принадлежащем ему компьютере. В ходе неоднократного тестирования он установил, что половина команд кода, которые он тестировал, не работает так, как должны. На тот момент он уже придумал название для стиллера – «Phoenix».
На момент тестирования им данной вредоносной программы, тот мог собирать данные об устройстве, версию операционной системы, размер оперативной памяти, IP-адрес, наличие видеокарты. Он понимал и осознавал, что данная программа является вредоносной, поскольку обладал навыками и знаниями в этой сфере. Его не устраивало, что стиллер не работает в полном объеме, в результате чего, он решил обратиться к людям, понимающим в данной сфере, чтобы постараться починить код.
В тот момент он состоял в сообществе людей, интересовавшихся кодировкой, хакингом – «Phoenix», а также был подписан в телеграмме на канал «…», посвященный тематике специальной военной операции и публикующий информацию о различных атаках хак-группировок на серверы и сайты страны, где в настоящий момент проходит специальная военная операция. В сообществе он познакомился с человеком с никнеймом в «Телеграме» – «…». С ним он лично никогда не виделся, только общался посредством мессенджера «Телеграмм». Знал, что этот человек обладает знаниями, достаточными для того, чтобы поправить код его стиллера, чтобы тот работал. Он связался с ним, отправил ему скомпилированный исходный код стиллера, заархивированный в формате «RAR», попросив помочь настроить неработающие команды. «…» ему помогать не стал, так как не захотел разбираться в данном софте. Переписку с указанным лицом подтверждает. Также зимой 2023 года он отправлял стиллер посредством «Телеграмм» людям с никнеймами «3», «5» с целью того, чтобы те также посмотрели и проверили скомпилированный исходный код. Отправлял стиллер также в формате файла с расширением «RAR».
Стиллер на тот момент был в таком же состоянии, в нем также не работала часть команд. Тестирование удовлетворяющих его результатов не достигало, и у него начал пропадать интерес к данной сфере, в результате чего, код он так и не усовершенствовал, после чего, больше не использовал. Признает, что распространил среди нескольких его знакомых исходный код вредоносной программы – стиллер, но делал он это, не имея корыстных намерений, а только в целях изучения работы данной сферы кодинга.
Никому не отправлял файл с расширением «ехе», а отправлял именно исходный код. Сам исходный код в своем исходном состоянии не наносил вреда человеку, который его запускал, так как тот, сам по себе, не является вирусом. Данный код может использоваться и в полезных целях, для облегчения аутентификации пользователей сайтов. В содеянном раскаивается
Тот факт, что ФИО1 отправлялся не исполняемый файл с расширением». exe», а часть кода, с учетом вышеуказанных разъяснений Постановления Пленума ВС РФ значения для квалификации содеянного подсудимым значения не имеет.
ФИО11 не являлся лицом, использовавшим указанную программу правомерно для установленных законом целей.
Таким образом, действия ФИО1 суд квалифицирует по ч. 1 ст. 273 УК РФ как использование и распространение вредоносных компьютерных программ, то есть распространение и использование компьютерных программ, заведомо предназначенных для несанкционированного копирования компьютерной информации и нейтрализации средств защиты компьютерной информации.»
(Приговор от 22.10.2024 №1—333/2024)
Самая большая опасность для пентестеров – это обвинение по ст.273 УК РФ, просто за разработку собственных программных инструментов, используемых при проведении пентеста.
Для наступления уголовной ответственности достаточно заключение эксперта, что разработанная программа имеет признаки вредоносного программного обеспечения. Просто наличие на компьютере, можно даже не применять.
«С.П. создал и распространил компьютерную программу, заведомо предназначенную для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации и нейтрализации средств защиты компьютерной информации, совершенные из корыстной заинтересованности, при следующих обстоятельствах.
Так, С.П. действуя с возникшим умыслом на создание и распространение вредоносной компьютерной программы, из корыстной заинтересованности, ввиду обладания достаточными, самостоятельно приобретенными познаниями и практическими навыками в области компьютерной информации, и работы с компьютерным обеспечением, с помощью принадлежащей ему персональной электронно-вычислительной машины, находясь по месту своего жительства, по адресу, приискал на интернет – ресурсе приискал утилиты программного обеспечения «Arachni scanner», осуществляющие поиск уязвимости на WEB-ресурсах, и действуя в указанный период времени во исполнение своего преступного умысла, находясь по указанному адресу, используя вышеуказанные утилиты программного обеспечения «SQLMap» и «Arachni scanner», при помощи языка программирования "<данные изъяты>», создал вредоносную компьютерную программу, предназначенную для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации и нейтрализации средств защиты компьютерной информации, заведомо зная о ее вредоносности, наименовав ее "<данные изъяты> 0», которая в соответствии с заключением эксперта N от ДД. ММ. ГГГГ, может быть использована для неправомерного доступа к компьютерной информации, ее уничтожения, блокирования, модификации либо копирования и нейтрализации средств защиты компьютерной информации.
С.П. признать виновным в совершении преступления, предусмотренного ч. 2 ст. 273 Уголовного кодекса Российской Федерации и назначить наказание в виде лишения свободы на срок два года со штрафом в размере 100 000 (сто тысяч) рублей, с отбыванием наказания в исправительной колонии строгого режима.»
(Приговор от 19.09.2022 №1—207/2022)
А вот так это выглядело глазами обвиняемого
«данная программа не является вредоносной программой, а является программой для тестирования сайтов с помощью которой можно выявить уязвимость сайтов. Пояснил, что им была создана оболочка вокруг данной программы, позволяющая полностью автоматизировать процесс, поскольку сама по себе программа является консольной, поэтому ей пользоваться не удобно, в связи с чем он сделал интерфейс к этой программе для удобства. Сама программа предназначена для автоматизирования тестирования сайтов на проникновение. Данная программа не является заведомо для уничтожения, копирования и тому подобное, она заведомо предназначена для тестирования, что подтверждается ее официальным сайтом и входит во все операционные системы линокс и поставляется вместе с ними. С заключением эксперта он не согласен, поскольку у данной программы есть официальный сайт, торговый знак и официальное лицензионное соглашение, которым разрешено право на ее распространение и использование при определенных условиях. В справке специалист О. дал описание команд полностью исказив все справки. Атакующего режима у программы не имеется. При работе с данной программой сайт как работал, так и работает, даже никто и не заметит, что работает данная программа, то есть она блокирует и не модифицирует. Программа дает полную информацию, при этом если программа находит какой-то адрес, который подтвержден SQL-инъекцией, то она дает полную характеристику, описание, методы проникновения и методы исправления этой ошибки. Вместе с тем, если это злоумышленник, то он, используя эту информацию, может ей воспользоваться, но если тестировщик, то он естественно исправляет. Сам он данную программу не использовал, а лишь тестировал на сайтах "<данные изъяты>», где дается разрешение на тестирование. После тестирования результат всегда был положительный и данные сайты не блокировались после использования данного программного обеспечения, поскольку сайты ее даже не замечали, но программа показывал свою работоспособность. В программу встроен браузер, при этом сама программа не вредоносная, а вредоносными являются действия человека при использовании данной программы, но он таких действий не совершал.