Самое горячее: Европа признала соцсети опасными (50); "Фобос-Грунт" уже не спасти (11); Мобильники убивают детей (26); ЕЩЕ >>
РАЗДЕЛЫ
Архив
« июнь 2020  
пн вт ср чт пт сб вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          

О "хакерах мультисимок"

Ноу-хау | 30.08.2010 01:39

В конце прошлого года я написал две статьи про доблестных сотрудников "отделов "К"", и во второй из них подробно разобрал несколько типовых схем, по которым "кашниками" (впрочем, не только ими) незаконно возбуждаются уголовные дела в сфере "высоких технологий". Правда, разобранными оказались не все схемы, и сегодня мы продолжим, благо повод представился.

На днях Муравленковский городской суд ЯНАО вынес обвинительный приговор Ильнару Кантуганову, обвинявшемуся в "несанкционированном взломе SIM-карт". Этот молодой человек был приговорен к восьми месяцам лишения свободы условно. По мнению следствия, его вина состояла в том, что он "по просьбе своих клиентов взломал с использованием компьютера защищенные сектора памяти их SIM-карт", а затем скопировал полученную информацию на так называемую "мультисимку". Предназначена она для быстрой смены мобильного оператора без смены физической SIM-карты.

Как это часто бывает, пресса писала об этом много и охотно, зачастую излишне демонизируя "преступника". Коллеги из "Интерфакса" назвали его поступок "мошенничеством с сим-картами", а официальный городской сайт – и вовсе клеймил то "телефонным хакером", то "компьютерным пиратом".

У множества читателей могло создаться впечатление о том, что все было именно так, как написал "Коммерсант" - злобный хакер наворовал данных из "защищенных секторов", а затем продавал за мелкий прайс. Однако, расспросы сотовых операторов позволили выяснить, что клонирование симок, оказывается, проводилось "по обоюдному согласию" и карты для него предоставлял сам абонент.

У тех, кто знаком с технологией такого клонирования, последняя версия вызывает больше доверия. Дистанционно коды, необходимые для создания копии, получить невозможно, требуется иметь саму SIM-карту. Процесс нахождения кодов занимает длительное время (лично у меня в последний раз получилось больше двух часов). Фактически при этом происходит подбор специального KI-кода, который в открытом виде на карте не хранится. То есть, для создания копии карту необходимо изъять у владельца на довольно долгий срок, незаметно сделать этого невозможно.

История вопроса

Уголовные дела за перепрошивку сотовых начались где-то во второй половине девяностых годов. Связь тогда была дорогая и создать перепрошивщикам имидж "сотовых пиратов, звонящих за чужой счет" нашей прессе труда не составило. Однако уже тогда этот имидж не соответствовал действительности.

Пример из специальной литературы:

"Уголовное дело №77772 возбуждено 1 сентября 1999 года СЧ СУ при УВД ЮАО г. Москвы по признакам преступления, предусмотренного ст.272 ч. 1 УК РФ.
Предварительным следствием по делу установлено:

... Пискунов вступил с не установленным следствием лицом в сговор, направленный на совершение неправомерного доступа к охраняемой законом компьютерной информации, а также на пользование возможностями "Сотовой сети "Сонет" путем эксплуатации телефонов-двойников без оплаты владельцу оборудования сети, которым является ОАО "Персональные коммуникации", стоимости подключения и ежемесячной абонентской платы."

Обратите внимание: речь идет не о звонках за чужой счет, а об оплате подключения и абонплате за клонированный телефон. Именно в такой ситуации оказался первый "прошивальщик", который связывался со мной лет пять назад, и просил совета. В их регионе местный CDMA-оператор ввел драконовский тариф на подключение новых телефонов к сети. Подключение такое осуществляется путем прошивки телефона, с записью в него кодов, идентифицирующих абонента. Купив новую трубку и увидев, сколько придется заплатить, чтобы начать ею пользоваться, абонент предпочитал посетить с этим вопросом "хакера". В результате такого клонирования у него на руках появлялось две трубки с одинаковыми номерами.

Ничего, кроме удобств, такая ситуация не создавала: пользоваться связью можно было нескольким членам семьи либо из нескольких мест. Все потребленные услуги оплачивались "легальным пользователем" телефона, который даже экономил на этом, не платя дополнительную абонентскую плату. Конечно, кодами мог воспользоваться и "хакер". Но учитывая нравы девяностых и тогдашний круг пользователей мобильной связи, это было бы неразумным: хозяин телефона мог и ноги переломать...

Разумеется, сотовых операторов не устраивала ситуация, когда кто-то экономит на их услугах. Именно они стали первыми инициаторами таких уголовных дел и "потерпевшими" по ним. Большое, блин, спасибо!

Девяностые прошли, CDMA-сети сменились GSM-сетями, а "треглавый" закон "Об информации, информатизации и защите информации" сменился на другой "треглавый", который не "об информатизации" уже, а "об информационных технологиях". А вот проблемы у "перепрошивщиков", как мы видим, остались старыми, из девяностых...

Санкции на доступ

В большинстве договоров с сотовыми операторами вопрос о создании клонов карт не урегулирован, как и вопрос о том, как осуществляется обработка информации в телефоне и на SIM-карте. Некоторые операторы запрещают использование карты третьими лицами для создания копии. Однако копирование самим владельцем или по его просьбе под этот запрет не попадает.

Представители мобильных операторов, как правило, смотрят на мультисимки сквозь пальцы, хотя и "не рекомендуют". Понять их можно: при быстрой смене оператора абонент может использовать преимущества разных тарифов, а недостатки их, наоборот, не замечать. Вдобавок, связь дешевеет и чинить разборки из-за таких смешных сумм никто не будет.

Совсем другого мнения придерживается наша доблестная милиция, "раскрывающая преступления" - для "палки" по статье 272 ущерб не имеет значения. Поэтому позже по подобной схеме "хакеры" стали привлекаться к ответственности не только за перепрошивку кодов, но и за руссификацию телефонов и обновление их прошивок.

Обычно для обоснования "неправомерного доступа" используется следующая конструкция: информация, находящаяся на SIM-карте, объявляется "собственностью сотового оператора". Исходя из этого, следствие делает вывод о том, что трогать такую информацию ни в коем случае нельзя без его разрешения.

Но неувязка здесь в том, что понятие "собственности на информацию" на законе не основано: с 1 января 2008 года, в связи со вступлением в силу четвертой части ГК, информация была исключена из числа объектов гражданских прав. Да и ранее право собственности, согласно статье 209 ГК, распространялось только на имущество. К которому информация никак не относилась. Однако выражение "собственник информации" успело попасть даже в несколько законов, благодаря часто встречающейся небрежности законодателя. А затем оно пошло в народ, и до сих пор там ходит.

Но если читать упомянутый уже "треглавый" закон, который регулирует информационные правоотношения, то вам не удастся найти никакого подтверждения тому, что доступ к данным на SIM-карте – "несанкционированный".

Правильные определения

Приступая к чтению, стоит помнить одну концептуальную особенность этого закона. Дело в том, что он относит к "информации" только то, что называется в обиходе "данными" - то есть, сведения или сообщения. Программы же этот закон косвенно относит к "информационным технологиям", под которыми понимаются "процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов".

Нам потребуется два определения из второй его статьи. Первое – это "обладатель информации", под которым понимается "лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам".

Как мы видим, от "собственника" обладатель отличается: им может быть не только тот, кто "создал информацию". Мобильный оператор, разумеется, является "обладателем". Но во ограничил ли он как-то доступ к информации на SIM-карте? В пользовательских договорах операторов об этом нет ни слова.

Многие путают информацию с объектами, охраняемыми авторским правом, и применяют в такой ситуации общее копирайтное правило - о том, что "отсутствие запрета не считается разрешением". Но в самом законе "Об информации...", в первой статье, написано, что он не применяется к отношениям в области "интеллектуальной собственности". ИС и информация – это разные вещи, а в информационном законодательстве нет такого правила. Для того, чтобы пресечь доступ к информации, обладатель должен для начала явно сформулировать запрет, чего мы не наблюдаем.

Теперь нам нужно второе определение – "оператор информационной системы". Под "системой" закон понимает совокупность из технических средств с хранящейся в них информацией и программами для обработки этой информации (это – все из той же второй статьи). А "оператор" – это "гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных". Если вы поняли концептуальную особенность, о которой я говорил, то без труда поймете, что "обладатель" отвечает за "информацию", а "оператор" – за "информационные технологии".

Согласно второй части статьи 13 закона, оператором считается "собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы". То есть, это владелец SIM-карты и сотового телефона, в который эта карта вставлена.

Один из руководящих документов, содержащих термины и определения из области защиты от несанкционированного доступа, включает в понятие "обработки информации" ее "копирование, модификацию или уничтожение". В отсутствие запретов на доступ к отдельным областям SIM-карты оператором ИС может обрабатываться любая информация на ней. Если же сотовые операторы хотят запретить клонирование не только третьим лицам, но и всем вообще – они должны писать об этом в договоре отдельно.

(Кстати, если сравнить тексты статьи 272 УК и определения "доступа" из "руководящего документа", то выяснится, что УК устанавливает ответственность только за "обработку", а кроме нее, под "доступом" понимается еще и простое ознакомление с информацией. Отсюда следует вывод о том, что само ознакомление не попадает под уголовную статью: для наступления ответственности информацию нужно хотя бы скопировать.)

Но даже если они начнут массово вписывать в договоры такой запрет, останется еще одна проблема: в таком случае информация на SIM-карте будет охраняться договором. А для применения соответствующих статей УК нужно, чтобы охранялась она законом. Согласитесь, что привлекать к уголовной ответственности за нарушение гражданско-правового договора – как-то слишком уж жестко.

Именно для этого служит вторая часть работы следствия: необходимо "притянуть" к спорным данным какой-нибудь закон. Чаще всего – "О коммерческой тайне", как и в нашем случае.

Коммерческая тайна

К сожалению, мало кто из работников высокотехнологичных "отделов "К"" дочитал этот закон до конца. Все обычно ограничиваются первой его статьей, в которой содержится определение КТ:

"информация, составляющая коммерческую тайну, – научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны".

Обычно обвинение по 183 статье УК строится на том, что спорная информация имеет-де "коммерческую ценность в силу неизвестности ее третьим лицам", и это считается достаточным.

Между тем, основное требование закона о КТ – введение так называемого "режима коммерческой тайны". Первая часть статьи 10 закона определяет перечень так называемых "мер по охране конфиденциальности информации". Всего их пять:

"1) определение перечня информации, составляющей коммерческую тайну;

2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

5) нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства)."

А вторая часть статьи говорит о том, что "режим коммерческой тайны" считается установленным только после того, как обладатель информации выполнит все эти требования. Так что если на SIM-карте нет надписи о том, что она содержит "коммерческую тайну" - уже этого достаточно для того, чтобы содержащаяся на ней информация под закон о КТ не попадала. Вот так.

С сожалением приходится в который уже раз констатировать, что когда наши органы "раскрывают высокотехнологичное преступление" – уж лучше бы они этого не делали.

разделы: Ноу-хау | Право

Другие ноу-хау

Последние комментарии
об издании | тур по сайту | подписки и RSS | вопросы и ответы | размещение рекламы | наши контакты | алфавитный указатель

Copyright © 2001-2020 «Вебпланета». При перепечатке ссылка на «Вебпланету» обязательна.

хостинг от .masterhost