Даже если хакера съели, у него останется как минимум два выхода. А вот если хакера задержали суровые люди в погонах, выходов может оказаться меньше. Обычно в подобных случаях советуют нанять толкового адвоката и надеяться на лучшее, а еще в ожидании развязки можно озаботиться придумыванием пары-тройки надежных отмазок. Какие из них могут сработать, а какие лучше вообще не пускать в ход, мы сегодня и обсудим.
Если тебе интересна тематика противостояния киберпреступников и правоохранителей, рекомендуем ознакомиться с прошлой статьей, в которой рассказывалось, как в России судят киберзлодеев и насколько строга наша судебная система к ним.
В зарубежных фильмах судебный процесс представляет собой поле битвы, где на глазах публики красноречивый адвокат сражается с непреклонным государственным обвинителем, а за всем этим свысока наблюдает судья. На деле же судебный процесс скучен и однообразен. В большинстве случаев все сводится к зачитыванию постановления суда. Состязательность условная, и это неудивительно — ответы на все вопросы получены еще на этапе следствия, а судьи, отлично подкованные в вопросах юриспруденции, в компьютерных технологиях понимают куда меньше и потому плохо различают понятия ransomware, bruteforce и пентест. Иными словами, в своих решениях они часто опираются на заключения следователей.
По этой причине состязание и борьба переносятся на этап следствия. Именно там формируется доказательная база, которая будет потом предъявлена в качестве обвинения. И как раз на этом этапе обвиняемые в совершении компьютерных преступлений пытаются всеми способами оправдать себя и выстроить защиту, проявляя иногда завидную фантазию и смекалку.
- Я не знал, что ПО вредоносное
- Мой компьютер взломали, атаки совершал не я!
- Это не мой IP
- Я ведь ничего не взломал, просто проверил, как это работает
- Я только материал предоставлял
- Я выполнял приказы ФСБ
- Что помогает:
- Активная помощь раскрытию преступления, явка с повинной, особый порядок
- Компенсация нанесенного материального ущерба и морального вреда
- Принесение извинений пострадавшей стороне
- Ходатайство коллектива
- Лекция о недопустимости противоправной деятельности
- По Ru не работал
- Из любви к Родине
- Выводы
Я не знал, что ПО вредоносное
С появления в Уголовном кодексе РФ статьи 273 «Создание, использование и распространение вредоносных компьютерных программ» споры и дискуссии о том, что же все-таки может быть признано вредоносным ПО, не утихают ни на минуту. Оставим демагогию юристам и обратимся к практике.
Основанием для признания ПО вредоносным выступает заключение эксперта. За последние годы «вредоносным» признано большое количество программ и утилит. Среди них ScanSSH, Intercepter-NG, NLBrute, UBrute, RDP Brute, sqlmap, Netsparker, SQLi Dumper, Router Scan, Private Keeper, Havij, Metasploit, Armitage, DUBrute, Lamescan, Fast RDP Brute, njRAT, Acunetix. В эту же кучу эксперты часто сваливают фишинговые страницы, активаторы, кейгены, патчи и банковские трояны.
Помимо явной малвари, в списке присутствуют легальные инструменты для пентеста: например, Acunetix и Netsparker, причислять которые к вредоносным не совсем корректно. Не меньше вопросов вызывает включение в этот список sqlmap, Metasploit и Armitage, которые входят в состав Kali Linux. После этого осталось только запретить саму операционную систему.
Дело в том, что однозначно сказать, является ли ПО вредоносным, невозможно. Определение вредоносности дается всякий раз в зависимости от обстоятельств применения этого ПО. Простой пример: использование Acunetix Web Vulnerability Scanner 8 для выявления уязвимостей специалистами компании на принадлежащем ей ресурсе не образует состава преступления. А вот использование этого же ПО киберзлодеем для взлома чужого сервера делает его вредоносным. Такая правовая коллизия.
В общем, заявление о том, что подозреваемый не имел ни малейшего представления о вредоносности свойств используемых им программ, впечатления на следователей и суд не производят. И смягчению наказания тоже не способствуют.
Мой компьютер взломали, атаки совершал не я!
Неплохая попытка уйти от ответственности. На компьютере был разрешен удаленный доступ по RDP, неизвестный киберзлодей подобрал логин и пароль и творил темные дела, пока настоящий пользователь даже не подозревал об этом.
Опровергаются подобные заявления следующим образом: проводится судебная экспертиза, в результате которой устанавливается, был ли открыт к компьютеру доступ по RDP, когда к нему подключались, присутствуют ли в логах признаки брутфорса.
Также анализируются история и временные файлы браузеров. Присутствие в хистори запросов «как удаленно взломать учетную запись?», «скачать NLBrute» и подобных вряд ли сыграют на руку обвиняемому. Экспертиза также установит наличие вредоносного ПО, время его запуска, наличие зашифрованных файлов-контейнеров, используемые на компьютере средства анонимизации и так далее.
В довершение всего оценивают способности и навыки обвиняемого, исходя из его образования, работы и интересов. Сведения, подтверждающие наличие у него знаний в сфере IT, будут использованы для подтверждения выдвинутого обвинения.
Здесь следует уточнить. Одного лишь факта, что обвиняемый работает системным администратором и интересуется пентестом, будет явно недостаточно, чтобы осудить ни в чем не повинного человека, поэтому все перечисленное выше рассматривается в совокупности.
Это не мой IP
Подобные утверждения легко опровергнуть: запросить у провайдера, кому принадлежит IP-адрес, с которого велись компьютерные атаки. И неважно, использовался статический или динамический IP-адрес, — в соответствии с законом Яровой информацию о выделенном тебе IP-адресе провайдер хранит полгода. Достаточно времени, чтобы собрать необходимые доказательства.
Я ведь ничего не взломал, просто проверил, как это работает
Так отмазываются скрипт-кидди: «Скачал программу, установил, нажал start, а дальше все само как-то получилось…» И ведь они могут быть вполне искренни. Только толку от этого ноль. Сам по себе факт использования вредоносного ПО уже незаконен и влечет за собой уголовное наказание. А если целью атаки «случайно» оказался ресурс, отнесенный к категории «Объекты критической информационной инфраструктуры РФ», то и наказание за такое деяние будет строже, вплоть до лишения свободы на срок от двух до пяти лет.
Я только материал предоставлял
Хищением денег с банковских счетов занимается группа лиц, роли в которой заранее распределены. Помимо кодеров, крипторов, траферов и заливщиков, которые непосредственно взаимодействуют с малварью, туда также входят дроповоды и обнальщики. Их обязанности ограничиваются поиском дропов, работой с ними и переводом денежных средств на предоставленные банковские реквизиты.
Представ перед судом, эти ребята пытаются доказать, что их работа заключалась только в поиске людей и переводе денег. Ни о каких преступных схемах и вредоносном ПО они не слышали.
Такие заявления легко опровергаются результатами оперативно-разыскных мероприятий и следственными действиями. Опрашивают свидетелей, анализируют телефонные переговоры, переписку с другими участниками преступной группы, поднимают банковские транзакции и прочее. Как правило, совокупность всех этих сведений позволяет доказать, что обвиняемый знал, каким образом получены деньги и для чего нужны были банковские карты дропов.
Помимо всего прочего, эти злодеи наказываются еще и по статье 273 УК РФ («Использование вредоносного ПО»). И пусть они не занимались непосредственным запуском и установкой малвари. Следствию достаточно доказать, что деньги похищались организованной группой лиц. Участие в ней автоматически влечет наказание и по этой статье УК.
К похожим способам защиты прибегают и обвиняемые во взломах банкоматов с помощью малвари, такой как Cutlet Maker. Они легко соглашаются с обвинениями в краже денег, но никак не могут понять, о каком вредоносном ПО идет речь. При этом обвиняемые ссылаются на отсутствие у них специальных познаний в информационных технологиях. Это в очередной раз подтверждает, что в наше время «киберпреступником» может стать обычный вор с дрелью, флешкой и USB-шнуром в руках.
Я выполнял приказы ФСБ
Руководитель хакерской группы Lurk наверняка был не первым, кто прибегнул к подобному оправданию своей деятельности. Но именно его заявление получило широкую огласку. Напомню тебе, как было дело.
Обвиняемый в краже 1,7 миллиарда рублей и атаках на критическую инфраструктуру РФ Константин Козловский заявил, что совершал преступления с подачи сотрудников ФСБ. Чтобы придать еще большую значимость этим словам, он взял на себя ответственность за взлом серверов Демократической партии США и электронной почты Хиллари Клинтон в 2016 году. Суд скептически отнесся к подобному заявлению. Минюст США также никогда не заявлял о причастности Козловского к этим компьютерным атакам.
Судебный процесс над участниками группы Lurk продолжается, и, возможно, нас ждут еще более сенсационные и откровенные заявления их руководителя.
Что помогает:
Активная помощь раскрытию преступления, явка с повинной, особый порядок
В подавляющем большинстве уголовных дел киберпреступники прибегают к подобным способам смягчения наказания, если у следствия достаточно доказательств их вины. Это и неудивительно — если у полиции на руках твой жесткий диск с коллекцией малвари, базой для брута и полученными валидными учетными записями, отпираться было бы странно. Можно, конечно, прибегнуть к способам из первой части статьи, но есть шанс испортить все окончательно.
Компенсация нанесенного материального ущерба и морального вреда
За все нужно платить, и чаще всего в денежном эквиваленте. Компенсировать материальный ущерб лучше еще на этапе следствия, тогда суд зачтет это как смягчающее обстоятельство. Если поймать удается только одного из участников преступной группы, то отдуваться он будет за всех собственными средствами. Так часто бывает при задержании дроповодов, обнальщиков и других низкоквалифицированных киберзлодеев.
Принесение извинений пострадавшей стороне
Здесь все просто: правила хорошего тона приветствуются судом. Принести извинения можно в любом виде — лично, по почте, публично. Главное — не забыть зафиксировать это.
Ходатайство коллектива
Положительная характеристика и ходатайство рабочего коллектива часто помогают IT-специалистам, которые совершают киберпреступления, когда изучают основы кибербезопасности и пентеста.
Лекция о недопустимости противоправной деятельности
Относительно новый способ смягчения наказания, который положительно рассматривается на суде. К нему часто прибегают скрипт-кидди, случайно атаковавшие государственный ресурс. Лекции проводятся в университетах, школах или по месту работы. Считается, что это помогает другим начинающим хакерам не встать на скользкий путь преступности.
По Ru не работал
На протяжении долгих лет следование этому принципу позволяло киберзлодеям избегать наказания за совершенные преступления. В последнее время картина меняется. Стали появляться примеры, когда перед судом предстают кибермошенники и преступники, взламывавшие компьютеры иностранных граждан и организаций и похищавшие деньги.
Тем не менее вымогателю из Вологодской области соблюдение этого правила помогло избежать сурового наказания. За зашифровку около 2000 зарубежных компьютеров и получение в качестве выкупа около четырех миллионов рублей ему назначили семь месяцев лишения свободы условно, с испытательным сроком в один год и штрафом в 100 тысяч рублей. Аналогичные действия в отношении российских пользователей наверняка привели бы к более суровому наказанию.
Из любви к Родине
Такими словами объяснил причины киберпреступления активист партии «Единая Россия» из города Сочи. Дело было в далеком 2011 году. Испытывая личную неприязнь к лицам, выражавшим недовольство результатами выборов депутатов Госдумы, он заблокировал телефоны членов избирательных комиссий и сторонников оппозиции с помощью флудеров SkypePhoneKiller, SkypeX, Rings Skyper, Mobile Attacker, SIP Unlock. Также он устроил DDoS-атаки на местные новостные сайты.
Активист получил наказание в виде ограничения свободы, но тут же в зале суда был амнистирован и освобожден от назначенного наказания и судимости в соответствии с постановлением депутатов Госдумы.
Выводы
В попытках уйти от наказания за совершенные преступления киберзлодеи прибегают к самым разным способам. Некоторые звучат весьма цинично, абсурдно и глупо. Результат оказывается закономерен.
Иногда обвиняемые даже не догадывались о том, что совершали опасные деяния. Начитавшись в дарквебе мануалов, как взломать удаленные ресурсы, эти энтузиасты смело бросаются в бой, не задумываясь о последствиях. Возможно, государству стоило бы проводить просветительскую работу среди этой категории пользователей, чтобы предостеречь их от неверных шагов. И делать это было бы здорово не только в школах, университетах и на сайте «Лиги безопасного интернета».
А вот заявления о лояльности и любви к нашей стране могут помочь избежать сурового наказания или значительно уменьшить его. Главное — сделать это искренне. Стоит отметит, что Уголовный кодекс не ограничивает список обстоятельств, смягчающих наказание.
Но лучший способ его избежать — не совершать преступлений. И тогда точно не придется фантазировать на тему «Как это получилось?» или знакомиться с тонкостями российской судебной системы.