В апреле 2009 один сайтовладелец отписал в местном форуме предложение посмотреть его новый сайт. Общественность восприняла просьбу неоднозначно. Кто-то стал оценивать дизайн, кто-то указывал на погрешности в вёрстке, иные высказались об экономическом аспекте самого проекта. А герой нашего рассказа решил проверить этот ресурс на уязвимости.
Долго искать "дыру" ему не пришлось. Сайт оказался сделан на распространённом движке (content management system - CMS), а доступ в его административный интерфейс был
закрыт дефолтным паролем (т.е. паролем по умолчанию, который устанавливает производитель).
Наш герой поступил так, как ему подсказала совесть. Сменил дефолтный пароль на новый (чтоб закрыть уязвимость) и написал сайтовладельцу сообщение об этом, прибавив о своей готовности передать новый пароль. Правда, сообщение не отправил по электронной почте, аське или СМС, а оставил на титульной странице сайта. Наверное, чтоб не потерялось и быстрее дошло.
Минут через двадцать админ веб-сайта стукнулся к нашему самозваному пентестеру в аську, и тот ему сообщил новый пароль.
Сайтовладелец немедля пишет заявление в милицию, и там возбуждают уголовное дело по ст.272. Неправомерный доступ к охраняемой законом компьютерной информации. Доступ к информации был? Был, однозначно. Правомерный? Вроде, нет. Информация охраняется законом? Как будто, да. Виновен!
Одна особенность в том, что
ФЗ "Об информации...", на который ссылается обвинение, напрямую не говорит об охране
доступности и
целостности контента веб-сайта.
Статья 7
1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.
2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
Таким образом, контент публичного веб-сайта относится к
общедоступной информации, которая конфиденциальной не является. А про целостность данный ФЗ не упоминает. (Разумеется, контент охраняется авторским правом, но уже не как
информация, а как
произведение - это иная ипостась и иная отрасль права.)
Таким образом, добавление текста к титульной странице чужого сайта нарушением
конфиденциальности не является. А
целостность общедоступной информации де-юре не охраняется.
Вторая особенность дела в том, что его следовало бы рассматривать как действия в условиях
крайней необходимости.
Статья 39. Крайняя необходимость
1. Не является преступлением причинение вреда охраняемым уголовным законом интересам в состоянии крайней необходимости, то есть для устранения опасности, непосредственно угрожающей личности и правам данного лица или иных лиц, охраняемым законом интересам общества или государства, если эта опасность не могла быть устранена иными средствами и при этом не было допущено превышения пределов крайней необходимости.
Нормальное функционирование веб-сайта, очевидно, относится к тем самым
интересам общества и
правам лица-владельца сайта, которые охраняются ст.272 УК. А дефолтный пароль, безусловно, есть
опасность, которую неплохо бы устранить. Чем быстрее, тем лучше, пока черви с вирусами её не нашли.
Админ сайта не отрицает, что "взломщик" передал ему новый пароль. Однако утверждает, что пароль оказался неверным. Противоречие можно устранить, проанализировав логи веб-сервера и посмотрев, кто, с какого IP и в какие моменты времени авторизовался. Однако следователь этого не сделал. И даже не провёл
как положено выемку логов, ограничившись получением их копии
от потерпевшего.
Также админ и сайтовладелец утверждают, что за "восстановление" сайта второй заплатил первому 50 000 рублей, которые теперь надо взыскать с подсудимого. (Интимная подробность: шелл-доступ и доступ в БД оставались нетронутыми.)
Предварительное следствие закончено. Обвинение сформулировано, свидетели допрошены. Завтра прения сторон - и затем приговор.
Пруфлинк с завязкой и скриншотом дефейса.
Прошу уважаемых юристов высказать свою оценку квалификации деяния. Неюристов прошу воздержаться.