Вскоре после публикации новости про обвинительный приговор в Томске, вынесенный за использование защищённого мессенджера VIPole, стало известно об ещё одном «свежем» деле с обвинением по ч.2 ст. 273 УК РФ. Житель Ахтубинска Сосин П.В. был осуждён за производство и распространение некой вредоносной программы WASP 1.0. Информационная служба Хабра нашла родственников осуждённого, которые согласились предоставить все документы и подробности по этому делу. Как выяснилось, программа состоит из трёх опенсорсных элементов: SQLmap, Apache HTTP-сервер и сканер Arachni. Как рассказали родственники, Сосина приговорили к штрафу и реальному заключению именно за использование SQLmap, поскольку утилита считается вредоносной на территории РФ, что в суде подтвердили представители ФСБ России.
Что такое SQLmap?
Sqlmap — это инструмент для тестирования уязвимостей с открытым исходным кодом, который автоматизирует процесс обнаружения и использования ошибок SQL-инъекций и захвата серверов баз данных. Он оснащен мощным механизмом обнаружения, множеством приятных функций для профессионального тестера уязвимостей и широким спектром скриптов, которые упрощают работу с базами данных, от сбора данных из базы данных, до доступа к базовой файловой системе и выполнения команд в операционной системе через out-of-band соединение.
Согласно тексту приговора, Сосин П.В. создал и распространил компьютерную программу, «заведомо предназначенную для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации и нейтрализации средств защиты компьютерной информации». По заверению следствия, это было сделано из «корыстной заинтересованности». Впрочем, сам осуждённый не отрицает, что создал программу с целью её дальнейшей продажи. При этом создание программы не несло за собой злого умысла, заверяет Сосин. Программа создавалась для полностью автоматического теста ресурсов на проникновение.
«История такая, я взял 3 бесплатно распространяемых софта, а именно: Веб сервер Апаче, сканер Арахни и SQLMap. С помощью своего скрипта объединил всё в программный комплекс для полностью автоматического теста веб-ресурсов на проникновение. Поскольку в состав входил sqlmap, то весь комплекс посчитали вредоносным. Сказали, что поскольку это новый софт, то лицензия sqlmap на него не распространяется. Да и сам sqlmаp считают вредоносом и распространять его нельзя. Даже эксперт ФСБ в суде заявил, что sqlmap определяется Dr.Web как вредонос sqlmap», — рассказал Сосин П.В., цитата со слов родственников.
Как следует из текста протокола задержания подозреваемого, модуль SQLmap был скачан из общего доступа с репозитория на GitHub. При помощи Python софт был доработан, благодаря чему он мог осуществлять поиск уязвимостей на 50 сайтах одновременно. После проверки работоспособности программу выставили на продажу на сайте cracked.to по цене $300. На этом сайте объявление Сосина обнаружили оперативники. После совершения покупки осуждённый был задержан и обвинён за хакерскую деятельность, а именно — по ч.2 ст. 273 УК РФ за создание и распространение вредоносной компьютерной программы, совершённые из корыстной заинтересованности.
В ходе следственных мероприятий у осуждённого изъяли вещественные доказательства по делу, а именно: телефон uleFone, ноутбук HASEE X3, ноутбук IRBIS NB260, флеш-карту на 64 ГБ, жёсткие диски WD, Seagate, тетрадь на 48 листов с записями и не только. В материалах дела не указано, что будут делать с этими вещами.
Хабр обратился к специалисту сервиса разведки утечек данных и мониторинга даркнета DLBI Ашоту Оганесяну с просьбой прокомментировать ситуацию. По его словам, версия обвинения похожа на правду, поскольку SQLmap и Arachni — известная связка для автоматизации взломов. Комментируя ресурс, на котором продавалась программа, он указал, что, на его взгляд это самый обычный и не очень популярный теневой форум, которых много.
«SQLmap и Arachni — это известная связка для автоматизации взломов. Я бы сказал, это классика. Есть масса решений, продающихся как SaaS для взломов баз данных именно в этой связке. Сервер Apache как раз говорит о том, что на основе движка SQLmap и паука Arachni было сделано решение для облачного взлома. Есть достаточно известный инструментарий, тоже продается на хакерских форумах как сервис: SQL-inj MultiTool, тоже на базе SQLmap и паука Arachni», — указал Ашот Оганесян.
Полученные Хабром материалы дела также были переданы в общественный проект «Роскомсвобода», где Хабру обещали ознакомиться с ситуацией и дать свой комментарий. На момент публикации статьи ответа ещё не поступило, он будет добавлен, как только мы его получим.
Сосин П.В. вместе с отдельно нанятым адвокатом подали апелляцию, её рассмотрение назначено на 24 ноября. По словам родственников, осуждённый вину отрицает и заверяет, что он не обязан нести ответственность в случае, если его программа использовалась со злым умыслом.
«Во время ареста я сказал, что программа для тестов сайтов. Во время закупки оперативники мне рассказали, что планируют её использовать против сайтов конкурентов, на что я ответил, что это возможно, но я ответственности не несу, поскольку согласно лицензии sqlmap ответственность за неправомерные действия и возможный ущерб несет третье лицо, а не программист. Плюс я распространял sqlmap в составе своего софта, на что, согласно той же лицензии, тоже имел право. Да и сама эта утилита распространяется бесплатно. Три свидетеля, а именно закупщик ФСБ, эксперт ФСБ, другой эксперт утверждали в суде, что считают sqlmаp вредоносом, но это их личное мнение, которое они так ничем и не подтвердили. Просто признали команды sqlmap RISK и LEVEL были установлены в режиме атаки, а не теста, хотя эти команды регулируют количество и сложность тестов», — рассказал Сосин П.В., цитата со слов родственников.
Сосин полагает, что арест всего лишь повод получить доступ к его ПК. Ранее он сидел по другой статье и на зоне тоже работал в Интернете, где «познакомился с криптовалютами, сделал софт типа брута и с его помощью сгенерировал ключ с хорошим балансом». После освобождения он занимался в основном тем же, и буквально через месяц пришёл участковый и спросил, откуда на карте Сосина появляются большие суммы денег.
По заверениям Сосина, дело вёл обычный следователь, который ему лично признался, что ничего не понимает в этом деле и что за всю его практику и практику отдела такого преступления не было. Сам арест производили с помощью спецназа, хотя Сосин указывает, что не скрывался и везде указывал свои контакты, потому что действовал согласно лицензии sqlmap, без проблем позволяющей распространять такого рода софт.
«Самое интересное, что обвинили именно за распространение sqlmap, а не за использование. Хотя она распространяется свободно, а в Kali Linux уже предустановлена. Но все мои доводы их не убедили. На основании экспертизы ФСБ, команда risk=3 и level=5 свидетельствуют о работе данного софта в атакующем режиме, безопасный режим это 0 или 1», — рассказал Сосин П.В., цитата со слов родственников.
Несмотря на назначенную апелляцию, родственники Сосина и сам осуждённый сомневаются, что приговор отменят. Суд уже прошёл, осуждённый отбывает наказание согласно приговору.
