Пентестерам посвящается. Часть 2.

15 January
Пентестерам посвящается. Часть 2.

Начало здесь.

Ранее мы выяснили, что есть основания применить не классические ст.272-274 УК РФ за компьютерные преступления, а новую статью 274.1 УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации"

Почему это важно и почему я акцентирую внимание?

1. По УПК РФ это "зона ответственности ФСБ России". Следствие будут вести сотрудники ФСБ, а не МВД. Текущая статистика по применению здесь.

2. Статья относится к "тяжким", в отличии от классики. Приводит это к двум очень неприятным для подозреваемым последствиям:

  • срок давности 10 лет. Автору заметки на Хабре теперь предстоит очень долгий период ожидания и гадания на ромашке "пронесет-не пронесет".
  • позволяет следователю "закрыть" подозреваемого в СИЗО, а не под "подписку". Это очень способствует и мотивирует на желание сотрудничать с следствием.

Пример из реального уголовного дела - "6 февраля 2018 года в отношении.. была избрана мера пресечения в виде заключения под стражу. ...Подсудимый .... в ходе предварительного расследования 1 марта 2018 года заявил ходатайство о заключении досудебного соглашения о сотрудничестве ...Постановлением заместителя прокурора ..... от 14 марта 2018 года данное ходатайство обвиняемого ....было удовлетворено, и 15 марта 2018 года заместителем прокурора .... с ....было заключено досудебное соглашение о сотрудничестве, согласно которому ...обязался оказать содействие следствию в раскрытии и расследовании преступлений, в связи с чем берет на себя обязательства выполнить следующие действия при проведении следственных действий по делу: дать полные и правдивые показания об обстоятельствах совершения им и иными лицами иных эпизодов противоправной деятельности; при необходимости подтвердить все данные на предварительном следствии показания в ходе очных ставок и при судебном рассмотрении дела; иным способом оказать содействие следствию в скорейшем раскрытии и расследовании преступлений, расследуемых в рамках уголовного дела...мера пресечения в виде заключения под стражу ФИО была изменена на подписку о невыезде и надлежащем поведении.".

Важный момент, особенно ярко выраженный в комментариях и обсуждениях.

Дела по этой статье УК РФ относятся к статьям публичного обвинения. Для возбуждения уголовного дела не требуется заявление пострадавшей стороны. Это способ обеспечить неотвратимость наказания, а не заставить "замолчать" слишком активного гражданина.

Согласно ст.140 УПК РФ, основанием для возбуждения уголовного дела может послужить:

  • сообщение о совершенном или готовящемся преступлении, полученное из иных источников
  • постановление прокурора о направлении соответствующих материалов в орган предварительного расследования для решения вопроса об уголовном преследовании
  • Основанием для возбуждения уголовного дела является наличие достаточных данных, указывающих на признаки преступления.

Вы хотите поднять шумиху в СМИ? Писать прокурору и т.д? Можете удивиться конечному результату. Прокурор направит сигнал общественности в следственный орган и признаков уголовного преступления работников РЖД не выявят (либо вообще, либо только признаки административного правонарушения), а вот действия автора заметки на Хабре могут квалифицировать как "признаки совершенного компьютерного преступления".

Ст.144 УПК РФ По сообщению о преступлении, распространенному в средствах массовой информации, проверку проводит по поручению прокурора орган дознания, а также по поручению руководителя следственного органа следователь. Редакция, главный редактор соответствующего средства массовой информации обязаны передать по требованию прокурора, следователя или органа дознания имеющиеся в распоряжении соответствующего средства массовой информации документы и материалы, подтверждающие сообщение о преступлении, а также данные о лице, предоставившем указанную информацию, за исключением случаев, когда это лицо поставило условие о сохранении в тайне источника информации.

Пример чем это реально заканчивается из реального уголовного дела: "Рапортом об обнаружении признаков преступления (КРСП №... от 12.02.2020), согласно которому в действиях ФИО усматриваются признаки состава преступления, предусмотренного ст.274.1 ч.2 УК РФ."

Собственно вернемся к признакам преступления:

ч.1 ст.274.1 УК РФ

Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации.

Что мы видим из заметки на Хабре:

  • использованием библиотеки заводских паролей и паролей по умолчанию. "Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.....Много устройств с дефолтными паролями. То есть политики паролей тоже нет.". Это минимум можно подвести под "использовал иную компьютерную информацию - библиотека паролей", а если использовал скрипты для автоматической проверки (подбора), то это уже "создание и использование компьютерной программы, заведомо предназначенной для неправомерного воздействия и/или нейтрализации средств защиты".

Пример из реального судебного решения: "тем самым совершил умышленные целенаправленные действия, направленные на использование компьютерной программы, заведомо предназначенной для неправомерного воздействия на модуль «АС ГРАТ» программного обеспечения «АСУТ»", еще вариант "использовал вредоносное программное обеспечение, заведомо предназначенное для нейтрализации средств защиты компьютерной информации путем перебора пары "логин-пароль" для получения несанкционированного удаленного доступа к компьютерному оборудованию".

  • использование Proxy checker "Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу. Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). ". Признак спорный, будет зависеть от заключения компьютерной экспертизы.

Пример из реального уголовное дела: "ФИО, используя принадлежащее ему компьютерное оборудование, подключенное к сети Интернет по IP..., используя свободно распространяемое программное обеспечение, не являющееся вредоносным, предназначенное для сканирования в сети Интернет IP адресов информационных ресурсов на предмет наличия у них открытых сетевых портов..."

или

"Согласно заключению компьютерной судебной экспертизы № 80/Н/6-759т от 26.03.2019, исполняемый код (скрипт) с функциями программного обеспечения «LOIC», предназначенного для нагрузочного тестирования Интернет-ресурсов путем отправки большого количества HTTP-запросов, которое использовалось ФИО1 для осуществления неправомерного доступа к охраняемой законом информации путем ее блокирования на обрабатывающем запросы веб-сервере. Действия ФИО1 квалифицированы по ч. 1 ст. 274.1 УК РФ – использование компьютерной программы заведомо предназначенной для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для блокирования информации, содержащейся в ней."

  • проводит активные сетевые воздействия "Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет. Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются." или "Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал". Сам же пишет, что они должны определяться системой защиты информации как вредоносные!

Пример из реального уголовное дела: "указанные действия ФИО повлекли модификацию компьютерной информации, которая выразилась в генерации сетевого трафика"

  • Проводит копирование и размещение компьютерной информации, обрабатываемых объектами КИИ на Хабре (изображения с различных камер видеонаблюдения и т.д.)

Пример из реального уголовное дела: "Под нарушением конфиденциальности понимается возможное несанкционированное копирование информации, содержащееся в информационной системе субъекта КИИ. Под несанкционированным копированием понимаются противоправные действия, заключающиеся в отсутствии законных оснований для ознакомления с данной информацией, и дальнейших действий по ее использованию, в том числе копированию"

Итог: явно можно увидеть признаки "неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в целях модификации и копирования информации, содержащейся в ней, и нейтрализации средств защиты указанной информации".

Важно: ч.1 ст.274.1 УК РФ не требует признаков нанесения вреда или того, что скопированная информация относилась к охраняемой законом.

Дополнительные пояснения.

При этом виновный должен осознавать, что создаваемые или используемые им программы заведомо приведут к указанным в законе общественно опасным последствиям. Мотив и цель не влияют на квалификацию преступления.

Доступ к компьютерным данным будет неправомерным, если лицо, осуществляя конкретные действия, не было управомочено на то правообладателем данных. Вместе с тем даже действие в рамках служебных или профессиональных полномочий отнюдь не исключает возможности признания доступа к компьютерной информации неправомерным. Это объясняется тем, что право лица на доступ к информационной базе данных не носит общий характер, а возникает только в связи со строго определенными (нормативно регламентированными) основаниями. Подробнее здесь

Рекомендую ознакомится с Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации, но помнить об отличиях статьи УК РФ за КИИ от общекомпьютерных.

Далее мы рассмотрим наличие признаков преступления по другим частям ст.274.1 УК РФ

Продолжение следует..

Примеры реальных судебных решений я приводил ранее в заметке канала.

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

** Подборка методических и вспомогательных материалов для субъектов КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019