24 Июля 2024 22:17
Новости
  12:02    5.7.2024

Закулисье нашумевшего вымогательства: авто могли переписать на кого угодно (6)

Закулисье нашумевшего вымогательства: авто могли переписать на кого угодно <span class="comment-count">(6)</span>
Ассоциация профессионалов безопасности (Drošības profesionāļu asociācija, АПБ, DPA) выступила против обвинений в вымогательстве исследователя, который рассказал о "дыре" в безопасности сайта Дирекции безопасности дорожного движения (ДБДД, CSDD), и попросил за это вознаграждение.
Краткая фабула дела такова: в 2018 году Раймонд Скурулс сообщил в государственную Дирекцию безопасности дорожного движения (ДБДД, CSDD) о "дыре" в системе безопасности ее домашней странички e-csdd.lv.

Но вскоре ДБДД и Государственная полиция выступили с совместным заявлением: ДБДД столкнулись "с несанкционированной попыткой получить доступ к регистру транспортных средств и попыткой вымогательства", однако благодаря профессиональным действиям сотрудников дирекции и сотрудничеству с Госполицией удалось задержать предполагаемого преступника.

Попытка исследователя получить вознаграждение за информацию об уязвимости - причем по официальному договору, была истолкована как вымогательство. И на днях был вынесен обвинительный приговор. (Подробнее о сути обвинения и судебного процесса - см. ниже в главе "Дело о "дыре" на e-csdd.lv").

После этого ряд экспертов выступили с критикой такого подхода к "вымогательству".

Могли переписать латвийские авто на кого угодно

В своем комментарии АПБ указывает: члены Ассоциации профессионалов безопасности тоже являются исследователями безопасности, поэтому такой поворот считают тревожным.

Как отмечает член АПБ, работающий в структурах НАТО исследователь безопасности Нил Путниньш, уязвимость, которую обнаружил Р. Скурулс, классифицируется по стандартам OWASP как «A01 Broken Access Control», то есть неисправный контроль доступа. Определение OWASP от 2021 года предполагает, что это самый критичный риск безопасности веб-приложений. В данном случае это легко доказать с помощью методологии CVSS (Common Vulnerability Scoring System является отраслевым стандартом оценки серьезности уязвимостей безопасности компьютерных систем.).

Чем же эта "уязвимость" могла обернуться в реальной жизни? Перерегистрацией любых авто в Латвии в пользу кого угодно.

"Из публично доступной информации можно сделать вывод, что существовала возможность доступа к каждому аккаунту и внесения изменений, в том числе перерегистрации автомобиля другим владельцем. Это означает, что эта уязвимость потенциально угрожала всем владельцам и водителям латвийских авто," - поясняет АПБ.

И делает такой вывод:

"Считаем, что Раймонд Скурулс был обвинен в вымогательстве 1000 евро необоснованно, поскольку, учитывая публично доступную информацию, добросовестно указал на уязвимость и первым делом доложил об этом в CSDD. И только после того, как там - в CSDD, не смогли обнаружить эту уязвимость, Скурулс потребовал за техническое ее описание указанную сумму, так как на ее открытие потратил много времени и посчитал, что такой вклад дарить не надо."

Сколько в таких случаях принято платить

АПБ также приводит примеры, сколько в подобных ситуациях платят в сложившийся мировой практике известные компании:

* к примеру, таксистская платформа «Uber», которая тоже уже столкнулась с утечкой данных и вытекающими отсюда последствиями, предложила за выявление критических уязвимостей исследователю от десяти до пятнадцати тысяч долларов.

* аналогичную практику развивают также платформы «Booking.com» и Udemy, предлагая исследователям три и две тысячи долларов соответственно.

"Абсурдно, что суд требует от исследователя по безопасности оплатить расходы, возникшие в результате ответственности IT-руководителя", - подчеркивает АПБ.

И напоминает: 14 декабря 2022 года принята директива (ЕС) 2022/2555 (а также рад других документов), в которых предусматриваются меры с целью достижения одинаково высокого уровня кибербезопасности во всем Союзе.
И там имеется такая рекомендация:

"Учитывая, что физические и юридические лица, исследующие уязвимость, могут быть подвергнуты уголовной и гражданско-правовой ответственности в некоторых государствах-участниках, государства-участники призываются принять основополагающие принципы о неосуществлении уголовного преследования против исследователей в области информационной безопасности и освобождении их действий от гражданско-правовой ответственности».

Больше всех уязвимости раскрывают индусы

Эксперты по компьютерной безопасности встревожены приговором суда, признавшего известного латвийского изобретателя Раймонда Скурулса виновным в вымогательстве, - в свою очередь сообщило на днях TV3.

Есть опасения, что так называемые "хакеры" перестанут сообщать о своих открытиях, что может привести к еще большим рискам.

Кстати: латвийский орган по надзору за киберпространством cert.lv создал платформу для сообщений об уязвимостях - веб-сайт, на котором каждый может сообщить о "дырах" в IT-безопасности государственных учреждений.

Денег на это не платят, зато можно посмотреть список "хакеров", которые нашли больше всего уязвимостей.

Как оказалось, что активнее всех о недостатках систем данных латвийских государственных органов рассказывают индийские студенты.

Дело о "дыре" на e-csdd.lv

Раймонд Скрулис 15 октября 2018 года позвонил в ДБДД, назвал свое имя, и сообщил, что обнаружил возможную уязвимость в системе авторизации, связанную с государственным регистром транспортных средств и водителей.

И тогда, и по сей день Скурулс считает, что не должен дарить это открытие ДБДД, поэтому он захотел получить компенсацию за свои услуги.

В связи с этим он подписал договор с ООО WeAreDots, привлеченным ДБДД в качестве консультанта, он отправил по электронной почте информацию о уязвимости в системе авторизации на сайта e-csdd.lv, которая давала возможность несанкционированного доступа.

Из материалов дела следует, что, даже имея в кармане договор, Скурулс опасался, что его "кинут" и ничего не заплатят за ценную информацию. Его подозрения не только оправдались, но и превзошли все ожидания - в конце октября руководство ДБДД обратилось с заявлением в Госполицию, - комментирует ситуацию Latvijas Avīze.

Полиция действительно задержала Скурулса и даже поместила на несколько дней в изолятор кратковременного содержания. В итоге следствие нашло доказательства его вины, и дело ушло в суд.

В сентябре 2021 года решением Резекненского суда Скурулс был признан виновным и оштрафован на 12 минимальных месячных зарплат. Пострадавшее предприятие - ДБДД, считает, что обвиняемый нанес существенный материальный ущерб в размере 3459,52 евро. Ущерб возник таким образом: оплата труда трем программистам ДБДД, которые в течение недели так и не нашли "дыру в системе", плюс пришлось платить и компании WeAreDots за консультации.

Обвиняемый обжаловал решение суда первой инстанции в Латгальском окружном суде, который постановил признать его невиновным и оправдать.

Однако с таким приговором не смирился прокурор, который обратился с кассационной жалобой в Верховный суд. Три сенатора приняли решение отменить вердикт Латгальского окружного суда от 2 июня 2022 года полностью и направить дело на новое рассмотрение в Латгальский окружной суд.

И вот, на днях Латгальский окружной суд постановил оставить в силе решение Резекненского суда, согласно которому Раймонд Скурулс должен заплатить штраф (8400 евро), а также компенсировать CSDD якобы причиненный имущественный ущерб - 3459,52 евро. Однако приговор еще не вступил в силу, так как Скурулс сможет обжаловать его в Сенате Верховного суда.

"Сегодня"

Оставить комментарий

Комментарии

  • Мда уже 5 Июля 2024 23:44

    Вымогательство - это получение противозаконной имущественной выгоды посредством принуждения, воздействия на волю потерпевшего. При этом, преступник не сам лишает потерпевшего владения похищаемою вещью, а заставляет его передать владение ею. Одним из способов вымогательства является шантаж — угроза разоблачения либо распространения позорящих сведений. Если бы они заплатили ему и он передал им ложную информацию тогда да. А так я скажу только одно ЦСДД жадные до мозга костей - ниче не умеют делать нормально кроме как стричь бабки. Впрочем. Пофиг. Латвия такая Латвия.

  • мамкинХацкер 6 Июля 2024 09:40

    Вот тебе и баунти хантинг. Т.е. в следующий раз не надо им заявлять, а сразу торговать уязвимость дальше. Так и так статью, в случае чего пришьют.

  • Ppp 7 Июля 2024 17:56

    https://t.me/dimakozzol

  • Eiropas Tiesa 8 Июля 2024 15:10

    Droši pārsūdzēt uz eiropu un atkal Latvija zaudēs...ja jau Tiesībsargs neapstrīdēs šo gadījumu! Pagaidām no pieejamās informācijas, vienkārši notiesāja gudru cilvēku, kurš norādija uz problēmām! Turpmāk visi iedzīvotāji zinās, kā rīkoties, labāk pārrakstīt automašīnu un t.t., bet neziņot par problēmu....kā jau mūsu valstī - labāk nozagt :)

  • Liss 19 Июля 2024 01:26

    I`m sorry COPs. All be back;)

  • Ка зак 19 Июля 2024 02:22

    Маржов, поменяй попа! От твоего педофилией прёт за версту. Тфу! И тогда быть может фарт вернётся)))

4 главные под байкой - Читайте также

Читайте также

4 главные под байкой

Кнопка Телеграм в байках

топ 3 под байкой - Криминальный топ 3

Криминальный топ 3

топ 3 под байкой

Рекомендованно для вас

Криминальный топ 3

Криминальный топ 3

Комментарии

Комментарии