Хакни каквото искаш, не го разпространявай и дори да те хванат, няма да има наказание. Звучи глупаво, но точно на това ни научи историята с хакването на НАП.
В Наказателния кодекс на България има цяла глава, посветена на компютърните престъпления. По нея обаче масовото наказание е до 3 години. Което означава, че прокуратурата е длъжна да освободи от наказателна отговорност всеки, който е хванат, че е хакер, но до този момент има чисто съдебно минало. На всичкото отгоре това се случва, след като се похарчат една камара пари за различни експертизи, да не говорим за часовете, в които разследващите са търсили следи, за да установят извършителя. И всичко това, за да може накрая хакерът да получи глоба от 1000 до 5000 лв. И да остане с чисто досие!
Така човек може пак да хакне и да се размине с условна присъда. Чак на третата атака ще влезе в затвора.
Да, ама не, както казваше покойният Петко Бочаров. Затвор ще има само ако всяко следващо хакване е направено след влязла в сила присъда за предишно. А както видяхме от случая с Кристиян Бойков, за престъпление с подобно наказание мярката за неотклонение е подписка. Така той, както и всеки друг с компютърни умения,
може да удари
всички некритични
инфраструктури в
държавата и да
плати само глоби
А подобни данни се търгуват и човек може да изкара мнооооого пари от тях. Чиста инвестиция!
Срещу нея дори можеш да търгуваш с държавна тайна. Защото според НК, който се сдобие с такава чрез хакване, получава наказание до 3 г. затвор. Тоест отново наказанието е административна глоба.
Дали конкретно инвестицията на Кристиян Бойков е добра, предстои да разберем. Защото освобождаването от наказателна отговорност бе предвидено за първото му обвинение, но вече чухме, че той е изпълнител, а има и поръчител. Казаха го главният прокурор Сотир Цацаров и заместникът му Иван Гешев. Младежът вече бе обвинен в тероризъм, защото според обвинението хакерските атаки, които е осъществил, и последвалото разпространение на придобитите бази данни на Националната агенция за приходите целят всяване на паника и страх у населението. Там вече затворът е от 5 до 15 години. Но само и единствено защото файловете бяха разпратени до медиите. Ако не го бе направил, щеше да му се размине. Дори сега съществува тази възможност. Той може да намали присъдата си с 1/3 с признаване на вина, но дори тогава се получава ефективно наказание, ако бъде осъден на минималните 5 г. Но това е особен случай и основното обвинение е за тероризъм, а не за самото хакване.
За да влезе
хакер нетерорист
в затвора, има
едва 6 възможности
Да, ама не. От тези 6 опции едва 2 предвиждат минимално наказание от 5 г. - ударите по критична инфраструктура и тези от банди. При всички други случаи най-вероятната присъда би била условно наказание.
Затова сега пред държавата стои задачата не само да засили защитите на базите данни, но и да приведе наказателната уредба в съответствие със съвременните престъпления.
Все пак
сигурността на
държавните
компютри трябва
да е преди всичко
Защото да ви хакнат с SQL инжекция, е адски тъпо. SQL инжекциите обикновено са 1 ред код, написан на SQL (компютърен език за структурирани запитвания - б.а.). Въпросният код се пуска в някое празно поле за дадена заявка (дори търсачка върши работа). Това я чупи и тя показва колоните и редовете на дадена база данни. А когато имаш имената на тези колони - лесно ги добавяш в нова SQL инжекция и това ти изплюва цялата база с тези идентификатори.
Дори да институциите да си оправят всички системи обаче, държавата трябва да знае, че въпреки всичко те могат да бъдат хакнати. Миналото ни показва, че има и по-изобретателни начини. Реално няма българска институция, която в последните години да не е била подложена на хакерска атака. Опити за проникване в базите данни е имало срещу Министерския съвет, външното министерство, отбранителните комуникации и кой ли още не.
В двата тура на местните избори през октомври и ноември 2015 г. няколко правителствени сайта, сред които и страницата на Централната избирателна комисия, бяха недостъпни. Причината бе огромна и координирана DDoS атака.
Според основната версия това бе начинът на група политически заинтересовани хора да покажат колко незащитено и неподготвено е българското уеб пространство за електронното гласуване. Това бе първият масов пример за хактивизъм в България. Според оперативни данни хакерският удар идва от Москва.
Заподозряна е близката до ГРУ група Fancy Bear. Използвана е т. нар. DDoS технология. При нея към даден сайт се осъществяват стотици хиляди заявки за отваряне на страницата в секунда. В случая с изборите - над 8 милиона в секунда. Това блокира сайта и той не се отваря, защото не може да се справи със заявките. Има два варианта за атака - чрез доброволно участие или с ботнет.
За ударите в деня на изборите е избран вторият начин. За да прикрият следите си, нападателите са използвали “зомбирана” ботнет мрежа. Тя може да се купи за около 10 000 долара на час в т. нар. даркнет. При ботнет атаката използват потребители, чиито компютри са
заразени, например
чрез теглене на
нелегален софтуер,
в който е вкаран ботът. Така хардуерът се превръща в зомби агент, който само чака да бъде използван.
Ботът е вирус, който може да изпълнява автоматични действия, които да навредят на компютъра или друга посочена цел. Изключително уязвими са и смартфоните, които имат по-малко защити. Използването на ботове позволява автоматизацията на различни задачи. Така, осигурил си армия от зомбита, нападателят атакува. За да е по-сигурен, замаскира IP адреса си чрез IP Spoofing, което прави откриването му доста по-трудно.
A ако ги открият - наказанието е до 2 г. затвор...
И докато българските служби търсеха поръчителите на атаката, други непрофесионални хакери показаха, че дори не са нужни компютърни умения, за да се нанесе такъв удар.
На 10 декември 2015 г., ден след оставката на правосъдния министър Христо Иванов, аматьори използваха чешки сайт за шеги, за да разпратят фалшив мейл уж от името на ДБГ и Меглена Кунева. С него бе “съобщено”, че Кунева и партията се оттеглят от властта.
Измамата бе осъществена
през чешкия сайт emkei.cz
Благодарение на него като подател на съобщението излизаше истинският мейл адрес на партията на Кунева.
Измамата с адреса става много просто. При всеки изпратен мейл сървърът на подателя изпраща данните до този на получателя. Той прави проверка и ако IP-тата съвпаднат, писмото минава за действително.
Инструментите за заблуда обаче са изключително лесни. В случая на emkei.cz е качен PHP скрипт на мейл услуга. Авторите на сайта са го написали така, че да може дори да се прикачват файлове като снимки, текст и видео.
Тези ги откриха. Само че това дори не е хакерство, а фалшиви новини. Които пък съвсем не са криминализирани и хиляди сайтове ги бълват всеки ден по разнообразни теми - от имотно състояние на министър (какъвто случай се появи и покрай атаката срещу базите данни на НАП) до това, че норвежки хомосексуалисти пристигат със самолети в България, за да крадат деца от родителите им.
Две години по-рано няколко компютърни спецове пък успяха да се изгаврят с правителството, отново без да нарушават закона.
При написването на думата “оставка” топрезултатът в търсачката на гугъл бе сайтът на Министерския съвет. Атаката бе толкова успешна, че все още е активна - при търсене с ключова дума “оставка” страницата на правителството продължава на излиза на първо място.
Манипулирането става
по два начина
Единият е т.нар. онсайт SEO, или вътрешна оптимизация. При него се извършват подобрения в самия сайт с цел по-добро индексиране. Най-честите методи са добре структурирано и описано съдържание, правилно поставени заглавия и подзаглавия, карта на сайта и вътрешна мрежа от линкове, препращаща към друга част на уебстраницата.
Съществува и оптимизация извън сайта, за който се прилага. Тя се нарича офсайт SEO. При нея се добавят линкове към страницата в други сайтове и се поставя дума, с която да се асоциира заложеният линк. Това увеличава доверието в сайта и го индексира на по-висока позиция.
Същият ефект се постига и чрез поставяне на реклами в други сайтове. Това е основното средство за постигане на гугъл бомба. Така бе ударен сайтът на правителството.
Именно заради липсата на наказание тази атака бе толкова успешна. Защото хората вече знаеха, че тя е безнаказана. Преди нея имаше цели 2 такива. При първата през 2009 г. топрезултатът на гугъл за думата “провал” бе сайтът на МС. През 2011 г. топрезултатът при търсене на думата “Гоце” бе сайтът на президента Георги Първанов.
Така че сега е ред не само на защити. Защото пак ще ни хакнат. А ако това стане, следва да има адекватни наказания. Защото в момента най-тежката присъда за хакерство е колкото за един избит зъб.
Източник: https:www.24chasa.bg
