Опасная профессия - Валерий Комаров

Тот факт, что ФИО1 отправлялся не исполняемый файл с расширением». exe», а часть кода, с учетом вышеуказанных разъяснений Постановления Пленума ВС РФ значения для квалификации содеянного подсудимым значения не имеет.

ФИО11 не являлся лицом, использовавшим указанную программу правомерно для установленных законом целей.

Таким образом, действия ФИО1 суд квалифицирует по ч. 1 ст. 273 УК РФ как использование и распространение вредоносных компьютерных программ, то есть распространение и использование компьютерных программ, заведомо предназначенных для несанкционированного копирования компьютерной информации и нейтрализации средств защиты компьютерной информации.»

(Приговор от 22.10.2024 №1—333/2024)

Самая большая опасность для пентестеров — это обвинение по ст.273 УК РФ, просто за разработку собственных программных инструментов, используемых при проведении пентеста.

Для наступления уголовной ответственности достаточно заключение эксперта, что разработанная программа имеет признаки вредоносного программного обеспечения. Просто наличие на компьютере, можно даже не применять.

«С.П. создал и распространил компьютерную программу, заведомо предназначенную для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации и нейтрализации средств защиты компьютерной информации, совершенные из корыстной заинтересованности, при следующих обстоятельствах.

Так, С.П. действуя с возникшим умыслом на создание и распространение вредоносной компьютерной программы, из корыстной заинтересованности, ввиду обладания достаточными, самостоятельно приобретенными познаниями и практическими навыками в области компьютерной информации, и работы с компьютерным обеспечением, с помощью принадлежащей ему персональной электронно-вычислительной машины, находясь по месту своего жительства, по адресу, приискал на интернет — ресурсе приискал утилиты программного обеспечения «Arachni scanner», осуществляющие поиск уязвимости на WEB-ресурсах, и действуя в указанный период времени во исполнение своего преступного умысла, находясь по указанному адресу, используя вышеуказанные утилиты программного обеспечения «SQLMap» и «Arachni scanner», при помощи языка программирования "<данные изъяты>», создал вредоносную компьютерную программу, предназначенную для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации и нейтрализации средств защиты компьютерной информации, заведомо зная о ее вредоносности, наименовав ее "<данные изъяты> 0», которая в соответствии с заключением эксперта N от ДД. ММ. ГГГГ, может быть использована для неправомерного доступа к компьютерной информации, ее уничтожения, блокирования, модификации либо копирования и нейтрализации средств защиты компьютерной информации.

С.П. признать виновным в совершении преступления, предусмотренного ч. 2 ст. 273 Уголовного кодекса Российской Федерации и назначить наказание в виде лишения свободы на срок два года со штрафом в размере 100 000 (сто тысяч) рублей, с отбыванием наказания в исправительной колонии строгого режима.»

(Приговор от 19.09.2022 №1—207/2022)

А вот так это выглядело глазами обвиняемого

«данная программа не является вредоносной программой, а является программой для тестирования сайтов с помощью которой можно выявить уязвимость сайтов. Пояснил, что им была создана оболочка вокруг данной программы, позволяющая полностью автоматизировать процесс, поскольку сама по себе программа является консольной, поэтому ей пользоваться не удобно, в связи с чем он сделал интерфейс к этой программе для удобства. Сама программа предназначена для автоматизирования тестирования сайтов на проникновение. Данная программа не является заведомо для уничтожения, копирования и тому подобное, она заведомо предназначена для тестирования, что подтверждается ее официальным сайтом и входит во все операционные системы линокс и поставляется вместе с ними. С заключением эксперта он не согласен, поскольку у данной программы есть официальный сайт, торговый знак и официальное лицензионное соглашение, которым разрешено право на ее распространение и использование при определенных условиях. В справке специалист О. дал описание команд полностью исказив все справки. Атакующего режима у программы не имеется. При работе с данной программой сайт как работал, так и работает, даже никто и не заметит, что работает данная программа, то есть она блокирует и не модифицирует. Программа дает полную информацию, при этом если программа находит какой-то адрес, который подтвержден SQL-инъекцией, то она дает полную характеристику, описание, методы проникновения и методы исправления этой ошибки. Вместе с тем, если это злоумышленник, то он, используя эту информацию, может ей воспользоваться, но если тестировщик, то он естественно исправляет. Сам он данную программу не использовал, а лишь тестировал на сайтах "<данные изъяты>», где дается разрешение на тестирование. После тестирования результат всегда был положительный и данные сайты не блокировались после использования данного программного обеспечения, поскольку сайты ее даже не замечали, но программа показывал свою работоспособность. В программу встроен браузер, при этом сама программа не вредоносная, а вредоносными являются действия человека при использовании данной программы, но он таких действий не совершал.

Функционал данной программы заключался в том, что с помощью графической оболочки запускается перечень сайтов, необходимый для тестирования, а созданная им (С.П.) оболочка передает адреса данных сайтов сначала "<данные изъяты>», который сканирует их, определяет все адреса, выявляет среди них то, которые имеют уязвимость, и ссылку с уязвимостью передает в <данные изъяты>», которая проводит полный анализ этой уязвимости и делает полный отчет проведенной работы.»

Но суд посчитал, что «Доводы подсудимого и стороны защиты о том, что созданное С.П. программное обеспечение „WASP 1.0“, не является вредоносными, опровергаются исследованными судом доказательствами, в том числе и заключением эксперта.» и пентестер получил очень серьезное наказание — несколько лет колонии строго режима. Попытки обжаловать приговор безуспешны.

«Подсудимый Ж. виновным себя не признал, пояснив, что работает программистом, имеет высшее профессиональное образование в области информатизации, с 2016 г. работал в компании «…», по заданию которой с целью проведения тестирования на проникновение разрабатывал ПО «…», включающий в себя программы «BeaconDNS», «beacon_dns-admin», «dns-bot-js», предназначенные для удаленного управления, этот комплекс не может несанкционированно производить какие-либо действия, а программа «dns-bot-js» запускается открыто через командную строку, что может быть осуществлено только продвинутым пользователем; файлы tinymet. x64.dll, tinymet. x86.dll не создавал, они были переданы ему работодателем, скачал из сети Интернет, их функциональное назначение состоит в скачивании и запуске программы, им был создан файл «питон», а файлы tinymet. x64.dll, tinymet. x86.dll не изменялись им. Полагает, что выводы эксперта несостоятельны. Оказал содействие оперативному сотруднику, добровольно предоставив коды от компьютерной техники «…", давал объяснения.

Согласно заключению специалиста от 21.08.2020 г.

Программы из папок «…» и «…» являются модифицированными программными комплексами «…», предназначенными для разработки и применения эксплойтов, содержит большой набор готовых вспомогательных утилит, эксплойтов и «полезных нагрузок», позволяющих находить и эксплуатировать уязвимости в вычислительных системах. Несмотря на предназначение комплекса для использования в рамках тестирования защищенности, в частности, в тестах на проникновение, данный комплекс пользуется популярностью у злоумышленников для получения несанкционированного доступа.

Утверждения защитника о том, что созданные Ж. программы «BeaconDNS», «beacon_dns_admin», «dns-bot-js» не являются вредоносными, а представляют собой аналог легальных программ для тестирования на проникновение «…», «…», созданы по заданию работодателя, оказывающего услуги в сфере разработки программного обеспечения по защите информации, а потому эти программы не могут нейтрализовать средства защиты, несанкционированно копировать информацию с удаленного компьютера, не могут быть установлены на нем без ведома пользователя, поскольку для этого требуется создание дополнительной программы, чего не делал Ж., проверены в ходе судебного следствия и не нашли своего подтверждения.

Факты принадлежности Ж. ноутбука «…» c N… и создания им программного обеспечения «BeaconDNS», «beacon_dns_admin», «dns-bot-js» сторона защиты не отрицает.

приговорил:

Ж. признать виновным в совершении преступления, предусмотренного ч. 1 ст. 273 УК РФ, и назначить наказание с применением ст. 64 УК РФ в виде лишения свободы на срок 1 год.»

(Приговор от 29.10.2021 по делу №1—23/2021)

Да, сейчас есть разъяснения Пленума Верховного суда, которые направлены на снижение такого риска, но ими еще необходимо суметь воспользоваться

«Следует иметь в виду, что не образует состава преступления использование такой программы или информации лицом на принадлежащих ему компьютерных устройствах либо с согласия собственника компьютерного устройства, не преследующее цели неправомерного доступа к охраняемой законом компьютерной информации и не повлекшее несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств ее защиты (например, в образовательных целях либо в ходе тестирования компьютерных систем для проверки уязвимости средств защиты компьютерной информации, к которым у данного лица имеется правомерный доступ), равно как и создание подобных программ для указанных целей.»

(Постановление