Насколько законны действия пентестера?

Катализатором к широким дискуссиям [1,2,3] на эту тему послужила "затравка" в блоге компании Infowatch. И после многочисленных рассуждений никто так и не предоставил конструктивных "выжимок", дающих однозначный ответ по поводу законности осуществляемых действий при проведении тестирований на проникновение. Более того, нашлись и те [4], кто помимо ст. 273 УК РФ (Создание, использование и распространение вредоносных программ для ЭВМ) сумел рассмотреть в действиях пентестера ст. 272 (Неправомерный доступ к компьютерной информации). Являясь непосредственным исполнителем при пентестах, опровергающее утверждение Ильи Медведовского, о том, что "в процессе активного аудита или тестов на проникновение аудиторы НЕ ПОЛУЧАЮТ непосредственно доступ к данным", мягко говоря "режет глаз" (без сбора и анализа информации пентест – не пентест, а лишь инструментальное обследование). Поэтому, проконсультировавшись с malotavr на данную тему, у меня сформировалась вполне объективная позиция относительно законности действий, осуществляемых при проведении пентестов.


Нужно понимать, что тестирование на проникновение при успешной атаке предполагает неосознанный (по неосторожности) доступ к конфиденциальной информации (коммерческой тайне), в том числе и к данным, защищаемые законом о ПДн, и к данным, составляющим банковскую тайну (когда мы говорим про тестирование на проникновение в банковском секторе). Под "неосознанным" доступом к данным следует понимать, что в момент анализа информации при эксплуатации различного рода уязвимостей, не всегда возможно однозначно сделать вывод о полезности этой информации для планирования дальнейших действий проведения атаки. Например, файл с именем "~$t.docx", хранящийся в каталоге "Temp" на компьютере системного администратора, может содержать в себе как информацию об информационной системе (имена пользователей и пароли в отрытом виде, список информационных ресурсов и т.д.), которая позволит спланировать дальнейшие действия проведения атаки, так и информацию, являющуюся коммерческой тайной обследуемой компании. Другой пример. При проведении тестирования на проникновение в корневой директории Web-сервера обнаружен файл "users.zip". Логично предположить, что пентестер скачает этот файл в надежде, что в нем содержится информация, которая позволит спланировать дальнейшую атаку. На практике в этом файле может содержаться вовсе не список пользователей, а конфиденциальные данные, которые не имеют никакого отношения к дальнейшему пентесту. Потому и заключаются соглашения о конфиденциальности и о неразглашении полученной информации между компаниями, предоставляющими услуги тестирования на проникновение, и компаниями, заказчиками подобных услуг. С другой стороны, в зависимости от организации самого тестирования на проникновение, многие действия пентестера могут быть строго регламентированы, например, в случае тесного взаимодействия со службой управления ИБ компанией заказчика в процессе проведения работ (получен доступ туда-то, можно провести то-то?).

Из всего вышесказанного нужно сделать следующий вывод. При проведении тестирования на проникновение действия пентестера направлены в сторону эксплуатации максимально возможного количествам уязвимостей и при этом возможно наступление события, при котором пентестер неосознанно (случайно, непреднамеренно) получит доступ к информации разного уровня конфиденциальности. С другой стороны, получение НСД к конкретной информации может быть одной из задач проведения тестирования на проникновение (кроме случая с банковской тайной).

Заключая договор между компанией предоставляющей услуги тестирования на проникновение и, например, коммерческой организацией, привязать действия, проводимые при пентесте к ст. 272 УК РФ никак не получится. Ведь обладатель информации и оператор ИС дали своё согласие на подобный доступ. Совсем по-другому обстоит дело с банковским сектором. Закон о Банковской тайне не дает право оператору ИС разрешить доступ третьей стороны к данным, составляющим банковскую тайну. И тут на помощь пентестеру приходит ст. 24 УК РФ (Формы вины). В п. 2 ст. 24 УК РФ содержится следующая формулировка: "Деяние, совершенное только по неосторожности, признается преступлением лишь в случае, когда это специально предусмотрено соответствующей статьей Особенной части настоящего Кодекса". Другими словами, если в соответствующей статье УК РФ отсутствует формулировка "по неосторожности", то считается, что привлечь к ответственности можно только в том случае, когда деяние было умышленным (преднамеренным). Теперь обратимся к ст. 183 УК РФ (Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну). В указанной статье отсутствует формулировка "по неосторожности", следовательно, получение сведений, составляющих банковскую тайну должно быть умышленным. Но! Пентестер не собирался получать доступ к банковской тайне! Если в процессе проведения тестирования на проникновение он и получил к ней доступ, то этот доступ был получен по неосторожности. Следовательно, состав преступления отсутствует.

Аналогичная ситуация при проведении пентеста обстоит и с доступом к электронной почте сотрудников обследуемой компании (ст. 138 Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений). Действо, направленное на получение НСД к корпоративной электронной почте, проводиться должно. В том числе верификация такого доступа (отсеивание false positive). И это все еще будет доступ по неосторожности. А вот изучать (поиск паролей и пр.) и тем более использовать данные из ящика электронной почты – это будет прямым нарушением соответствующего закона. В электронной переписке всегда участвует два корреспондента. Поэтому, тот факт, что сотрудник дал свое согласие на чтение своей корпоративной электронной почты, вовсе не означает, что с ней в действительности может ознакомиться пентестер или системный администратор. Более того, и тот и другой, в случае такого деяния попадает под более строгую ответственность, предусмотренную п. 2 ст. 138 (до 4-х лет).

Теперь разберемся со ст. 273 УК РФ "Создание, использование и распространение вредоносных программ для ЭВМ". Как я уже писал ранее, существует тонкая грань свойства вредоносности любого ПО. Например, санкционированная автоматизация системным администратором некоторых действий администрирования через групповую политику Active Directory является распространением вредоносных программ? А если этот сценарий скопирован из репозитария Microsoft? Уверены, что нет?

Проведем небольшой эксперимент. Скопируем функцию, приведенную на рисунке ниже, которая содержится в статье "Certificate Authority Monitor" (ресурсы TechNet, репозитарий скриптов).


Запишем функцию "GetHTTPCRL" в произвольный файл с расширением vbs. При повторном обращении к этому файлу никаких проблем не наблюдается. Удалим все комментарии из этого сценария (все строки, начинающиеся с символа одинарной кавычки) и сохраним его. Попытаемся вновь обратиться к этому файлу. И что мы видим? :)


То есть, сценарий приобрел свойство вредоносности только из-за того, что в нем отсутствуют комментарии...

Поэтому, правильная трактовка ст. 273 УК РФ должна быть следующей: "Вредоносной следует считать программу для ЭВМ, объективным свойством которой является её способность осуществлять неразрешённые обладателем информации уничтожение, блокирование, модификацию либо копирование этой информации или неразрешённые оператором информационной системы нарушения работы этой информационной системы (ЭВМ, системы ЭВМ или их сети), причём, те и другие действия – без участия и без предварительного уведомления вышеуказанных субъектов.". При такой интерпретации ст. 273 УК РФ ни системный администратор, устанавливающий RAdmin в тихом режиме, ни пентестер проводящий соответствующие работы, не нарушает законодательство РФ., т.к. действия и того и другого разрешены обладателем информации.

На самом деле можно долго рассуждать на тему законности тех или иных действий, но, в конечном счете, виновность или отсутствие состава преступления определяется только в суде.

34 комментария :

  1. Боюсь, все рассуждения уважаемого автора относительно неправомерного доступа рассыпаются, ибо были основаны на неверно понятом термине. Смотрим в трёхглавый закон и читаем там: "доступ к информации - возможность получения информации и ее использования". Ключевое слово - "возможность.

    ОтветитьУдалить
    Ответы
    1. Т.е. если у организации бреши на сайте, то любой заходящий на него автоматически становится нарушителем? :D Бред какой-то. Да и 6 лет почти прошло, и 3-х главого нет.

      Удалить
    2. если ты тыкаешь в форму логин и пароль admin/admin и получаешь права администратора сайта, то да, становишься нарушителем :)

      Удалить
  2. Формулировка "доступа к информации" никак не противоречит ст. 24. Любое деяние (в том числе и доступ к информации) может быть совершено умышленно или по неосторожности. В чем тут нестыковка?

    ОтветитьУдалить
  3. Дим, если использовать закон об банковской тайне буквально, то под него попадают не только пентестеры, но и все IT-люди, проводящие аудит, внедрение и прочие работы. Ведь получают же :)

    ОтветитьУдалить
  4. > Пентестер не собирался получать
    > доступ к банковской тайне!
    Данные платёжных карт относят к банковской тайне? По пентесту по PCI DSS - доступ к ним явлеется по сути основной целью. Как быть?

    Эксплоит, который позволяет получить доступ к системе путём эскплуатации уязвимости, есть вредоносное ПО. А какой пентест без эксплуатации уязвимостей? Обратное будет весьма сложно доказать, имхо.

    > Аналогичная ситуация при проведении
    > пентеста обстоит и с доступом
    > к электронной почте
    > сотрудников обследуемой компании
    Решения правовой проблемы не приведено :(
    Перехват трафика - достаточно стандартная процедура. В этой переписке могут быть как пароли так и номера карточек например и другая критичная информация. Спрашивать разрешения у все участников при снифе?

    Так же важно отметить, что договор регулирует по идеи только вопросы гражданского права, но не уголовного. Поправьте меня, если я ошибаюсь.

    ОтветитьУдалить
  5. to Сергей Гордейчик:
    резюмируя разговор. Есть пробел в Российском законодательстве, который каждый решает по-своему. Пример: PriceWaterHouse проводит аудит на соответствие требованиям СТО БР ИББС и, следовательно, получает частичный доступ к различной информации, составляющей банковскую тайну.

    to Pento:
    >> Данные платёжных карт относят к банковской тайне?
    да, но только в ИС банка. Т.е. те же данные в обычном процессинговом центре не являются банковской тайной. А вот при попадании в ИС банка, являются.

    >> По пентесту по PCI DSS - доступ к ним явлеется по сути основной целью. Как быть?
    Сергей сумел убедить меня, что есть пробелы в законе. С другой стороны, можно придерживаться позиции, что доступ был «по неосторожности». Ну не думал я, что получу доступ к этим данным при пентесте, ведь они должны быть строго защищены. (ст. 24 доступ по неосторожности – отсутствие состава преступления)

    >> Эксплоит, который позволяет получить доступ к системе путём эскплуатации уязвимости, есть вредоносное ПО.
    Как мне кажется, я привел хороший пример свойства вредоносности ПО, распространяемого с сайта Microsoft...)) Самая лучшая позиция – заручиться поддержкой Компании, которая будет проводить экспертизу вредоносности используемого ПО (eq Лаборатория Касперского).
    Либо заручиться поддержкой опытного адвоката в этих вопросах. Telnet ведь тоже можно расценивать, как вредоносное ПО...

    >> Спрашивать разрешения у все участников при снифе?
    В случае, если при прослушивании сетевого трафика будет перехвачено электронное сообщение – это будет расценено, как доступ по неосторожности. И в соответствии со ст. 24 УК РФ состав преступления отсутствует. А вот если при проведении пентеста передаваемая пара логин/пароль, содержащаяся в электронном письме, будет использована пентестером, то это действо (в суде) будет расцениваться, как нарушение закона ст. 138 УК РФ. Потому как ты воспользовался данными в электронном письме, значит, твои действия были умышленными.

    ОтветитьУдалить
  6. > А вот при попадании в ИС банка, являются.
    И как тогда делать пентест банка по PCI DSS? :)

    > Самая лучшая позиция
    > – заручиться поддержкой
    > Компании, которая будет проводить экспертизу
    > вредоносности используемого ПО
    Мне почему-то кажется, что вероятность того, что эксплоит будет признан вредоносным ПО гораздо выше, чем у Телнета.

    Из твоего последнего комментария вытекает, что "всех пентестеров таки посюдут" :) Логично, что пентестер будет искать в перехваченных сообщениях критичную информацию вроде паролей и т.п.

    По поводу доступа по неосторожности. Что-то не особо тянет на железный аргумент :(

    ОтветитьУдалить
  7. >> И как тогда делать пентест банка по PCI DSS? :)
    А это как раз и есть пробел в законодательстве... Если посмотреть в сторону PriceWaterHouse, то видимо можно извернуться на уровне договоров. Либо ссылаться на ст.24, при случайном получении доступа к банковской тайне.

    >> Мне почему-то кажется, что вероятность того, что эксплоит будет признан вредоносным ПО гораздо выше, чем у Телнета.
    Все зависит от результатов экспертизы ака экспертного мнения. Вот скажет эксперт, что «коммерческий продукт CoreImpact и Canvas – это вредоносное ПО», значит вредоносное%))

    >> Из твоего последнего комментария вытекает, что "всех пентестеров таки посюдут" :)
    Нет конечно! Я думаю, из них просто сформируют информационную армию РФ:)

    >> По поводу доступа по неосторожности. Что-то не особо тянет на железный аргумент :(
    Суд – это игра между стороной обвинителя и стороной защиты. Выигрывает тот, кто сможет привести наиболее объективные доводы. Подобных приинцидентов не было, потому сложно сказать, насколько данный аргумент будет существенным в судебном процессе.

    ОтветитьУдалить
  8. >Pento комментирует...

    >Эксплоит, который позволяет получить доступ
    >к системе путём эскплуатации уязвимости,
    >есть вредоносное ПО.

    А вот нихрена подобного. Из области - докажи. Приведи прецедент. На тех конкретных экплойтах, которые используют конкретные пентестеры.
    А не гипотетически.

    ЗЫ. Имхо надо опять поднять в комьюнити волну про DLP, особенно которые в ходе внедрения, технической поддержки (и не дай бог аутсорсинга) получают доступ ко всем видам тайн и вообще нарушают конституцию как могут. Враги.

    ОтветитьУдалить
  9. infowatch: "Боюсь, все рассуждения уважаемого автора относительно неправомерного доступа рассыпаются, ибо были основаны на неверно понятом термине. Смотрим в трёхглавый закон и читаем там: "доступ к информации - возможность получения информации и ее использования". Ключевое слово - "возможность"."

    Николай,
    я не очень понял, что именно "рассыпается".

    Неправомерным доступом в смысле статьи 272 УК обычно признается:
    1. ознакомление с информацией без разрешения ее обладателя
    2. преодоление средств защиты, предоставляющее возможность такого ознакомления

    Уже в силу п. 2 успешный пентест - это доступ к информации. Дмитрий это и не отрицает. Но этот доступ в общем случае не является неправомерным, поскольку он санкционирован обладателем этой информации, заключившим договор на проведение пентеста

    Другое дело, что в частных случаях пентестер может добраться до информации, доступ к которой заказчик санкционировать не вправе (Дмитрий привел пример с банковской тайной и перепиской сотрудников). Да, это неправомерный доступ. Но этот неправомерный доступ не является преступлением в смысле статьи 272 УК, поскольку у пентестера отсутствует умысел на доступ к этой информации. Пентестер:
    1. Работает против "безымянного" сервера, о котором он знает только его IP-адрес
    2. Согласовывает свои действия в отношении этого сервера с заказчиком, и на заказчика в этом случае возлагается обязанность остановить пентестера, если очередным объектом его атаки станет ресурс, доступом к которому заказчик распоряжаться не вправе
    3. И только в том случае, когда атака на ресурс согласована, и в результате был получен доступ, пентестер может узнать, что там была, скажем, банковская тайна.

    Да, в этом случае пентестер совершил неправомерный доступ. Но этот доступ был получен по неосторожности, и в силу статьи 24 УК РФ ответственности за это пентестер не несет.

    ОтветитьУдалить
  10. на тему вредоностности ПО.

    Ведущий эксперт Лаборатории Касперского Магнус Калкул (Magnus Kalkuhl) заявил: "Мы лишь хотели показать, что не все образцы, которые детектируются антивирусами, на самом деле являются вредоносными - потому что случаются ошибки, и они быстро множатся".

    источник: www.uinc.ru

    ОтветитьУдалить
  11. По пентесту по PCI DSS - доступ к ним явлеется по сути основной целью. Как быть?
    Сергей сумел убедить меня, что есть пробелы в законе. С другой стороны, можно придерживаться позиции, что доступ был «по неосторожности». Ну не думал я, что получу доступ к этим данным при пентесте, ведь они должны быть строго защищены. (ст. 24 доступ по неосторожности – отсутствие состава преступления)

    Если у Вас договор на пентест с БАНКОМ и цель пентеста осуществить доступ к каким-либо данным, то Вы должны себе отдавать отчет, что в банковских системах имеется информация составляющая банковскую тайну. А это означает, что:
    лицо осознавало общественную опасность своих действий, предвидело возможность наступления общественно опасных последствий, НЕ ЖЕЛАЛО, но СОЗНАТЕЛЬНО ДОПУСКАЛО эти последствия либо ОТНОСИЛОСЬ К НИМ БЕЗРАЗЛИЧНО.
    Преступление признается совершенным с КОСВЕННЫМ УМЫСЛОМ.

    ОтветитьУдалить
  12. Невозможность предвидения общественно опасных последствий своего внешнего поведения м.б. связана с низким уровнем интеллектуального развития человека, отсутствием у него опыта или стажа в определенной сфере деятельности...
    Комментарий УК РФ. А.А.Чекалин.

    ОтветитьУдалить
  13. >> По пентесту по PCI DSS - доступ к ним явлеется по сути основной целью.

    При проведении тестирования по PCI DSS исполнитель (как и заказчик) не ставит своей целью получить доступ к данным, составляющим банковскую тайну (ровно как не желает наступления "общественно опасных последствий"). При тестировании по PCI DSS главная цель – проверка соответствия тестируемой ИС выполнению всех требований стандарта PCI DSS.

    >> Если у Вас договор на пентест с БАНКОМ и цель пентеста осуществить доступ к каким-либо данным

    Следует разделять "какие-либо данные" и данные "составляющие банковскую тайну". Если в "какие-либо данные" не входят данные "составляющие банковскую тайну", то такие цели могут ставиться перед исполнителем, в противном случае нет.

    Кроме того, при проведении пентеста в банке, исполнитель предпринимает множество усилий для того, чтобы не допустить наступления "общественно опасных последствий" (ровно как получение доступа к данным, составляющим банковскую тайну). Следовательно, действия исполнителя полностью законны.

    ОтветитьУдалить
  14. Дмитрий, позволю себе не согласиться по поводу тестирования по PCI DSS. Основная цель должна быть именно получение доступа к данным платёжных карт. Более подробно описано в спец. разъяснениях по этому пункту PCI DSS.

    ОтветитьУдалить
  15. А как Вы прокомментируете отчет Global Security Report 2010? 3-я и 6-я атаки внешнего теста говорят о компрометации данных держателей карт, т.е. в нашем случае это либо банковская тайна либо персональные данные.

    ОтветитьУдалить
  16. to Pento:
    >> Основная цель должна быть именно получение доступа к данным платёжных карт

    не в нашем государстве :)

    to Анонимный:
    я не говорю о том, что в ходе пентестов не может наступить ситуация, в которой такой доступ будет получен! Я говорю лишь о том, что при проведении тестирования на проникновение в Российских банках, исполнитель работ должен предпринять ряд мер, чтобы работы проходили в рамках закона.

    ОтветитьУдалить
  17. Вопрос: какие меры необходимо принять для того чтобы пентест проходил в рамках закона в банковской АС?
    Вы говорите о неосторожности (конкретизируйте - по легкомыслию или небрежности), но мне представляется, что усматривается косвенный умысел.
    Вчера (17.03.10) на конференции И.Медведовский заявил, что при пентесте они не получают никакого доступа к данным. Однако на вопрос проводят ли они пентесты без договора с владельцем авт. системы, ответил, что нет, так как это нарушает УК РФ. На вопрос почему, раз нет доступа к данным, т.е. защищаемой законом компьютерной информации, ответа не последовало.

    ОтветитьУдалить
  18. Анонимный, многим такая аргументация Медведовского кажется странной.

    ОтветитьУдалить
  19. Полностью разделяю мнение Pento т.к. при проведении "полезного" тестирования на проникновение доступ к данным, как минимум к учетным записям/списку файлов, директорий, базам данных, таблицам... /скриншотам экранов и пр. осуществляется!

    >> Вы говорите о неосторожности (конкретизируйте - по легкомыслию или небрежности)

    Не то и не другое! Под "неосторожностью" я подразумеваю, что я не ожидал в этом месте обнаружить данные, содержащие банковскую тайну т.к. принял все возможные меры для того, чтобы этого не произошло.

    >> какие меры необходимо принять для того чтобы пентест проходил в рамках закона в банковской АС?

    1. В договоре не должно быть формулировки в качестве целей пентеста - получение доступа к данным, составляющим банковскую тайну.
    2. Все проверки, которые требуют доступа к данным, осуществлять "руками" представителя Заказчика (которому разрешен доступ к банковской тайне). Т.е. Исполнитель произвел атаку и получил возможность выполнения команд. Представитель Заказчика, по инструктажу специалиста Исполнителя, ввел необходимый набор команд. Если Заказчик, основываясь на своих знаниях об информационной системе и полученным данным после выполнения команд, констатирует, что на данном ресурсе нет данных, составляющих банковскую тайну, Исполнитель может продолжить работу. В этом случае, если Исполнителем будет получен доступ к банковской тайне, то такой доступ будет расцениваться, как по неосторожности т.к. были предприняты все возможные меры для того, чтобы не допустить наступления "общественно опасных последствий".

    ОтветитьУдалить
  20. Дмитрий, спасибо за ответ "что делать". Случайно попал в руки договор на проведение пентеста. Цитата: "Основной целью оказания Услуг является выявление возможности несанкционированного доступа к информации, хранимой, обрабатываемой и передаваемой в информационной системе Заказчика..." И ни слова об исключении доступа к банковской тайне. Договор от SQA аудитора.
    А по поводу неосторожности, Вы не совсем точно поняли мой вопрос. С точки зрения УК РФ (ст.26) неосторожность может быть двух видов: либо по легкомыслию (ч.2 ст. 26 УК РФ) либо по небрежности (ч.3 ст.26). Поэтому "Не то и не другое!" не получится, нужно выбрать.

    ОтветитьУдалить
  21. >> С точки зрения УК РФ (ст.26) неосторожность может быть двух видов: либо по легкомыслию (ч.2 ст. 26 УК РФ) либо по небрежности (ч.3 ст.26).

    именно! Потому как раз "Не то и не другое!" :) в противном случае - "неосторожность" попадает под действие УК...

    ОтветитьУдалить
  22. Дмитрий, что-то вы сами себе противоречите:
    "на помощь пентестеру приходит ст. 24 УК РФ (Формы вины). В п. 2 ст. 24 УК РФ содержится следующая формулировка: "Деяние, совершенное только по неосторожности..."
    Т.е. при совершении общественно опасного деяния (несанкционированный доступ к банковской тайне) вина либо есть (ст.24 УК РФ) либо её нет (ст. 28 УК РФ). Если вина есть, то форма вины либо умышлено (ст. 25 УК РФ) в виде прямого или косвенного умысла, либо по неосторожности (ст. 26 УК РФ) в виде легкомыслия или небрежности.
    Поэтому что-то выбрать нужно.

    ОтветитьУдалить
  23. Анонимный,
    очень рекомендую читать не только названия статей, на которые ссылаетесь, но и их текст. Этот текст иногда бывает очень познавательным :)

    Согласно статье 24 УК РФ, "деяние, совершенное только по неосторожности, признается преступлением лишь в случае, когда это специально предусмотрено соответствующей статьей Особенной части настоящего Кодекса." Обсуждаемые здесь статьи (статьи 183, 272-274 и даже 275 УК РФ) не признают соответствующий деяния преступлениями, если эти деяния совершены по неосторожности.

    Поэтому по деяниям подобного рода уголовное дело не может быть возбуждено, а возбужденное дело - подлежит прекращению ввиду отсутствия события преступления (стаитья 24 УПК РФ).

    Статья 28 УК РФ здесь, кстати, очень в тему и ее нужно иметь в виду: если пентестер в ходе проведения работ причинит исследуемому материальный ущерб, вины в его действиях не будет, но причиненный ущерб подлежит возмещению в рамках гражданского судопроизводства. К счастью для пентестера, uUR РФ в таком случае перекладывает обязанность по возмещению ущерба на раболтодателя пентестера.

    ОтветитьУдалить
  24. Статьи УК РФ я читаю внимательно, поэтому задаю Вам вопрос в очередной раз и на который Вы упорно не отвечаете:
    посмотрите ст. 26 УК РФ - неосторожность сама по себе быть не может, она должна быть либо в виде легкомыслия, либо в виде небрежности, КАКОЙ ВИД НЕОСТОРОЖНОСТИ У ПЕНТЕСТЕРА?
    Дмитрий отвечает, что неосторожность есть, но ни легкомыслия ни небрежности нет.
    Это абсурд.
    Только с моей точки зрения пентестер, заключая договор с банком, прекрасно осознает что в банковских АС есть информация, являющаяся банковской тайной. И если осуществляя пентест будет получен доступ к такой информации (именно пентестером, а не заказчиком, который нажимает кнопки по указанию исполнителя), то будет иметь место косвенный умысел.
    Если Вы ссылаетесь на ст.28 УК РФ, то в чем Вы усматриваете отсутствие вины? В том что пентестер не знает, что в банках находится банковская тайна? Или в том, что у пентестера несоответствуют психофизиологические качества экстремальным условиям или нервно-психическим перегрузкам?

    ОтветитьУдалить
  25. КАКОЙ ВИД НЕОСТОРОЖНОСТИ У ПЕНТЕСТЕРА?
    Дмитрий отвечает, что неосторожность есть, но ни легкомыслия ни небрежности нет.


    Дмитрий неправ. В том примере, который вы приводите, неосторожность есть - в форме легкомыслия. Есть неосторожность, но нет преступления.

    И если осуществляя пентест будет получен доступ к такой информации (именно пентестером, а не заказчиком, который нажимает кнопки по указанию исполнителя), то будет иметь место косвенный умысел.

    Вы путаете косвенный умысел с легкомысоием, и эта путаница возникла из-за того, что вы ошиблись в толдковании глагола "допустить".

    Словарь Ожегова-Шведовой: допустить -
    1. Разрешить кому-н. участвовать в чем-н. или иметь доступ куда-н.; вообще дать разрешение на что-н.
    2. Сделать, осуществить что-н. (обычно случайно, невольно).
    3. Счесть возможным, предположить.

    В статье использовано словосочетание "сознательно допускало", что исключает толкование 2. Тот факт, что к преступлениям относятся только деяния (статья 14), исключает толкование 3. Поэтому остается толкование 1, и косвенный умысел возможен только в том случае, когда пентестер сознательно, волевым решением, разрешил наступление общественно опасных последствий.

    В нашем случае пентестер предвидел возможность наступления общественно опасных последствий, но самонадеянно рассчитывал их не допустить. Если он ошибся - это в чистом виде легкомыслие, но никаким боком не умысел - ни прямой, ни косвенный.

    Если Вы ссылаетесь на ст.28 УК РФ, то в чем Вы усматриваете отсутствие вины?

    Я ссывлаюсь на ч. 2 статьи 26 УК РФ, которая утверждает, что такое деяние не является преступлением: "деяние, совершенное только по неосторожности, признается преступлением лишь в случае, когда это специально предусмотрено соответствующей статьей Особенной части настоящего Кодекса".

    Это и называется - читаете невнимательно :)

    Статью 28 вспомнили вы, а я просто нашел ее интересной, поскольку момент возмещения невиновно причиненного вреда в этой теме не обсуждался. Но к рассматриваемому вопросу статья 28 отношения не имеет.

    Невиновное причинение вреда возможно, например, в случае, когда заказчик подтвердил, что "ничего страшного, делайте, это тестовый сервер", прентестер "сделал", сервер пал смертью храбрых, после чего заказчик с ужасом узнал, что на этом сервере жила "супер-пупер-важная-программа". Вины пентестера в этом не будет, но возмещение вреда регулируется нормами гражданского права, которое абсолютно не интересуется виновностью причинителя вреда.

    ОтветитьУдалить
  26. Наконец-то я добился от Вас конкретного вида вины: "по легкомыслию". Давайте проанализируем действия пентестера и то как толкует данный вид вины Уголовное право (а не Словарь Ожегова-Шведовой).
    См.:
    УГОЛОВНОЕ ПРАВО РОССИЙСКОЙ ФЕДЕРАЦИИ
    ОБЩАЯ ЧАСТЬ УЧЕБНИК
    Под редакцией доктора юридических наук, профессора Л.В. ИНОГАМОВОЙ-ХЕГАЙ,
    доктора юридических наук, профессора А.И. РАРОГА, доктора юридических наук, профессора А.И. ЧУЧАЕВА
    Допущено Министерством образования Российской Федерации в качестве учебника для студентов высших учебных заведений, обучающихся по специальности 021100 "Юриспруденция"
    Преступление признается совершенным по легкомыслию, если лицо, его совершившее, предвидело возможность наступления общественно опасных последствий своего действия (или бездействия), но без достаточных к тому оснований самонадеянно рассчитывало на их предотвращение (ч. 2 ст. 26 УК).
    По своему интеллектуальному элементу легкомыслие имеет некоторое сходство с косвенным умыслом. Но если при косвенном умысле виновный предвидит реальную (т.е. для данного конкретного случая) возможность наступления общественно опасных последствий, то при легкомыслии эта возможность предвидится как абстрактная: субъект предвидит, что подобного рода действия вообще могут повлечь общественно опасные последствия, но полагает, что в данном конкретном случае они не наступят. Он легкомысленно, несерьезно подходит к оценке тех обстоятельств, которые, по его мнению, должны предотвратить наступление преступного результата, но на самом деле оказались неспособными противодействовать его наступлению.
    И все же главное отличие легкомыслия от косвенного умысла заключается в содержании волевого элемента. Если при косвенном умысле виновный сознательно допускает наступление общественно опасных последствий, т.е. одобрительно относится к ним, то при легкомыслии отсутствует не только желание, но и сознательное допущение этих последствий, и, наоборот, субъект стремится не допустить их наступления, относится к ним отрицательно.
    При преступном легкомыслии сознание и воля лица не безразличны к возможным вредным последствиям совершаемого деяния, а направлены на их предотвращение. Закон характеризует волевое содержание легкомыслия не как надежду, а именно как расчет на предотвращение общественно опасных последствий, имеющий под собой вполне реальные, хотя и недостаточные основания. При этом виновный рассчитывает на конкретные, реальные обстоятельства, способные, по его мнению, противодействовать наступлению преступного результата: на собственные личные качества (силу, ловкость, опыт, мастерство), на действия других лиц или механизмов, а также на иные обстоятельства. Но их значение он оценивает неправильно, вследствие чего расчет на предотвращение преступного результата оказывается неосновательным, самонадеянным, не имеющим достаточных к тому оснований.

    ОтветитьУдалить
  27. Иллюстрацией легкомыслия может служить дело Ш., осужденного за убийство подростка О.
    В целях предупреждения кражи рыбы из мереж Ш. сделал сигнализацию, для чего к мосткам, с которых мережи ставились в реку, провел из своего дома провода и подключил их к электросети напряжением в 220 В, а в доме установил звонок. При попытке разъединить провода от сигнализации с целью кражи мереж ночью несовершеннолетний О. был убит электротоком.
    В постановлении по этому делу Пленум Верховного Суда СССР с полным основанием указал, что "в данном случае Ш. проявил преступную самонадеянность, поскольку он знал об опасности, которую представляет для человека электроток напряжением 220 В, но легкомысленно надеялся на предотвращение тяжких последствий. При этом он рассчитывал не на случайность, а на такие объективные факторы, которые, по его мнению, исключали возможность наступления тяжких последствий" <*> (он принял целый ряд технических мер по предупреждению случайного поражения электротоком, подключал сигнализацию к электросети только тогда, когда сам находился дома, и широко оповестил односельчан о принятых им мерах). При такой ситуации содеянное Ш. содержит состав не убийства, а лишения жизни по неосторожности.
    Расчет, хотя и самонадеянный, на конкретные факторы, которые, по мнению виновного, способны предотвратить наступление общественно опасных последствий, существенно отличает преступное легкомыслие от косвенного умысла, при котором такой расчет отсутствует, хотя и возможна ни на чем не основанная надежда (на "авось"), что вредные последствия не наступят.

    ОтветитьУдалить
  28. А теперь объясните: когда пентестер осуществляет несанкционированный доступ у информации, составляющей банковскую тайну или персональные данные, то что такая информация должна находится в тестируемой системе, он не может не знать, т.к. договор заключается с банком,
    в чем проявляется РАСЧЕТ НА КОНКРЕТНЫЕ ФАКТОРЫ (какие?), КОТОРЫЕ СПОСОБНЫ ПРЕДОТВРАТИТЬ НАСТУПЛЕНИЕ ОБЩЕСТВЕННО ОПАСНЫХ ПОСЛЕДСТВИЙ?
    Допустим, пентестер поставил снифер и перехватывает всю информацию, которая циркулирует в данном сегменте сети, в том числе и банковскую тайну; или примеры, приведенные Дмитрием:
    «файл с именем "~$t.docx", … , может содержать в себе … информацию, являющуюся коммерческой тайной … файл "users.zip". … в этом файле может содержаться … конфиденциальные данные…»
    если слова коммерчесой и конфиденциальные заменить на банковскую тайну, то видим, что пентестер осознает общетвенную опасность своих действий (работает в банке, а не в фирме РОГА и КОПЫТА), предвидит возможность наступления общественно опасных последствий (осуществляя доступ к информации, если она окажется банковской тайной, то доступ будет несанкционированным), не желает этих последствий, но допускает их или относится к ним безразлично ("Ну не думал я, что получу доступ к этим данным при пентесте, ведь они должны быть строго защищены"), а пентестер именно и преодолевал средства защиты.
    В итоге получаем ч.3 ст. 25 КОСВЕННЫЙ УМЫСЕЛ.

    ОтветитьУдалить
  29. но допускает их или относится к ним безразлично ("Ну не думал я, что получу доступ к этим данным при пентесте, ведь они должны быть строго защищены"), а пентестер именно и преодолевал средства защиты.
    В итоге получаем ч.3 ст. 25 КОСВЕННЫЙ УМЫСЕЛ.


    Анонимный,
    я усиленно стараюсь быть вежливым. Но ситуация, когда я подробно объясняю, в чем заключается ваша ошибка, а вы эти объяснения игнорируете, делают мою эти старания малоэффективными.

    Еще раз: у вас проблема с пониманием слов русского языка, в частности, ваше употребление слова "допускает" противоречит нормам русского языка." Отссюда и косвеный умысел там, где его нет.

    Пентестер осознает ..., предвидит ..., не желает ... И НЕ ДОПУСКАЕТ ..., выполняя ТОЛЬКО САНКЦИОНИРОВАННЫЕ действия, приводлящие, по его мнению, к ТОЛЬКО САНКЦИОНИРОВАННЫМ заказчиком последствиям, и принимая определенный набор усилий (он оговаривается в регламенте работ и согласовывается с заказчиком), чтобы не возникли непредвиденные заказчиком последствия. В частности, преодоление средств защиты заканчивается не в тот момент, когда пентестер получил доступ к защищаемым данным, а в тот момент, когда он представил заказчику убедительные доказательства того, что следующим легким движением руки он этот доступ получит.

    При этом возможны непредвиденные заказчиком последствия: например, иногда сведения, составляющие банковскую тайну, находятся в таких местах, о которых заказчик даже не подозревал, а то и вобще в открытом доступе. И вот к этим данным пентестер может может получить доступ. Этот дуоступ будет несанкционированным, но этот доступ не являлся целью проводимой работы, пентестер не намеревался его получать и получил этот доступ только вследствие того, что смонадеянно считал, что, раз заказчик это утверждает, то охраняемых законом данных здесь нет и быть не может. Закон называет это ЛЕГКОМЫСЛИЕМ.

    На этом дискуссию предлагаю закончить.

    ОтветитьУдалить
  30. Дмитрий, зачем же заканчивать дискуссию когда высказаны не все аргументы? Или с Вашей стороны больше нет доводов в подтверждении своей позиции?
    Если для этого Вам проще забыть о вежливости, то меня это сильно не обидит.
    Ваши объяснения относительно моей ошибки в понимании слова допускает я не игнорирую. Просто мы с Вами смотрим с разных позиций: Вы даете лексическое определение, а я с точки зрения Уголовного права.
    Ваши толкования достаточно спорны, поэтому я и веду дискуссию, а иногда Вы просто ошибаетесь:
    Цитата:
    "Я ссывлаюсь на ч. 2 статьи 26 УК РФ, которая утверждает, что такое деяние не является преступлением: "деяние, совершенное только по неосторожности, признается преступлением лишь в случае, когда это специально предусмотрено соответствующей статьей Особенной части настоящего Кодекса"."
    Вы ошиблись со статьей УК РФ, это написано в ст. 24, а не 26.
    Цитата:
    "Тот факт, что к преступлениям относятся только деяния (статья 14), исключает толкование 3.", т.е. "3. Счесть возможным, предположить"
    Чем вызвано такое утверждение непонятно. Статья 14 говорит, о деянии (действии или бездействии, т.е. объективной стороне преступления)ВИНОВНО совершенном (субъективная сторона преступления).
    Как раз о форме вины, т.е. субъективной стороне преступления(психической деятельности человека) мы с Вами и спорим.
    Концентрируясь на толковании слова "допустить", Вы умалчиваете или забываете о другой субъективной части: "или относится к ним безразлично".
    А если посмотреть как юристы толкуют понятие "допускало" (см. названный учебник), то оно также отличается от Вашего:
    "Сознательное допущение есть активное переживание, связанное с положительным волевым отношением к последствиям, при котором виновный заранее соглашается с наступлением общественно опасных последствий"

    ОтветитьУдалить
  31. Цитата из учебника:
    "Волевое содержание косвенного умысла может проявиться и в безразличном отношении к наступлению общественно опасных последствий. Оно, по сути, мало чем отличается от сознательного допущения и означает отсутствие активных эмоциональных переживаний в связи с общественно опасными последствиями, реальная возможность наступления которых отражается опережающим сознанием виновного. В этом случае субъект причиняет вред общественным отношениям, что называется, "не задумываясь" о последствиях совершаемого деяния, хотя возможность их причинения представляется ему весьма реальной."
    Пример косвенного умысла:
    "По предварительной договоренности между собой С. и И. с целью хищения вещей проникли в дом 76-летней А., избили ее, причинив тяжкие телесные повреждения, в том числе переломы костей носа, скуловых костей и основания черепа, связали ее и вставили в рот кляп. После этого они похитили интересовавшие их вещи и скрылись. В результате механической асфиксии, развившейся из-за введения тряпичного кляпа в рот, А. на месте происшествия скончалась. Суд первой инстанции признал деяние в части лишения А. жизни неосторожным убийством, основываясь на показаниях подсудимых о том, что они избили А. не с целью убийства, а чтобы сломить ее сопротивление, рассчитывая, что утром к А. придут родственники или знакомые и освободят ее. Однако Военная коллегия Верховного Суда РФ приговор отменила и направила дело на новое кассационное рассмотрение, указав следующее.
    Осужденные знали о преклонном возрасте А., но применили к ней насилие, опасное для жизни, а затем, связав руки и ноги, оставили ее с разбитым лицом, залитой кровью носоглоткой и с кляпом, закрывавшим дыхательные пути, забросав ее одеялом и матрацем. Для С. и И. было очевидным беспомощное состояние А. и они безразлично относились к этому, а также к возможным последствиям, т.е. действовали с косвенным умыслом."

    ОтветитьУдалить
  32. C моей точки зрения, если при проведении пентеста происходит доступ пентестера к банковской тайне, то совершается преступление, предусмотренное ст. 272 УК РФ.
    Преступления не будет только если:
    "2. Все проверки, которые требуют доступа к данным, осуществлять "руками" представителя Заказчика (которому разрешен доступ к банковской тайне). Т.е. Исполнитель произвел атаку и получил возможность выполнения команд. Представитель Заказчика, по инструктажу специалиста Исполнителя, ввел необходимый набор команд."
    Так как будет отсутствовать объективная сторона преступления, т.е. сам доступ.

    ОтветитьУдалить