Comments 71
Опять по факту денег уходит на охранителей и социальной группы юристов — авторов размытой двусмысленной чуши в которой без нанятого представителя касты не разобраться, чем на написание хороших сендбоксов. Я вот под этот ваш виндос ни одного не знаю.
Эпидемя no_more_ransom вымогателя длилась на mail неделями в ноябре (и далеко не первая) — чего стоило охранителям почесаться и присечь?
Вот тут очень сложный вопрос. Дело может быть открыто по обращению в соответствующие органы, а соответствующие органы должны иметь возможность собрать доказательства. Чтобы иметь возможность собрать доказательства пострадавший пользователь или компания должны соблюсти определенные процедуры, чтобы доказательства были признаны в суде (вспоминаем про косяки в деле Аэрофлота). Так получилось, что я выступал по этой тематике. В большинстве городов, когда задаешь вопрос залу — а куда вы будете звонить в случае инцидента ИБ/как вы должны собирать процедуры — полное молчание)
В общем сводить все дело только и исключительно к нежеланию власти — очень сильное упрощение
Э нет… юристам и охранителям стоит или трусы одеть или крестик снять. Если закон запрещает зеркалирование и вмешательство в траффик, у нас тут west world и каждый сам себя защитает — я согласен, мне норм.
Но если мой трафик разбавляют реклмой на уровне провадера, зеркалируют всяким imarker, прогоняют мои письма через машины по продаже мне рекламы, складируют на годы — то теперь в этом патерналистском раю должна быть ответсвенность охранителей и юристов. Никто не должен им стучать они и так обязаны видеть правонарушение.
Конечно касперским (которые прекрасно видят что идет эпидемия) нисколько не выгодно с ней бороться. Но мы же ради «безопасного интернета» сдали охранителям и юристам и маркетологам все своми права — где же она наша безопасность?
Мужчину судят за самогоноварение, так как нашли у него дома самогонный аппарат.
— Вы признаете, что гоните самогон?
— Нет, не гоню!
— Аппарат есть, значит гоните!
— Не гоню!
— Ваше последнее слово!
— Прошу судить меня также и за изнасилование!
— А вы еще и кого-то изнасиловали?!
— Нет, но аппарат есть!
Как это ещё до сих пор windows с линуксами и dos'ом не запретили? Это всё вредоносные программы: в них можно УДАЛЯТЬ файлы не спрашивая разрешения особиста, я буду жаловаться!
а еще можно пожаловаться на гугл с его веб-сервисами которые долбятся непонятно куда и сливают информацию не зная кому, а еще любит сам обновлять приложения :)
В Украине там написано про несанкционированное использование и соответственно если используешь дома, то ты сам дал на это разрешение, а если уже у кого-то без его ведома (даже возможно у себя дома, но на общем компьютере когда сел кто-то другой) — то уже виноват, да, ведь никто сам не инициировал работу этого приложения, а оно сработало.
Не только. В/на Украине вообще весело
Адвокат собрал и представил суду необходимые документы, заявил ряд ходатайств, обосновал то обстоятельство, что Р. не является более общественно опасным.

Суд согласился с доводами защиты и прекратил постановлением уголовное дело в отношении Р., освободив последнего от уголовной ответственности по ст.361-1 УК Украины.
Это что получается — инсталлер для своего продукта можно делать, а анинсталлер уже нет?
Да и антивирусы кучу файлов удаляют
Можно конечно. Тут водораздел проходит на моменте уведомления об установке. Если программа устанавливается с уведомлением (инсталлятора или администратора сети) — то все нормально, если нет, то система защиты должна отреагировать. Удаление логично также будет законным, если для деинсталляции запрашивается согласие — или это описано в документации как функционал
Компьютерная программа почти всегда совершает низкоуровневые действия с компьютерной информацией без уведомления пользователя и без получения его явного согласия – копирование данных из одного буфера в другой, очистка буфера и т. п. Поскольку закон не различает низкоуровневые и высокоуровневые действия с компьютерной информацией в контексте статьи 273 УК РФ, то различие нужно проводить через использование понятия общественной опасности (часть 1 статьи 14 УК РФ), которое не имеет прямого отношения к определению вредоносной компьютерной программы, но имеет отношение к квалификации деяния, а также через признак заведомой предназначенности.

Вторым основным признаком вредоносной компьютерной программы будет совершение несанкционированных действий заведомо. Т. е. совершение вредоносной компьютерной программой определенного действия должно обоснованно считаться ее автором неочевидным для пользователя, на чьем компьютере эта программа работает. Одновременно совершение вредоносной компьютерной программой такого действия должно быть очевидным для ее автора. Таким образом, совершение компьютерной программой несанкционированных действий с компьютерной информацией в результате ошибки программирования не является достаточным для признания такой программы вредоносной, т. к. совершаемые действия не являются очевидными для ее автора и не охватываются его умыслом. И, с другой стороны, не очевидные для неопытного пользователя действия компьютерной программы, которые, однако, очевидны для опытных пользователей, не могут быть признаны заведомо несанкционированными, поскольку автор компьютерной программы всегда исходит из предположения о достаточной информированности пользователей его программы (в данном случае отсутствие санкции неопытного пользователя на действия компьютерной программы с компьютерной информацией является следствием его низкого уровня квалификации, которая не могла быть разумно учтена автором компьютерной программы, т. е. такое отсутствие санкции заведомо не входило в замысел автора). Следовательно, заведомая несанкционированность действий компьютерной программы выражается не в отсутствии соответствующей санкции пользователя в конкретном случае, а в предполагаемой автором несанкционированности осуществляемых компьютерной программой действий во всех типовых (а не конкретных) случаях, охватываемых его умыслом (по этой же причине при рассмотрении вопроса о вредоносности компьютерной программы необходимо оценивать совершаемые исследуемой программой действия с точки зрения санкции пользователя компьютера, поскольку иные лица, наделенные правом санкционировать действия с компьютерной информацией, в умысел автора вредоносной компьютерной программы никак не входят, т. к. не занимаются непосредственной работой на компьютере, а их право давать санкцию на действия с информацией носит исключительный юридический характер и технически реализуется через другое лицо — пользователя компьютера).
Да, абсолютно верно
— ошибки программы не дают права относить ее к вредоносной
— если в документации описан весь функционал, но пользователь его неверно использует (выстрел в ногу) — это тоже не делает программу вредоносной

Отличный комментарий. Действительно определение виновности производится не только на основе 272/273/274 УК РФ, но и на основе иных статей, в частности ст. 24, 25, 26 УК РФ. Скажем
Статья 28. Невиновное причинение вреда
1. Деяние признается совершенным невиновно, если лицо, его совершившее, не осознавало и по обстоятельствам дела не могло осознавать общественной опасности своих действий (бездействия) либо не предвидело возможности наступления общественно опасных последствий и по обстоятельствам дела не должно было или не могло их предвидеть.
2. Деяние признается также совершенным невиновно, если лицо, его совершившее, хотя и предвидело возможность наступления общественно опасных последствий своих действий (бездействия), но не могло предотвратить эти последствия в силу несоответствия своих психофизиологических качеств требованиям экстремальных условий или нервно-психическим перегрузкам.

Квалификация адвоката здесь очень и очень важна
Как за «оскорбление чувств верующих» — достаточно устного заявления! Пример — в Питере учителя йоги пытались судить, сейчас снова пытаются. Причём по заявку какого-то типа просто участковому! ))) А здесь "… соблюсти определённые процедуры..". Всё зависит от того, что надо это власти или нет…
Ну так в том случая была лекция, был полный зал — доказательство налицо (и кстати еще вопрос был ли прозелитизм или просто лекция — то есть по доказательствам не все чисто), а тут его еще найти нужно.
Однако дело быстро в суд передали и без всяких экспертиз. Хорошо судья умная попалась. Но сейчас вроде проскочила новость, что будет «вторая часть марлезонского балета» )))
Почему такие вопросы вообще возникают? Новое время, новые дебильные люди хотят не только вирус написать, но и денег за него получить, и в инстаграме пропиариться, и в резюме себе его записать.
Еще в эпоху ДОС помню, что на компе приятеля, на котором были признаки заражения, создал пустой экзешник, который спустя какое-то время с 4-х байт вырос до пары килобайт. Пойманный таким образом вирус был записан на дискету с целью «поисследовать» и сгинул вместе с дискетами. А оказывается, что за это могли за хранение привлечь…

И еще интересно, под какую статью попадают нанявшие программистов для написать зловреда… Это ж уже давно бизнес, а не творчество для самовыражения… И был ли хоть один прецедент, чтобы организаторов известных ботнетов и атак находили и что-нибудь с ними делали?
Это скорее всего будет преступная группа с соответствующими статьями. Программист пойдет за создание и распространение (копирование/пересылка), заказчики — организация группы, распространение и использование. Части 2 или 3 273 УК РФ + паровозиком за конкретные деяния
А уж разработчиков антивирусов на 100% можно за хранение привлечь, у них же наверняка найдутся исходники и бинарники известных вирусов :) Про разработчиков ОС и другого ПО вообще лучше не упоминать, т.к. за любую уязвимость можно привлечь получается…
Неа. Могут работать с вредоносными программами — естественно при определенных условиях. Пройдите по ссылкам
«Вспоминаем, что информация — это любой бит на компьютере» — насколько мне помнится, любой бит — это ДАННЫЕ, но не информация.
Точнее конечно информация это
сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

Законописатели тут конечно перебдили с определением, под информацией можно что угодно считать по закону,

Мир юристов — это особый мир
В одном документе есть очень интересное определение МНИ, по которому чистый носитель (диск, флешка, etc) носителем не является т.к. на нём НЕТ информации. ))))
Зависит от требований закона. Сравните текущую формулировку 273 УК РФ и предыдущий вариант: «доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации»

На данный момент это информация, но так было не всегда. Вот здесь неплохо об этом
Речь шла про то, что современные накопители (носители) «чистыми» не бывают, за редким исключением.
Там такая формулировка, что служебка туда не попадает. Тем более — какая служебная информация на новом CD или DVD.
Вот за это хороших юристов и ценят — за умение подобрать нужные положения законов и прецеденты

Недавно одному знакомому заказали программу, которая создает у пользователя прокси-сервер и позволяет третьим лицам к нему подключаться. Программа специально не скрывается, но и в явном виде о себе не сообщает. Остались сомнения, будет ли заказчик извещать своих пользователей, что конкретно делает программа. Вопрос: в случае чего, знакомого посадят?
UFO landed and left these words here
У заказчика понятно, а к программисту «заведомо» вроде не подходит.
Это преступная группа с разделением ответственности. В одном из комментариев ситуация описана
1. Сядет или нет — этот решает суд по совокупности статей, ущербу и тд. Здесь мы можем обсудить — какие статьи ему могут предъявить
2. С моей точки зрения описания программы недостаточно. В принципе ее можно отнести и у устанавливаемой без уведомления
Это все зависит только от одного — с какой целью это делается? Либо это клиент магазина игр, который использует p2p, например, для загрузки контента в фоне, либо «рядовой» армии ботнета, который использует ровно тот же p2p, но уже для DDoS-атак.
Ясное дело, но сами понимаете — заказчик не говорит: «Напишите нам ботнет».
Кому-то не говорят. Кому-то сразу говорят. Иногда говорят, но потом. Даже если не скажут, то пойдут специфичные баг-репорты, по которым может стать (а может и не стать) очевидно, что речь идет о вредоносной программе. Тут все зависит от конкретных обстоятельств.
Господа, а что Вы думаете по поводу использование утилит для тестирования на проникновения, в ходе официальных (по договору) работ по тестированию на проникновение? Ведь часть утилит использует функционал «вредоностного» ПО.
Как и утилиты удаленного управления, хакерские утилиты — все это может быть использовано двояким образом. Если документация на них полная, ставятся они честно — это не вредоносное ПО. Но вот их использование может уже пройти по статье. Недавно в блоге панды была о подобном примере статья
Так про то и речь, если ты используешь их в ходе официальных работ, получая доступ к информационным системам заказчика, без ведома системного администратора? (но при этом высшее руководство в курсе о проводимых работах).
Тут не совсем так все.
1. Распространенная ошибка думать, что суд будет только и исключительно по 272 или 273. Будет кража, мошенничество, халатность, малость ущерба и тд и тп — целый букет
2. функционал программы (по второй ссылке) мало будет волновать в составе букета. Будут играть цели и действия

По сути нет смысла ломать копья над определением вредоносности — суд будет смотреть по логике жизни, исходя из критерия «все врут, но надо уложиться в рамки статей законов»
Судить будут по набору статей, поэтому в составе набора будут рассматриваться действия и последствия (естественно, если адвокат хороший). Соответственно в данном сферическом случае имеет значимость санкционированность. Дело в том, что против пентестера дела само собой не возникнет (если он только не начнет рассказывать про подвиги налево и направо). В полицию заявление должна подать компания. Если вы по договору — нет заявления, нет дела
Свежак
На след новой неизвестной кибергруппировки эксперты «Лаборатории Касперского» вышли в конце 2016 года, когда один из банков в СНГ обратился в компанию с просьбой расследовать подозрительную активность в своей сети. В памяти сервера банка было обнаружено ПО для тестирования на проникновение Meterpreter, которое в настоящее время часто используется во вредоносных целях


Вспоминаю забавный случай из эпохи DOS. Попалась программка для NLQ-печати в графическом режиме, которая свою работу выполняла, кхм, своеобразно. Нормальный способ NQL-печати состоит во множественном, например, двойном проходе каждой строки, а эта программа дважды проходила каждый символ. Представили, с какой страшной силой принтер ходил по столу во время её работы? И как изнашивался.
Де факто такую программу, конечно, вредоносной не признают, но де юре она была таковой — наносила вред принтеру.
Любая программа, выводящая на печать, наносит вред принтеру — он от этого изнашивается. А вот то, что какую-то задачу можно выполнить оптимальней в плане расхода ресурсов — за это не привлекают. Иначе всех разработчиков современного ПО (и игр особенно) давно бы пересажали (ведь сколько подобных ошибок в них — не пересчитать).
Не совсем так. За ошибки в программе действительно не привлекут. Привлекут за нарушение процедур. Поэтому вопрос еще нужно ли внедрять всякие агиле или лучше оставить бардак :-)
Под вредоносными программами в смысле комментируемой статьи понимаются программы, специально (заведомо) созданные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены, что определено в документации на программу.

Это ж получается, все антивирусы вне закона. Ведь они специально созданы для нарушения нормального функционирования вирусов.

Ударяться в буквоедство — так ударяться: только если вирус имеет документацию.

Так кто ж ее не имеет? Или вы думаете, что их на коленке вечерком под пивасик пишут? Да и статья эта вроде является ответом на другую, где все расписано (хотя ее и удалили уже, как видно).

есть и такие. сервисы есть — хочешь шифровальщик получаешь
Нет. Они устанавливаются по разрешению — не скрываясь и имеют полное описание функционала. Нет несанкционированности.
И более того антивирусам разрешено при определенных условия все это делать — по ссылкам комментариев пройдите

Ну так троян-шифровальшик тоже устанавливается по разрешению (сами же запустили из письма! Правда, мне кажется, все это байки — не могу представить себе, кому в голову придет что-то запускать из письма, тем более от незнакомых личностей), не скрываясь (UAC предупредил! сами дали разрешение на установку) и имеет полное описание функционала (диск зашифрован, столько-то биткойнов пожалуйте в кассу).

Устанавливая шифровальщик, пользователь ещё не знает, что он таковым является, иначе бы не устанавливал. Программа сообщает о своём предназначении лишь после установки и запуска.

Как-будто легитимные программы не могут устанавливать также. Пришел админ, дал флешку, сказал запустить вот эту хрень. В чем отличие?

— установка санкционирована
— программа устанавливается инсталлятором явно — ее видно
— программа не заведомо вредоносная
— до момента установки пользователь может скачать полную документацию

В том случае, что я описал:


  1. кем санкционирована установка? Предположим, включен Автозапуск.
  2. инсталлятор в тихом режиме
  3. кто сказал?
  4. вы сами говорите, что вся дока есть

По вашей логике получается, что что угодно в таком сценарии можно признать вирусом, в том числе и антивирус.

Не совсем конечно, но «заведомо вредоносным» все же будет вирус, а не антивирус. Грань конечно для многих вредоносных образцов будет зыбка, поэтому будет оцениваться по последствиям установки
Нет. Трояны устанавливаются без разрешения или обманом — разрешения на шифрование или блокирование экрана им никто не давал. Ну и функционал в доступной для пользователя форме не дается. Зачастую функционал описывается неверно. Скажем файлы не шифруются, а удаляются и тд.

Есть редкие исключения — типа адвари, которую ставят не глядя

Разрешения блокировать вирус антивирусу тоже никто не давал. Яндекс-браузеры тоже устанавливаются почти обманом — зазевался, забыл снять галочку — у вуа-ля. Ну удивлюсь. если есть "антивирусы", устанавливаемые так же.


Ну и функционал в доступной для пользователя форме не дается.

Вот с доступностью, как мне кажется, там должно быть на высоте. Если пользователь не сможет понять, как заплатить, то нафига такой вирус вирусораспространителю?


Трояны устанавливаются без разрешения или обманом

Запустится обычный инсталлятор, даже лицензионное соглашение покажет (кто их читает, да еще в такой издевательской щелке?), где-то в конце которого будет написано, что де вы соглашаетесь на шифрование диска. Нажатие отмены может интерпретировать, как согласие. Все мы люди, понимаем, что программ без багов не бывает ;)


Зачастую функционал описывается неверно.

Ну, это особенности конкретной реализации, которые всегда можно списать на баги

Разрешения блокировать вирус антивирусу тоже никто не давал

Ну как же. Настройки есть, там действие прописано

«антивирусы» есть. Лжеантивирусы или антиантивирусы. Полно их. Вот свежее

то нафига такой вирус вирусораспространителю

Вы не поверите, сколько хрени нам попадает нерабочей, портящей все вокруг. В новости попадают только самые успешные. зайдите и посмотрите количество

Что-то защиткиков троянов много. Кто бы за антивирусы заступился :-)
Ну как же. Настройки есть, там действие прописано

В которые вы не залезете, пока его не установите. Никаких отличий от вируса (у которых настроек правда нет, но выносить приговор из-за отсутствие настроек… скользкая дорожка). Да и по умолчанию он-то включен на блокирование. Еще небось и компоненты свои удалить не дает — препятствует нормальному функционированию компонентов ОС.


Вы не поверите, сколько хрени нам попадает нерабочей, портящей все вокруг.

Распределенный CI :)


Что-то защиткиков троянов много.

Я не трояны защищаю, а пытаюсь подвести железную логику под детектор малвари. Пока что все на честном слове держится

Я больше скажу. Есть вирусы, предоставляющие техподдержку (сейчас не помню, но было), есть вирмейкеры, поддерживающие партнерскую программу и тд и тп

Так и под операционную систему можно докопаться — которая предустановленна. Скажем и Linux и Windows содержат сервисфы шифрования. Современным вирусам можно использовать для своих целей многие вещи из состава ОС.

Это достаточно зыбкая грань. Я тихо предполагаю, что в реальности дело будет решаться по совокупности статей и по слову заведомо вредоносная
Как-то всё совсем… странно грустно.
Если не проверяется компилируемость и работоспособность вируса/трояна, нет уточнений по языкам разработки, то даже вот это является вредоносным ПО?
И при этом никого не волнует, что таких функций в природе не существует.
#include "вирус.cpp"
void main() {
while (найти_ещё_незараженный_компьютер()) {
заразить_компьютер();
запустить_вирус();
}
}


А уж публикацию команд вида:
rm -rf /
format c: /f

можно считать доказанным фактом создания и распространения вредоносного ПО (даже с уточнением о возможном уничтожении данных)… да? :(
Если лицо, публикующее такую команду, обманет своих читателей, сообщив, будто после ввода команды компьютер начнёт какать бабочками из вентилятора блока питания — да, это попадёт под определение вредоносного кода.
Помню был эпичный случай во времена FIDO. Товарищ написал типа — помогите разобраться, что данный код делает — и шикарный регексп. Народ не думая лукаво ввел в командную строку — оказалось rm -rf
Мы живем в несколько ином мире, чем юристы. В нашем мире мы привыкли к тому, что набрал команду и если нет багов — получил предсказуемый результат. Там не так.

Представьте себя на месте судьи. Каждый день десяток дел, «все врут»(С), ты не являешься специалистом по всем отраслям жизни. При этом доказательства собраны с нарушением процедур, эксперты несут чушь («заключением установлено, что при полной фазе луны слово загрустить, которое написал обвиняемый превращается в заразить»). Судьи в массе не плохие и не хорошие — они уставшие. Поэтому дело будет решаться:
— в зависимости от предъявленных статей
— полноты доказательств
— наличия ответчика
— прецедентов (сложившейся практики)

По поводу команд — в зависимости от. Скажем вот — вымогательство без единого вредоноса
Only those users with full accounts are able to leave comments. Log in, please.