Teisininku patarimai

[_Vladas_]

Taip galima ir prisižaisti.

Nežaisk ir neprisižaisi.

[swerfot]

Oj ne. Čia ne tas. Pentestą niekas nedraudžia daryti.

Draudžia, jei neturi savininko sutikimo. Iš kur tu ištraukei, kad nedraudžia? Dėl įdomumo paskaityk savo interneto tiekėjo sutartį -- greičiausiai ten bus paminėta, kad net portų skenavimą daryti yra draudžiama/nelegalu ir vien už tai tau gali atjungt internetą... Jau nekalbant apie "pentestą"...

Ir pentesto įrankiai Lietuvoje yra visiškai legalūs.

Peiliai irgi legalūs, bet daryti jais "pentestą" atsitiktiniams praeiviams nelegalu.

Sąžiningai motyvas laužtys buvo paprastas - yra UAB "Kriptis". Jie daro elektroninius sprendimus vyriausybei. Vieną kartą užklydau į valdišką puslapį. Manę ten sudomino apsauga nuo bruteforso (ten labai įdomiai POST parametrai generuojami, Hydra nepaima). Panorėjau ją ištirti ir kopijuoti sau sprendimą. Pusdienį patyrinėjau, parašiau savo skriptą, apeinanti pirmynę apsaugą. Viskas. Tiesa dabar galvoju, veltui neslėpiau IP. Galiu užsirauti ant atskleidžiamumų ištroškusio mento.

Aš tai nesuprantu: tu rimtai galvoji, kad visa tai ką čia parašei yra "nieko tokio"? Rašei script'ą su tikslu apeiti apsaugas nuo įsilaužimo, jį testavai ant valdiško tinklapio ir dar galvoji, kad kažkas galėtų tai traktuoti kaip nors kitaip nei kenkėjiška veikla?.. OK, gal ir netyčinė, bet vistiek kenkėjiška.

[mahelad]

Aš tai nesuprantu: tu rimtai galvoji, kad visa tai ką čia parašei yra "nieko tokio"? Rašei script'ą su tikslu apeiti apsaugas nuo įsilaužimo, jį testavai ant valdiško tinklapio ir dar galvoji, kad kažkas galėtų tai traktuoti kaip nors kitaip nei kenkėjiška veikla?.. OK, gal ir netyčinė, bet vistiek kenkėjiška.

Na jo. Galvojau nieko tokio.
Dabar naujiena išlindo įdomi. Pentestą darau jau gal du metus. Niekada niekas nei žodžio neužsiminė, kad tai nusikaltimas. Taip buvo piktų. Bet net jie nesakė, kad pažeidžiau įstatimą. Mušiau eksploitais be payloadų, skenavau portus, rinkau informaciją apie sistemas, bruteforsinau. Laikiausi vieno principo - nekenkti. Gal kokių 20 kartų pranešiau apie pažeidžiamumus savininkams. Žymiai dažniau tiesiog nutylėdavau. IP neslėpiau niekad, jei tikslas buvo informacijos rinkimas. Na kartais naudojau nemokamą VPN'ą, kuris pirmai policijos užklausai esant išduotu mane.
Kažkada paskaičiau BK įstatimus. Ten parašyta, kad negalima prisijungti prie sistemų, disponuoti slapta medžiaga, slaptažodžiais, kenkėjiškomis programomis, negalima nieko gadinti, keisti. Apie informacijos rinkimą niekur nei vienam įstatyme nėra pamynėta. Taip pat nėra apibrėžta riba, kada informacijos rinkimas pereina į nusikaltimą.
Jei dariau kažką tikrai nelabai gražaus, negailėjau pinigų anonimiškumui. Bet geras. Pasirodo kad bet koks informacijos rinkimas taipogi nusikalstama veikla...
Ironija - aptarinėjau valdiškų įstaigų IT saugumo lygmenį Rusijos specifiniuose forumuose, slėpdamas savo IP tiesiog iš principo... Tik dabar suvokiau, kaip man pasisekė, jog bent čia visi galai 100 procentų vandenyje.

[_Vladas_]

Kažkada paskaičiau BK įstatimus. Ten parašyta, kad negalima prisijungti prie sistemų, disponuoti slapta medžiaga, slaptažodžiais, kenkėjiškomis programomis, negalima nieko gadinti, keisti. Apie informacijos rinkimą niekur nei vienam įstatyme nėra pamynėta. Taip pat nėra apibrėžta riba, kada informacijos rinkimas pereina į nusikaltimą.

Neįdėmiai skaitei BK. Yra du susiję straipsniai: 198 ir 198-1.
Supaprastintai sakant, jeigu jungiesi prie informacinės sistemos pažeisdamas IS apsaugos priemones ir neturi tam sistemos savininko leidimo - BK 198-1. Ir visai nesvarbu ką po to darei/nedarei sistemoje. Čia visai tinka analogija su svetima patalpa: jeigu durys praviros ir gali laisvai užeiti - užeiti ne nusikaltimas. Bet jeigu durys uždarytos, o juo labiau užrakintos, - atidaryti/atrakinti ir užeiti be patalpų savininko sutikimo - nusikaltimas.
BK 198 inkriminuojamas tuomet, kai neteisėtai prisijungęs prie IS stebi, fiksuoji, perimi, įsigyji, laikai, pasisavini, paskleidi ar kitaip panaudoji neviešus elektroninius duomenis.

PS: Sąvoka „stebėti“ reiškia atidžiai žiūrint tirti, kaupti žinias, žiūrinėti ieškant ko tinkamo. Taigi vien stebėjimo pakanka inkriminuoti BK 189, jeigu prie IS prisijungei neteisėtai.

[mahelad]

Kažkada paskaičiau BK įstatimus. Ten parašyta, kad negalima prisijungti prie sistemų, disponuoti slapta medžiaga, slaptažodžiais, kenkėjiškomis programomis, negalima nieko gadinti, keisti. Apie informacijos rinkimą niekur nei vienam įstatyme nėra pamynėta. Taip pat nėra apibrėžta riba, kada informacijos rinkimas pereina į nusikaltimą.

Neįdėmiai skaitei BK. Yra du susiję straipsniai: 198 ir 198-1.
Supaprastintai sakant, jeigu jungiesi prie informacinės sistemos pažeisdamas IS apsaugos priemones ir neturi tam sistemos savininko leidimo - BK 198-1. Ir visai nesvarbu ką po to darei/nedarei sistemoje. Čia visai tinka analogija su svetima patalpa: jeigu durys praviros ir gali laisvai užeiti - užeiti ne nusikaltimas. Bet jeigu durys uždarytos, o juo labiau užrakintos, - atidaryti/atrakinti ir užeiti be patalpų savininko sutikimo - nusikaltimas.
BK 198 inkriminuojamas tuomet, kai neteisėtai prisijungęs prie IS stebi, fiksuoji, perimi, įsigyji, laikai, pasisavini, paskleidi ar kitaip panaudoji neviešus elektroninius duomenis.

Na va čia ir išlenda mano nesugebėjimas teisingai traktuoti įstatymus. Paaiškinsiu mano kaip dabar matau, klaidingą minčių eigą.
1) Mano interpretacijoje vieša vieta yra ta, kuri pasiekiama visiems. Jei kas nors nenori, kad prie jo sistemos jungusi, daro baltų IP adresų sąrašą. Tik iš šių IP galima pasijungti prie sistemos. Jei servisas visiems pasiekiamas, mano nuomone bet kas gali užklysti ir pasiaiškinti ką jisai surado. Aišku sėkmingai autorizuotis yra draudžiama. (apie nesekmingą autorizaciją nėra užsiminta)
2) Dėl BK 198-1 terminas "neteisėtai prisijungė" mano nuomone susijęs su autorizacija. Nėra autorizacijos nėra prisijungimo. Mano nuomone "prisijungimas" yra autorizacija, kuriuos metu vartotojas gauna priėjimą prie neviešos sistemos dalies.
3) Dėl BK 198 "neviešus elektroninius duomenis". Jei jie pasiekiami visiems tai mano nuomone jie negali būti nevieši. Ar viešumas tik tada, jei jie indeksuojami google?
4) Dėl BK 196 jei nepaveikiau duomenų - šio BK inkriminuoti negalima
5) Dėl BK 197 "Neteisėtas poveikis informacinei sistemai" - mano nuomone jei sistemos veikimas nenukentėjo, šio BK inkriminuoti negalima
6) Vat pagal BK 198-2 Neteisėtas disponavimas įrenginiais, programine įranga - čia jau taip, norint galima pritraukti už ausų visą mano SSD + pusę įrenginių lentynos. Bet pagal ši BK galima nuteisti pusę programuotojų.

[swerfot]

Esmė, kad tu ne "užklydai ir suradai", o tikslingai ir sistemingai darei visokius neaiškius kaka-maka. Dėl to tu automatiškai nesi nekaltas praeivis. O kokie buvo tavo motyvai -- kenkėjiški ar gerietiški, čia jau reiks aiškint atskirai.

O kad pagal kažkokį ten straipsnį "galima nubausti pusę Lietuvos programuotojų" nieko nekeičia -- prieš "hipotetinį teismą" dabar stovi tu, o ne pusė Lietuvos

[RED.]
O šiaip tai atsipalaiduok, realiame pasaulyje 99% atvejų tų "bruteforcinimų" ir tokio lygio mėgėjiškų "pentestingų" niekas nesureikšmina ir nekreipia dėmesio. Tiesiog jei turi kažkokį tinklapį, el. pašto ar kitokį serverį, prieinamą internete, tai kiekvieną dieną sulauksi serbentilijonų visokių neaiškių skenavimų, bandymų jungtis ir kitokių nesąmonių iš viso pasaulio bot'ų... Normalus adminas tiesiog teisingai susikonfigūruoja ugniasienes, Fail2Ban ir pan. apsaugas ir nesuka sau galvos. Rimtesnių priemonių imamasi tik tada, kai pastebima kažkokia "tikslinga" ataka, t.y. kai pasidaro aišku, kad čia braunasi realus žmogus, o ne tik vienas iš milijono automatizuotų bot'ų.

[_Vladas_]

Informacinė sistema nėra vieša vieta. O viešais laikomi tik tie duomenys, prie kurių suteikta vieša prieiga.
Kasacinėje teismų praktikoje yra išaiškinta, kad veika turi būti kvalifikuojama pagal BK 198-1 straipsnį nustačius, kad prie informacinės sistemos buvo prisijungta pažeidžiant šios sistemos apsaugos priemones. Aiškinant informacinės sistemos apsaugos priemonių pažeidimo požymį, kasacinėse nutartyse pažymėta, jog:
1) vartotoją informacinėje sistemoje leidžianti nustatyti autentiškumo patvirtinimo procedūra gali būti laikoma viena iš šios sistemos saugumo (taip pat ir konfidencialumo) užtikrinimo priemonių,
2) teisėto vartotojo tapatybę patvirtinančių duomenų neteisėtas įvedimas, suklaidinant sistemą, laikytinas šios sistemos apsaugos priemonių pažeidimu,
3) prisijungimas prie informacinės sistemos pažeidžiant autentifikavimo priemonėmis nustatytų prisijungimo prie informacinės sistemos apribojimus (reikalavimus).

Iš esmės viskas susiveda į tai, kas yra IS apsaugos priemonės. Ginčo atveju tai spręs teismas.

[mahelad]

Informacinė sistema nėra vieša vieta. O viešais laikomi tik tie duomenys, prie kurių suteikta vieša prieiga.
Kasacinėje teismų praktikoje yra išaiškinta, kad veika turi būti kvalifikuojama pagal BK 198-1 straipsnį nustačius, kad prie informacinės sistemos buvo prisijungta pažeidžiant šios sistemos apsaugos priemones. Aiškinant informacinės sistemos apsaugos priemonių pažeidimo požymį, kasacinėse nutartyse pažymėta, jog:
1) vartotoją informacinėje sistemoje leidžianti nustatyti autentiškumo patvirtinimo procedūra gali būti laikoma viena iš šios sistemos saugumo (taip pat ir konfidencialumo) užtikrinimo priemonių,
2) teisėto vartotojo tapatybę patvirtinančių duomenų neteisėtas įvedimas, suklaidinant sistemą, laikytinas šios sistemos apsaugos priemonių pažeidimu,
3) prisijungimas prie informacinės sistemos pažeidžiant autentifikavimo priemonėmis nustatytų prisijungimo prie informacinės sistemos apribojimus (reikalavimus).

Iš esmės viskas susiveda į tai, kas yra IS apsaugos priemonės. Ginčo atveju tai spręs teismas.

O, čia jau konkretika. Ačiū. Nelinksmos naujienos...
Na bet kokiu atveju jei nuskils, nieko nebus, jei ne - sumokėsiu kiek reikia. I taip du metus nesuvokdamas kaip rizikuoju, po laiminga žvaigžde vaikščiuojau.

O šiaip tai atsipalaiduok,

Man atrodo dabar pats laikas pagaliau susiimti. Iki kokio naivaus neatsakingumo dasiritau dėl atsipalaidavimo Juk rimtai galėjau įkliūti. Mano mėgiamas bajeris - kuklus defase mažų šriftu... Po to taip taktiškai sakydavau savininkui - pašalinkite mano parašą iš savo puslapio... Jei bent vienas iš tų žmonių parašytų pareiškimą...

[GAdas]

Na jo. Galvojau nieko tokio.
Dabar naujiena išlindo įdomi. Pentestą darau jau gal du metus. Niekada niekas nei žodžio neužsiminė, kad tai nusikaltimas. Taip buvo piktų. Bet net jie nesakė, kad pažeidžiau įstatimą. Mušiau eksploitais be payloadų, skenavau portus, rinkau informaciją apie sistemas, bruteforsinau. Laikiausi vieno principo - nekenkti. Gal kokių 20 kartų pranešiau apie pažeidžiamumus savininkams. Žymiai dažniau tiesiog nutylėdavau. IP neslėpiau niekad, jei tikslas buvo informacijos rinkimas. Na kartais naudojau nemokamą VPN'ą, kuris pirmai policijos užklausai esant išduotu mane.
Kažkada paskaičiau BK įstatimus.<...>

Hmmm...vis paskaitant "mahelad" postus skirtingose temose, susidaro vaizdas, kad jis maždaug 14-18m. jaunuolis, kaip ir jo spuoguoti draugeliai, ryjantys tai ko nežino ir atsibundantys psichuškėje...arba areštinėje. ...nes tokių briedų, dirbant adminu ar bent kažkiek giliau susipažinus su tinklu, stengiamasi nedaryti be tikslo...na nebent "script-kiddie" esi.

[Desantas]

Hmmm...vis paskaitant "mahelad" postus skirtingose temose, susidaro vaizdas, kad jis maždaug 14-18m. jaunuolis, kaip ir jo spuoguoti draugeliai, ryjantys tai ko nežino ir atsibundantys psichuškėje...arba areštinėje. ...nes tokių briedų, dirbant adminu ar bent kažkiek giliau susipažinus su tinklu, stengiamasi nedaryti be tikslo...na nebent "script-kiddie" esi.

Parašei tai ką galvoju tik neparašiau iki šiol.

[mahelad]

dirbant adminu ar bent kažkiek giliau susipažinus su tinklu, stengiamasi nedaryti be tikslo...na nebent "script-kiddie" esi.

Na šiaip ir esu script kiddie. Gal man tai patinka. Gerbiamieji, ar man kaip suaugusiam vyrui geriau imtys vyryškų pramogų, na žmonai antausį duoti, kazike algą pralošti, pragerti kelys šimtus eu su meiluže, teises pragerti?
O dėl to ar galima ar negalima taip daryti, nustebtumete, kiek atsainiai policija žiuri į smulkius nusikaltimus, kol nėra pareiškimo.

[swerfot]

dirbant adminu ar bent kažkiek giliau susipažinus su tinklu, stengiamasi nedaryti be tikslo...na nebent "script-kiddie" esi.

Na šiaip ir esu script kiddie. Gal man tai patinka. Ar man stengtis eltis taip kad forume visiems įtikčiau? Ar man kaip suaugusiam vyrui būtina imtys vyryškų pramogų, na žmonai antausį duoti, kazike algą pralošti, pragerti kelys šimtus eu su meiluže, teises pragerti?
O dėl to ar galima ar negalima taip daryti, nustebtumete, kiek atsainiai policija žiuri į smulkius nusikaltimus, kol nėra pareiškimo.

Nesupratai... Pagrindinė mintis čia buvo tame, kad labai vaikiškai atrodo visa tai. Jei tau įdomu informacinių sistemų saugumas, tai švieskis, skaityk, žiūrėk DEF CON įrašus, eksperimentuok testinėje aplinkoje arba gavęs kitos šalies sutikimą... T.y. jausk šiek tiek atsakomybės.
Nes dabar tai atrodo lyg būtum vaikėzas, švystelėjęs akmenį į daugiabučio langus ir dedantis į kojas, viduje apsvaigęs nuo adrenalino pojūčio ir įsivaizduojantis esąs "blogiukas".

[mahelad]

Na tame yra tiesos. Nėra adrenalino, nėra progreso. Etinis pentestas tas pat, kas žaisti pokerį oficialiam turnyre be jokių pinigų.

[swerfot]

Na tame yra tiesos. Nėra adrenalino, nėra progreso. Etinis pentestas tas pat, kas žaisti pokerį oficialiam turnyre be jokių pinigų.

Vėlgi, pagrindinė mintis tavęs nepasiekė: vaikiškas langų daužymas nėra progresas.

[mahelad]

Na tame yra tiesos. Nėra adrenalino, nėra progreso. Etinis pentestas tas pat, kas žaisti pokerį oficialiam turnyre be jokių pinigų.

Vėlgi, pagrindinė mintis tavęs nepasiekė: vaikiškas langų daužymas nėra progresas.

Man tai sunku pripažinti, nors paneigti taipogi negaliu.