следующая тема »

[Urix]

Мне в комментарии очень многое понравилось.

интеллектуальными ... средствами вычислительной техники

Арифмометр "Феликс", оказывается, тоже является интеллектуальным средством вычислительной техники.

Программа реализует алгоритм решения какой-либо задачи.

А вычислительная машина смотрит со стороны на то, как программа реализует алгоритм, ничего не понимает и чуть не плача произносит: "а для чего я тогда здесь нужна???".

Создание программы для ЭВМ - это написание ее алгоритма, т.е. последовательности логических команд

А последовательности арифметических команд уже программой являться не будут.

Вредоносность так называемых "компьютерных вирусов" связана с их свойством самовоспроизводиться и создавать помехи в работе на ЭВМ без ведома и санкции добросовестных пользователей.

В последнее время вирусняк стали просто рассылать по спискам E-mail-ов без саморазмножения, на котором их и ловили. Значит новые вирусы уже не являются вредоносными, поскольку не самораспространяются.

Дальше комментировать не буду, дабы не вводить себя и других в грех.

[Сергей Середа]

У меня есть и возможность получения биллинговой информации, если уж Вам так хочется, - я приду к провайдеру, дам в ухо администратору и заберу домой сервер. Возможно?! Возможно!!!

Следует ли из этого, что я имею доступ практически ко всей информации в мире?! (ну, быть может, кроме особо охраняемой двумя взводами терминаторов и Джульбарсом впридачу)

Вы уже класс в четвёртый средней школы перешли, как я вижу, судя по аргументации...

Я говорю о том, что доступа к биллинговой информации у злоумышленника не было. А по Вашей (и не только Вашей) логике теперь нужно вменить ему в вину "модификацию компьютерной информации" в логах всех серверов, мостов, концентраторов и т.п., через которые проходили пересылаемые при его выходе в Интернет пакеты данных...

Просто давайте разделим сам "доступ" и его "последствия". Вы почему-то никак не хотите этого сделать.

Я понимаю разницу между доступом и последствиями. Просто, как я уже писал раньше, если в результате доступа не выполнено активных действий именно с той информацией, к которой был осуществлён доступ (модификация, уничтожение, блокирование), то никакого влияния на другую, недоступную ему, информацию человек, осуществивший доступ, оказать не может. Это так и не может быть иначе. Просто в силу законов природы.

Приведу аналогию. Человек А подозревает человека Б в том, что он хочет украсть у него вещь В. А предупреждает Б, что если вещь пропадёт, Б будет убит. Через какое-то время квартиру А "обносит" грабитель Г. А думает, что это сделал Б и убивает его. Осудят ли Г за убийство?
Думаю, что нет. Может быть, если докажут, что Г знал про угрозу А и украл В специально, чтобы спровоцировать убийство Б, Г и признают виновным в подстрекательстве к убийству. Но только если докажут.

Точно так же, "злодей", вышедший в Интернет по "стыренному" логину и паролю, явно не имел намерения совершить "модификацию компьютерной информации" в билинговой системе провайдера - он хотел в Сети посёрфить "на шару"... То есть это именно "Причинение имущественного ущерба путем обмана или злоупотребления доверием" (Статья 165, часть первая) и не более того. Да и наказание дали, собственно говоря, по этой статье - 7 месяцев исправительных работ. Статью 272 можно было вообще не "приплетать". 100% - её "для галки" добавили, чтобы показатели раскрываемости поднять.

Знаете, что тогда выходит? Что даже попытка ввода пароля при входе в систему является неправомерным доступом. Объясняю.
Как Вы сами здОрово расписали, любое действие с компьютером влечет копирование, модификацию, уничтожение или блокирование информации.
Получаем: чтобы получить правомерный доступ к компьютерной информации, необходимо выполнить авторизацию. Пока авторизация не выполнена, доступ к ЭВМ считается несанкционированным, т.е. неправомерным. А когда мы только пытаемся ввести логин и пароль, компьютерная информация уже копируется (сам логин и пароль) и модифицируется (файл журнала системы). Но на этот момент мы еще не авторизованы (пароль только еще обрабатывается), следовательно, мы осуществили неправомерный доступ к компьютерной информации!
Супер! Все пользователи ЭВМ - преступники! Я давно это подозревал, да вот доказать не получалось. А теперь вышло! Спасибо Вам!

Да не за что! Всегда рад!

Не подменяйте понятия. В одной строчке у Вас  "доступ к ЭВМ",  в другой - "доступ к компьютерной информации".

А то мы так докатимся до того, что "доступ в комнату с ЭВМ" будем квалифицировать по ст. 272.

Попытка спрятаться за, якобы, подмену понятий - слабый аргумент. Я написал:
===
...чтобы получить правомерный доступ к компьютерной информации, необходимо выполнить авторизацию. Пока авторизация не выполнена, доступ к ЭВМ считается несанкционированным, т.е. неправомерным.
===

Если Вы так щепетильны к используемым словам и делаете вид, что не поняли, что я имел в виду, я, специально для Вас внесу поправку:
===
чтобы получить правомерный доступ к компьютерной информации, необходимо выполнить авторизацию. Пока авторизация не выполнена, доступ к компьютерной информации считается несанкционированным, т.е. неправомерным.
===

Ну. Теперь "подмены понятий" нет. Никакого "доступа в ЭВМ", только "доступ компьютерной информации".

Разбивайте мои аргументы в пух и прах. Welcome. Don't be shy.

В 28 главе УК говорится о компьютерной информации. Так что как Вы незаконное использование не обзывайте, как не "тяните его за уши" к неправомерному доступу, если логин и пароль злоумышленник "копировал" с бумажки, никакой статьи 272. А то Вы так дойдете о того, что бумажную распечатку назовете "компьютерной информацией". Бумажку ведь можно засунуть в системный блок компьтера? Вот. Вытаскиваем из системного блока компьютера (выключенного) бумажку, читаем распечатанную информацию, в итоге получаем "Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации ... в электронно-вычислительной машине...". Помните Платновские "Диалоги"? "Кобель твой? Он - отец? Значит, он - твой отец". Технология ста-а-аренькая, но еще ой как применяется...

На бумажке получил - нет доступа к компьютерной информации.

В процессе соединения с провом ввел - есть доступ к компьютерной информации.

Вот и все. И ни кобелей, ни отцов Платона.

Так, так, так. Что-то я не понял. То есть Вы имеете в виду, что если я займусь шпионажем, допустим, сфотографирую секретные документы, а потом их отсканирую и "прогоню" через FineReader, то в результате совершу неправомерный доступ к компьютерной информации, что-ли?
Вы издеваетесь, да?

[Сергей Середа]

...

В процессе соединения с провом ввел - есть доступ к компьютерной информации.

    Верно, т.к. информация на бумажке была переведена в компьютерную форму с помощью компьютерной техники и соответствующего программного обеспечения и сохранена на машинном носителе, в памяти ЭВМ, системе ЭВМ либо их сети.  
     После этого лицо неправомерно использовало данную компьютерную информацию для совершения модификации и блокирования другой компьютерной информации, содержащейся на "серваке у прова".  

Стоп, стоп, стоп. Доступ для ввода логина и пароля всегда является правомерным, так как без разрешения провайдера на доступ для ввода логина и пароля любой пользователь автоматически стновится преступником (я про это в ответе для Subjective написал). А раз доступ правомерен, то он правомерен.

Кроме того, "компьютерную информацию" в виде введенного логина и пароля создаёт само лицо, осуществляющее доступ. Как мы можем определить, законно оно ее использует или нет? Может человек угадал логин и пароль или ошибся в наборе и получил возможность работать в Интернет?

"Лицо не имело законного права на получение такой компьютерной информации;
 Оно получило ее в нарушение установленного порядка и правил;
 Лицо неправомерно манипулировало такой информацией в своих интересах;
 Лицо использовало неправомерно полученную информацию в своих корыстных целях."

Да, это ужасно. Статья 165, часть 1.

Результатом вышеуказанных действий лица явились:
- модификация чужой информации (информации "прова");

Хорошо, а если бы он не "логиниля", а "работал между строк", "подсылая" через локальную сеть свои пакеты с обратным адресом законного пользователя во время его работы и перехватывая свои ответные пакеты до того, как они попадали к легальному пользователю?
Сеть общая для всех, тарификация и "пропуск" пакетов в ряде таких сетей ведется по IP, указанному в пакетах. Злоумышленник ничего никуда не вводит, он просто прописывает некое десятичное число в создаваемые в его собственной системе пакеты (никакого криминала) и отправляет их в общедоступную для всех пакетов локальную сеть (тоже никакого криминала). А система принимает их за чужие пакеты и пропускает в Интернет. Биллинговая система при этом "накручивает" счёт законного пользователя (бывает и исходящий трафик платный).
И чего тогда?

Последствия те же, а ввода логина и пароля нету...

- блокирование работы законного обладателя информации ("логина и пароля") в сети ЭВМ (во время работы преступника);

Ну, в 272 статье написано про блокирование компьютерной информации, а не про блокирование "работы законного обладателя информации". По большому счету, при блокировании выхода пользователя в Интернет блокирования компьютерной информации не происходит - в системе провайдера вся информация доступна тем, кто должен иметь к ней доступ (администраторам, локальным пользователям и "залогинившимся" удаленным пользователям), в системе "законного обладателя информации" ситуация такая же.
Хотя тут можно спорить, так как понятие "блокирование" никак не раскрыто. Непонятно, блокирование доступа к информации только для одного пользователя является "блокированием компьютерной информации" и отличается ли оно от блокирования доступа для всех без исключения пользователей...

Кстати, в материалах дела ничего не написано про то, что законный обладатель логина и пароля не мог в это же время пользоваться услугами провайдера. Я знаю случаи, когда провайдер позволял одновременно "логиниться" нескольким пользователям с одним и тем же логином и паролем - просто списанную со счета сумму увеличивал с учетом всех соединений.

- причинение имущественного вреда законному обладателю информации (обладателю "логина и пароля").  

Ну, имущественный вред в статье 272 вообще не рассматривается.

[Сергей Середа]

Доступа к биллингу действительно нет.

Мне кажется Сергей исходит из какого-то максималистского понимания доступа - либо все, либо ничего, а вы ему тут невольно вторите. Выражаясь точнее, к билинговой информации нет доступа для чтения и копирования, а для записи есть, причем я полагаю, также с оговорками - записать дополнительную информацию можно, а изменить уже записанную - врядли, или очень ограничено.

Я, вообще-то, исхожу из понятия "доступ", определенного законом. Если есть "возможность получения информации и ее использования", доступ есть, если нет, то нет.
В случае закрытой для всех, кроме провайдера, биллинговой информации получить и использовать эту информацию невозможно, значит и доступа к ней нет. Никакого.

Другой вопрос, что модификация этой информации может быть последствием модификации другой информации, к которой злоумышленник может получить доступ. Примером может быть информация файловой системы о параметрах доступа к файлам биллинговой системы. Злоумышленник может вместо r-w-x указать только r---- для всех групп пользователей, чем заблокировать компьютерную информацию в биллинговой системе и не дать ее обновлять. А может и доступ на чтение закрыть. Но для этого нужно получить доступ к компьютерной системе провайдера либо с его разрешения, либо "взломав" её. Просто же выйдя в Интернет таких потрясающих результатов не добиться.

[Сергей Середа]

Получаем: чтобы получить правомерный доступ к компьютерной информации, необходимо выполнить авторизацию. Пока авторизация не выполнена, доступ к ЭВМ считается несанкционированным, т.е. неправомерным. А когда мы только пытаемся ввести логин и пароль, компьютерная информация уже копируется (сам логин и пароль) и модифицируется (файл журнала системы).

Для того, чтобы доступ считался правомерным, необходимо 1) получить разрешение владельца системы 2) выполнять этот доступ в соответствии с условиями и правилами, установленными владельцем (включающими в том числе использование только предусмотренных владельцем технических средств авторизации и разграничения прав доступа пользователей).

Про второй пункт законодательство молчит. Но я согласен с Вашей трактовкой.

Невыполнение любого из этих условий практически автоматически в большинстве случаев ведет к тому, что полученный доступ не считается правомерным. Поэтому, не имея явно выраженного разрешения владельца на использование системы в целом, не стоит пытаться воспользоваться и отдельными частями ее, среди которых система авторизации - даже простой ввод логина/пароля, при отсутствии разрешения делать это, чреват неприятностями, иногда большими... Пользователь же, получивший санкцию владельца, осуществляет правомерный доступ не в силу того, что система авторизации так решила, а потому как владелец системы ему это разрешил.

Дело в том, что если номер многоканального телефона провайдера общеизвестен (их часто публикуют в объявлениях), то модемное соединение с ним и попытку входа никогда не признают неразрешёнными. Это - часть публичной оферты воспользоваться услугами провайдера.
А если такие действия санкционированы, то их может выполнять кто угодно...

Придумал еще один пример. Есть примеры, когда тарификация ведётся телефонной компанией, которая параллельно предоставляет и услуги доступа в Интернет. В этом случае никакого логина и пароля нет вообще. Тогда берет, значит, злоумышленник два проводка, соединяет их с одной стороны со своим модемом, а с другой - с телефонной линией, скажем, соседа (или, если злоумышленник поумнее, с какой-то территориально удаленной телефонной линией), соединяется и пользуется Интернет. Удастся ли и здесь "впарить" ему 272 статью?

[Urix]

Я говорю о том, что доступа к биллинговой информации у злоумышленника не было.

В современной теории защиты информации введено понятие "агент" - исполнитель воли субъекта. Это может быть программа, железка, человек и т.д. Как я понял в данном конкретном случае, ННФ полагал, что доступ к биллинговой системе был осуществлен по принципам "черного ящика". Прямого доступа нет, но есть опосредованный, через агентов. Тем не менее доступ был осуществлен и результат был желаемый для субъекта.

Осудят ли Г за убийство? Думаю, что нет.

Непредумышленной убийство. В Российском праве это убийство по неосторожности.

...чтобы получить правомерный доступ к компьютерной информации, необходимо выполнить авторизацию. Пока авторизация не выполнена, доступ к ЭВМ считается несанкционированным, т.е. неправомерным.

Компьютер - это простой автомат не наделенный разумом, поэтому ничего не знает о разрешении.запретах на доступ к информации. Он исполняет всегда только то, что запрограммировано человеком. Отсюда вывод, что если в системе безопасности есть "дыра", то это следствие действий владельца системы (программиста, администратора и т.д.), а не следствие недоброй воли правонарушителя. В отличии от железных сейфов, программу нельзя "взломать", не изменив ее код. Особенности неизмененной программы можно лишь использовать для достижения желаемого результата.

Теперь "подмены понятий" нет. Никакого "доступа в ЭВМ", только "доступ компьютерной информации".

В общем да, если признать, что программа таже является информацией. В праве этого нет.

То есть Вы имеете в виду, что если я займусь шпионажем, допустим, сфотографирую секретные документы, а потом их отсканирую и "прогоню" через FineReader, то в результате совершу неправомерный доступ к компьютерной информации, что-ли?

Заниматься шпионажем не надо - чревато последствиями. Доступ (копирование) был осуществлен в момент фотографирования. Огранияение на доступ было, но оно было преодолено. Насколько правомерно преодолено - решает суд.

Хорошо, а если бы он не "логиниля", а "работал между строк", "подсылая" через локальную сеть свои пакеты с обратным адресом законного пользователя во время его работы и перехватывая свои ответные пакеты до того, как они попадали к легальному пользователю?

Это вмешательство в работу программ, реализующих стек протоколов TCP/IP. Атака Митника.

Последствия те же, а ввода логина и пароля нету...

Зато есть идентификация по MAC-адресам. Обычно, при таких атаках используют proxyARP. И возможна такая атака в одном сегменте локальной сети, при условии нарушения администратором этого сегмента правил безопасности. Если бы админ запретил proxyARP или назначил для этой "дырдочки" самостоятельный vlan, то ничего бы такого не было бы. Значит - такой вид доступа в этом случае был разрешен. Вы здесь неявно подменяете понятия "угроза извне" на "угроза изнутри". Если админ дох, то тут медицина бессильна. Приходится обращаться к помощи юристов.

[Сергей Середа]

Я говорю о том, что доступа к биллинговой информации у злоумышленника не было.

В современной теории защиты информации введено понятие "агент" - исполнитель воли субъекта. Это может быть программа, железка, человек и т.д. Как я понял в данном конкретном случае, ННФ полагал, что доступ к биллинговой системе был осуществлен по принципам "черного ящика". Прямого доступа нет, но есть опосредованный, через агентов. Тем не менее доступ был осуществлен и результат был желаемый для субъекта.

Так в том-то и дело, что воли никакой не было. У подсудимого и в мыслях не было модифицировать биллинговую информацию. А если бы было, то образ его действий был бы совершенно иным.

[Urix]

Если есть "возможность получения информации и ее использования", доступ есть, если нет, то нет.

Пусть разрешено выполнять операцию добавления данных и запрещено читать (копировать), изменять и удалять информацию. Доступ все равно есть. Если разрешена хотя-бы одна операция, то доступ в техническом понимании разрешен. Следовательно, должно действовать другой критерий доступа, чтобы не возникало противоречий с общепринятым технически понятием доступа. Иначе, экспертам придется давать свои ответы уже с использованием юридических категорий, а это чревато обьвинениями в даче юридических оценок.

В общем, отсюда я прихожу к выводу, что юридические определения являений должны соответствовать естественно-научным, если таковые уже существовали. В противном случае любая экспертиза в этом случае становится заведомо недобросовестной из-за дачи юридических оценок. Порой бывает крайне сложно определить, какими определениями пользовался эксперт - юридическими или естественно-научными.

[Dmitry]

Про второй пункт законодательство молчит. Но я согласен с Вашей трактовкой.

"Обладатель информации, если иное не предусмотрено федеральными законами, вправе... определять порядок и условия такого доступа..."

если номер многоканального телефона провайдера общеизвестен (их часто публикуют в объявлениях), то модемное соединение с ним и попытку входа никогда не признают неразрешёнными. Это - часть публичной оферты воспользоваться услугами провайдера.

http://www.it.canterbury.ac.nz/web/internet/telnetgate.shtml
Полагаете этот новозеландский университет, опубликовав эти адреса, инструкции и т.п. на общедоступном сайте, санкционировал всем использование этой системы, разрешив по крайней мере подключение и ввод логинов/паролей первому встречному?

У подсудимого и в мыслях не было модифицировать биллинговую информацию.

Вводя чужие реквизиты, желал, чтобы плата за услуги была начислена ему самому? Имел разумные основания полагать, что в конкретном случае (а не как может быть вообще) билинговая информация не будет изменена? Достоверно знал, что в конкретном случае провайдер не ведет учет доступа пользователя/-ей к услуге, и изменение текущей информации о подключении с реквизитами пользователя Х., не приведет к блокированию возможности самого этого Х. получить доступ к услугам и информации в это же самое время?

[Urix]

Полагаете этот новозеландский университет, опубликовав эти адреса, инструкции и т.п. на общедоступном сайте, санкционировал всем использование этой системы, разрешив по крайней мере подключение и ввод логинов/паролей первому встречному?

Dmitry! А разве это не оферта?