Закулисье нашумевшего вымогательства: авто могли переписать на кого угодно (3)

Краткая фабула дела такова: в 2018 году Раймонд Скурулс сообщил в государственную Дирекцию безопасности дорожного движения (ДБДД, CSDD) о "дыре" в системе безопасности ее домашней странички e-csdd.lv.

Но вскоре ДБДД и Государственная полиция выступили с совместным заявлением: ДБДД столкнулись "с несанкционированной попыткой получить доступ к регистру транспортных средств и попыткой вымогательства", однако благодаря профессиональным действиям сотрудников дирекции и сотрудничеству с Госполицией удалось задержать предполагаемого преступника.

Попытка исследователя получить вознаграждение за информацию об уязвимости - причем по официальному договору, была истолкована как вымогательство. И на днях был вынесен обвинительный приговор. (Подробнее о сути обвинения и судебного процесса - см. ниже в главе "Дело о "дыре" на e-csdd.lv").

После этого ряд экспертов выступили с критикой такого подхода к "вымогательству".

Могли переписать латвийские авто на кого угодно

В своем комментарии АПБ указывает: члены Ассоциации профессионалов безопасности тоже являются исследователями безопасности, поэтому такой поворот считают тревожным.

Как отмечает член АПБ, работающий в структурах НАТО исследователь безопасности Нил Путниньш, уязвимость, которую обнаружил Р. Скурулс, классифицируется по стандартам OWASP как «A01 Broken Access Control», то есть неисправный контроль доступа. Определение OWASP от 2021 года предполагает, что это самый критичный риск безопасности веб-приложений. В данном случае это легко доказать с помощью методологии CVSS (Common Vulnerability Scoring System является отраслевым стандартом оценки серьезности уязвимостей безопасности компьютерных систем.).

Чем же эта "уязвимость" могла обернуться в реальной жизни? Перерегистрацией любых авто в Латвии в пользу кого угодно.

"Из публично доступной информации можно сделать вывод, что существовала возможность доступа к каждому аккаунту и внесения изменений, в том числе перерегистрации автомобиля другим владельцем. Это означает, что эта уязвимость потенциально угрожала всем владельцам и водителям латвийских авто," - поясняет АПБ.

И делает такой вывод:

"Считаем, что Раймонд Скурулс был обвинен в вымогательстве 1000 евро необоснованно, поскольку, учитывая публично доступную информацию, добросовестно указал на уязвимость и первым делом доложил об этом в CSDD. И только после того, как там - в CSDD, не смогли обнаружить эту уязвимость, Скурулс потребовал за техническое ее описание указанную сумму, так как на ее открытие потратил много времени и посчитал, что такой вклад дарить не надо."

Сколько в таких случаях принято платить

АПБ также приводит примеры, сколько в подобных ситуациях платят в сложившийся мировой практике известные компании:

* к примеру, таксистская платформа «Uber», которая тоже уже столкнулась с утечкой данных и вытекающими отсюда последствиями, предложила за выявление критических уязвимостей исследователю от десяти до пятнадцати тысяч долларов.

* аналогичную практику развивают также платформы «Booking.com» и Udemy, предлагая исследователям три и две тысячи долларов соответственно.

"Абсурдно, что суд требует от исследователя по безопасности оплатить расходы, возникшие в результате ответственности IT-руководителя", - подчеркивает АПБ.

И напоминает: 14 декабря 2022 года принята директива (ЕС) 2022/2555 (а также рад других документов), в которых предусматриваются меры с целью достижения одинаково высокого уровня кибербезопасности во всем Союзе.
И там имеется такая рекомендация:

"Учитывая, что физические и юридические лица, исследующие уязвимость, могут быть подвергнуты уголовной и гражданско-правовой ответственности в некоторых государствах-участниках, государства-участники призываются принять основополагающие принципы о неосуществлении уголовного преследования против исследователей в области информационной безопасности и освобождении их действий от гражданско-правовой ответственности».

Больше всех уязвимости раскрывают индусы

Эксперты по компьютерной безопасности встревожены приговором суда, признавшего известного латвийского изобретателя Раймонда Скурулса виновным в вымогательстве, - в свою очередь сообщило на днях TV3.

Есть опасения, что так называемые "хакеры" перестанут сообщать о своих открытиях, что может привести к еще большим рискам.

Кстати: латвийский орган по надзору за киберпространством cert.lv создал платформу для сообщений об уязвимостях - веб-сайт, на котором каждый может сообщить о "дырах" в IT-безопасности государственных учреждений.

Денег на это не платят, зато можно посмотреть список "хакеров", которые нашли больше всего уязвимостей.

Как оказалось, что активнее всех о недостатках систем данных латвийских государственных органов рассказывают индийские студенты.

Дело о "дыре" на e-csdd.lv

Раймонд Скрулис 15 октября 2018 года позвонил в ДБДД, назвал свое имя, и сообщил, что обнаружил возможную уязвимость в системе авторизации, связанную с государственным регистром транспортных средств и водителей.

И тогда, и по сей день Скурулс считает, что не должен дарить это открытие ДБДД, поэтому он захотел получить компенсацию за свои услуги.

В связи с этим он подписал договор с ООО WeAreDots, привлеченным ДБДД в качестве консультанта, он отправил по электронной почте информацию о уязвимости в системе авторизации на сайта e-csdd.lv, которая давала возможность несанкционированного доступа.

Из материалов дела следует, что, даже имея в кармане договор, Скурулс опасался, что его "кинут" и ничего не заплатят за ценную информацию. Его подозрения не только оправдались, но и превзошли все ожидания - в конце октября руководство ДБДД обратилось с заявлением в Госполицию, - комментирует ситуацию Latvijas Avīze.

Полиция действительно задержала Скурулса и даже поместила на несколько дней в изолятор кратковременного содержания. В итоге следствие нашло доказательства его вины, и дело ушло в суд.

В сентябре 2021 года решением Резекненского суда Скурулс был признан виновным и оштрафован на 12 минимальных месячных зарплат. Пострадавшее предприятие - ДБДД, считает, что обвиняемый нанес существенный материальный ущерб в размере 3459,52 евро. Ущерб возник таким образом: оплата труда трем программистам ДБДД, которые в течение недели так и не нашли "дыру в системе", плюс пришлось платить и компании WeAreDots за консультации.

Обвиняемый обжаловал решение суда первой инстанции в Латгальском окружном суде, который постановил признать его невиновным и оправдать.

Однако с таким приговором не смирился прокурор, который обратился с кассационной жалобой в Верховный суд. Три сенатора приняли решение отменить вердикт Латгальского окружного суда от 2 июня 2022 года полностью и направить дело на новое рассмотрение в Латгальский окружной суд.

И вот, на днях Латгальский окружной суд постановил оставить в силе решение Резекненского суда, согласно которому Раймонд Скурулс должен заплатить штраф (8400 евро), а также компенсировать CSDD якобы причиненный имущественный ущерб - 3459,52 евро. Однако приговор еще не вступил в силу, так как Скурулс сможет обжаловать его в Сенате Верховного суда.

"Сегодня"