|
|
19.09.2001, среда |
Олег Яшин: Любой преступник рано или поздно понесет наказаниеПожалуй, до сих пор большинство хакеров не задумываются над ответственностью за собственные действия. Происходит это либо в силу юного возраста и неопытности многих вредителей, либо в силу непонимания наносимого обществу ущерба. Впрочем, другая часть "специалистов" в полной мере осознает преступную природу собственных действий, но уверена в своей неуязвимости. Иллюзии первых и вторых, на наш взгляд, поможет развеять интервью Олега Яшина, Ответственного секретаря Комиссии по безопасности информационного рынка Совета Предпринимателей при Мэре и Правительстве Москвы. Отвечая на вопросы корреспондента CNews.ru, Олег Вадимович рассказывает о предусмотренных УК РФ мерах ответственности за преступления в сфере информационных технологий, приводит данные статистики о динамике данных правонарушений в России.
Олег Яшин: Наиболее известный раздел в УК РФ - это 28 глава, преступления в сфере компьютерной информации. Раздел включает в себя три статьи - 272, 273, 274. Статья 272 "Неправомерный доступ к компьютерной информации"
Статья 273 "Создание, использование и распространение вредоносных программ для ЭВМ"
Это единственная статья, позволяющая в случае осуждения по части 2 реально посадить хакера. Тяжкие последствия - это утрата особо ценной информации (например, оборонного значения), выход из строя систем аэронавигационной техники и другого сложного оборудования, повлекшее, например, человеческие жертвы. Статья в части второй относится к особо тяжким. Статья 274 "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети"
К тому же стоит учитывать специфику преступлений, относящихся к хакингу. На Западе основные "клиенты" правоохранительных органов - это хакеры, взломавшие сайт, и утащившие базу данных по кредиткам. У нас же, говоря о хакере, чаще всего подразумевают компьютерщика, утащившего пароли для доступа в интернет. Воровство логинов и пиратство вообще достаточно характерно для стран с низким среднестатистическим доходами населения. Если же речь идет об использовании чужих логинов, то в дела включаются еще и статьи 165 УК РФ "Причинение имущественного ущерба путем обмана или злоупотребления доверием", 183 УК РФ "Незаконное получение и разглашение сведений, составляющих коммерческую тайну" (это статья охотно применяется при хищении пароля (являющегося коммерческой тайной) не у частника, а у юридического лица), и банальная 159 УК РФ "Мошенничество". Корр.: Какова на практике ответственность по этим статьям? О.Я.: О максимальных сроках заключения по трем компьютерным статьям я уже упомянул. 165 УК предусматривает заключение на срок до пяти лет, 183 до трех лет, 159 до десяти лет по части 3 (практически неприменимая к компьютерным преступлениям). На практике суды пока осваивают данные статьи, и соотвественно, чаще всего дают условные сроки. Это связано прежде всего с тем, что преступления не несут высокой общественной опасности, и не являются массовыми. Часто суд принимает во внимание положительные характеристики нарушителя, и его "не потерянность" для общества. В 2000 году хакерам сильно помогала амнистия, объявленная Государственной Думой к 55 годовщине Победы. Большая часть дел в этом году завершались по амнистии даже не доходя до суда. Тем не менее, сейчас судьи уже начинают постепенно разбираться в сути нарушения, и, как следствие, приговоры становятся более суровыми. Показателен приговор Вахитовского районного суда города Казани, вынесшего в июне 2001 года приговор 28-летнему гражданину Кравченко - за использование трояна Trojan.PWS.Gip112 его приговорили к 1.5 годам исправительных работ. Ранее, в том же городе за то же нарушение другого горе-хакера приговорили к трем годам условно. Кроме того, сейчас начинает движение так называемая "вторая волна" - осужденные начинают попадаться по второму разу. Так, сейчас в Малоярославце Калужской области рассматривается дело 23-летнего Болдырева, ранее осужденного (условно) тем же самым судом за те же самые трояны. Сейчас он уже не отделается условным сроком. Хотя, условные сроки пока более характерны. Если брать статистику, то становится видно, что среднее наказание хакеру - это 1-3 года условно, с компенсацией ущерба. В этом плане судебная практика пока весьма либеральна к хакерам (и опять же, уже давно закончилась амнистия, так легко простившая практически всех хакеров). В той же самой Америке среднее наказание хакеру - это 6-12 месяцев тюрьмы и штраф в районе 20-50 тысяч долларов (в зависимости от причиненного ущерба). Как легко можно заметить, это близко к приговору Казанского суда и видимо на этом суды и остановятся. Отметить можно и то, что сумма штрафа практически близка к американской, только по курсу 1руб=1$. Кстати, максимальный штраф в размере 600 МРОТ (60.000 руб) наложен на студента из Самары, торговавшего утащенными с помощью троянов логинами в интернет. Осудил хакера в мае 2001 года Ленинский районный суд г. Самары. Серьезнее всего к подобным преступлениям относятся сейчас в Китае и Белоруссии (что неудивительно, это страны с очень жестким УК). Так 21-летний хакер, заказывающий товар по чужим кредиткам, приговорен районным судом г. Минска к 4 годам тюремного заключения. Максимальный срок заключения по УК за хищение с использованием компьютера в Беларуси составляет 15 лет. Корр.: Сколько уголовных дел было возбуждено в Москве и в России по данным статьям за последние несколько лет? О.Я.: Точной статистики на 2000 год практически нет, тем более, что как я говорил выше, дела возбуждаются не только по трем "компьютерным статьям", но и по другим. Тем не менее за 1999 год
По данным же отдела по делам о преступлениях в сфере экономики и компьютерной информации контрольно-методического управления следственного комитета при МВД РФ, количество "компьютерных" преступлений в 2000 году достигло 1300. Для сравнения, в 1997 году их было выявлено всего 300. За первые же 3 месяца 2001 года уже выявлено 481 преступление, так что в этом году цифра 1.300 может не устоять. Цифра огромна, но не стоит забывать, что большая часть подобных преступлений - это банальные трояны и махинации с кредитками. Так за 5 месяцев этого года, по информации Управления "Р" ГУВД Москвы было выявлено только 5 преступлений, связанных с "техногенным терроризмом" - то есть теми самыми DoS-атаками, или их аналогами. Корр.: Какова динамика правонарушений в российском сегменте интернета за последние несколько лет? О.Я.: Конечно, российский сегмент сети отличается от прочих. У нас практически не ломают сайты магазинов с целью похищения номеров кредиток - видимо и потому, что эти магазины не так активно используют кредитки. В США же этот вид преступления самый популярный - и это при том, что далеко не каждая фирма будет обнародовать столь постыдные факты. Кстати, на этом чаще всего хакеры и попадаются - после взлома и похищения базы они обещают ее вернуть за деньги, и при передаче денег их берут сотрудники ФБР. Приблизительно таким же образом задерживаются не только западные хакеры, но и наши - это и пресловутые челябинские программисты, и граждане Зезов и Яримаки из Казахстана (их задержали в ходе совместной операции спецслужб США и Великобритании). В российском интернете же очень развито три вида нарушений - кардинг, утаскивание паролей с помощью троянов, нарушение авторских прав. Кардеры стараются заказывать товар в западных магазинах, а получать в России. Пароли с помощью трояна - это уже от низкого уровня жизни - в тех же США этот вид хакинга практически не распространен. Пиратство - это отдельная тема, но оно настолько сильно развито, пожалуй, в связи с общим российским менталитетом. Кардинг существует с незопамятных времен (пожалуй что с 1995 года), он уже пережил несколько стадий перерождения. Пик развития троянов приходится как раз на 2000 год, и волна спадет еще не скоро. Хотя, что интересно, в основном троянцев ловят именно в регионах - Москва уже относительно научилась не запускать вложенные файлы с непонятных адресов. Большую роль в развитии кардинга и троянов играет и масс-культура - молодежные журналы, особенно знаменит этим "Хакер", печатают огромное количество статей по тому, как с нуля стать рассыльщиком троянов и кардером. Конечно, подобные статьи необходимы, но они должны жестко цензурироваться редакцией. В большинстве статей должен прежде всего анализироваться механизм защиты, но не атаки, и рассказываться об ответственности. К сожалению, "Хакер" не пишет о тех кто сел, или получил условный срок в России. Существует также огромное число так называемых "скрипт-киддеров" - людей, пользующихся стандртными программами и средствами взлома для взятия под контроль чужих сайтов. Тех, кто ломает сайты вручную, существенно меньше. Тем не менее, российская судебная система их практически не видит - в большинстве случаев из-за того, что фирмы и сами не знают, что их сай взломан, или не хочет об этом распространятся. Однако 2001 год и тут может стать поворотным - в Красноярске и Нижнем осудили уже настоящих хакеров - первые по заказу коммерческих фирм добывали конфеденциальные документы с компьютера, подключенного к сети, а второй начислил себе дополнительную зарплату, пробравшись на компьютер бухгалтера. Удаленные атаки на web-сервера пока не очень актуальны, в том числе из-за того, что не так много (по сравнению, допустим, с США) сайтов, зарабатывающих деньги на постоянном и моментальном доступе. К тому же, российские серверы часто висят и сами по себе. Опять же, одна из важных составляющих атак на сайты - это супер раскрученность ресурса (хороший пример - постоянно страдающие от взлома серверы Пентагона и НАСА, а также Yahoo) и перманентная ненависть (серверы и сети Microsoft, сайт президента США). Хакинг - это высокотехнологичная область для профессионалов, о которых известно очень мало. Самые громкие дела в России последнего времени - это дела не столько о хакерах, сколько о людях, использующих методы хакеров. Для этого достаточно взглянуть на последние громкие дела (из-за отсутствия времени я перечислю их кратко):
Корр.: Какие меры борьбы с вредителями, по вашему мнению, являются наиболее эффективными? О.Я.: Меры, в общем то, простейшие. Если вы создали офис на первом этаже здания, и забили его под завязку дорогой техникой, будьте любезны, поставьте решетки на окна и металлическую дверь. Иначе технику утащат, и милиция, при всем своем опыте работы с кражами, все равно может и не найти тех, кто украл - особенно, если им помогал кто-то из ваших сотрудников. Любой компьютер, подключенный к интернету или массированной внутренней сети, должен быть оборудован программой-брандмауэром. Если это веб-сайт, то на нем, помимо брандмауэра, должно стоять современное ПО - с заплатками по крайней мере двухмесячной давности. Хакерское общество сейчас мигрирует в сторону вливания в истеблишмент - хакеры уже не взломщики, они специалисты по компьютерной безопасности. Если для вас сайт - это бизнес - то обратитесь к профессионалам, они смогут настроить и проверить вашу защиту, и это будет стоить не так много. Кто-то решит возразить - государство (милиция) обязаны поймать того, кто сломал сайт. Верно. Но для этого и вы должны помочь - ваш компьютер должен записывать все действия, исходящие из сети. И на основании этого милиция вам поможет - но необходимый минимум (те же решетки на окнах) вы должны обеспечить сами. Бороться с профессионалами тяжело, это не зависит от области ваших действий. Но профессионал вряд ли будет ломать вашу защиту просто так - для того, чтобы ваш сервер, как сервер Белого Дома США, атаковали компьютеры со всего мира, зараженные специально написанным вирусом, нужно сделать что-то, что очень разозлит компьютерщиков. Большинство же взломов (чаще всего это именно дефейсы) направлены на то, чтобы зафиксировать сам факт - и обратить внимание руководства компании на то, что администратор сети компании зря получает свои деньги и откровенно халтурит. Тем более что сейчас существует огромное количество специального ПО, позволяющего, в частности, идеально защищаться от стандартных удаленных атак. Сейчас уже не так сложно связаться с Управлением "Р" (сейчас оно меняет название, входя в структуру другого Управления Специальных Технических Мероприятий (УСТМ)), за два года работы накопившем неоценимый опыт (две трети проведенных мероприятий по хакерам безусловно на их счету). Взломами занимаются и отделы ОБЭП, и, в случае государственной организации, и ФСБ. Не стесняйтесь, пишите заявления - без него милиция и другие органы просто не смогут работать. Сейчас по всему миру, и в России, идет интеграция полицейских сил в область хакинга. На работу в органы приходят грамотные ребята (часто бывшие хакеры), развиваются агентурные сети, проводится мониторинг и отслеживание хакерских сайтов. Провайдеры тоже не стоят на месте и анонимности в интернете уже намного меньше. Сейчас 272 статья грозит в основном тем, кто имеет обратный адрес (получает почту с протрояненного компьютера, входит в интернет с чужим паролем, получает на свой адрес товары по чужим кредиткам и пр.). Но через некоторое время, когда продвинутая компьютерная тусовка перестанет быть террой-инкогнито для милиции, в ход пойдут другие методы раскрытия преступлений, опробованные на других, "обычных" статьях - кража, мошенничество, нарушения авторских прав, хулиганство. Именно тогда станет окончательно понятно - интернет - это способ связи, который используют преступники. А любой преступник рано или поздно понесет наказание. |