Комментарии 157
За чей же счёт? Он что у кого-то угнал свой компьютер? То ли переводчик глючит, то ли пресс-секретарь только стандартными фразами владеет.
За счёт тех, кто оплачивал услуги "якобы теста", а вместо этого атаковал Microsoft.
Странно кстати, что его посадили а не их.
Представьте что вы предоставляете услугу эвтаназии, любой может анонимно обратиться к вам, чтобы уйти из жизни, а вы со снайперской винтовкой по-тихому ему поможете. При этом вы не спрашиваете никаких доказательств, что к вам обратился именно сам человек. Неожиданно вас обвиняют в десятках заказных убийств хотя казалось бы за что, ведь вы не киллер, вы специалист по эвтаназии…
Не путайте, испытание своих каналов — не запрещено.
Так есть страны где эвтаназия не запрещена (Бельгия, Люксембург, Канада). Тем не менее вряд ли хоть один суд в этим странах примет аргумент "я не киллер, а просто предоставляю услуги эвтаназии, забывая проверить что он сам себя заказал"
То же самое с сервисами взлома дверей в квартиры, проверки автомобильной сигнализации посредством угона, проверки безопасности детей посредством тестового похищения. Ни один суд в мире не примет аргумент "я просто предоставляю сервис анонимным клиентам не спрашивая документов, подтверждающих что они реально владельцы квартир, авто, родители детей и т.д.".
Стресс тестер тоже регламентирован. Во всех этих странах запрещено атаковать чужие сайты, мешая их работе. То есть если атакуешь сайт требуется доказать что именно владелец тебе это разрешил.
Ближайший аналог сервис по сносу частных домов, если компания начнет сносить дома не требуя доказательств владения и принимая анонимные заявки и платяжи — отвечать будет компания и ее владелец.
И срок «товарищ» получил не за умственные способности, а именно за собственную глупость. Такого рода системы должны быть качественно защищены с юридической точки зрения как минимум (это уже накладывает некоторые ограничения на сервис, но снимает часть ответственности с владельца). С технической точки зрения, банальная защита, основанная на возврате кода, высланного на адрес электронной почты, указанный при регистрации домена (этим пользуются, например, ЦС), практически полностью исключит возможность тестировать «несвои» домены, но это на порядок снизит приток прибыли. Человек (вероятно) умышленно исключил данного рода проверку — на лицо состав преступления. А на ответ «я не знал» есть классическая формулировка: «незнание закона не освобождает от ответственности».
Замечу, что люди такого рода попадаются обычно на совершенно глупых мелочах. В добавок, «правозащитная система» всегда пытается из таких ситуаций сделать показательное судилище в назидание тем, кого еще не поймали. ИМХО, людей в конечном итоге губит банальная жадность.
Пресс-секретарь — это такая особенная должность…
Не понимаю, что не ясно в данной формулировке. Сервис, в его используемой форме, подразумевает перекладывание ответственности с владельца ресурса на его пользователей. Позиция разработчика такова: «я, честный гражданин, разработавший данный сервис для благих целей, а с его незаконным использованием разбирайтесь сами». Данная концепция автоматически указывает, на то, что разработчик заведомо знал о возможном применении сервиса в незаконной деятельности и использовал это неявное условие для собственного обогащения
Никак не получается кратко формулировать ответы, приходится целую эпитафию писать. А за комент наплюсовали, вероятно любители именно такого вида деятельности))
P.S. Судебное взыскание, при определенных условиях, может быть осуществлено даже при легальной деятельности. (предупреждаю, пример абстрактно-утопический) Некая компания владеет суперкомпьютером с доступом к нему из интернета, логин/пароль доступа остались по умолчанию. Далее оказывается, что с помощью данного ресурса была взломана система управления запуском ракеты со спутником для полета к Сириусу, ракета упала при старте, все сгорело. Этой «некой компании» вполне могут предъявить иск за халатность.
Он за свой счёт покупал сервера, не за чужой. При этом возможно наносил ущерб другим. Но между ущербом другим и прибылью ему не было такой строгой связи, которая есть в формулировке «получение личной выгоды за счёт других»
Это как?
использовал свой талант для получения личной выгоды за счёт других
суть любого трудового соглашения :))
Но парень этого не делал, он лишь предоставил эту возможность.
Это как судить арендодателя автомобиля за совершение преступления на арендованном автомобиле. Ищите и судите преступников, а не арендодателей.
Да, я не совмневаюсь, что парень знал что его сервис будет использоватья для совершения преступлений. Но это определенно не делает его виноватым. Повторюсь — ловить и судить надо преступников, а не изготовителей инструментов.
Но это определенно не делает его виноватым.
Это определенно делает его соучастником и даже исполнителем.
Как и арендодатель знающий что на его автомобиле будут грабить банк — прежде чем судить, надо доказать.
Ближайшая аналогия — киллер. Клиенты оставляют заказ, а он выполняет. Разумеется, заказчики виновны, но вины с киллера это не снимает.
А вот то, что он знал, что роняет чужие сервисы, и вообще делает противозаконное, и всё равно делал это, необходимо доказывать.
Короче, осторожнее надо. Попался — делай выводы.
А разве нельзя бфло написать на сайте поясниловку, мол "сайт предназначен для проверки отказоустойчивости ВАШЕГО сайта/сервера/етк, запрещено использовать сайт для поломки чужих сайтов/серверов/етк. Автор не несет ответственности блаблабла"?
Думаю, никакой суд не примет это во внимание.
Киллер знает, что совершает преступление.
Герой статьи не имеет понятия, используется ли его сервис с законной целью проверить свой собственный сервер на устойчивость или же против чужого сервера с целью незаконно нарушить его работу.
Уже приводили тут пример: есть автоматическая аренда автомобилей, компания, сдающая их, не спрашивает даже есть ли у тебя права, не то, что для поездки в магазин или для грабежа банка ты её берёшь.
Твоё дело предоставить инструмент, а для чего его будут использовать — это уже всецело на совести того, кто использует.
Если бы он сам не клал неугодные сайты, не выводил деньги в темную и отказывал клиентам которые очевидно пишут «давай положим конкурента» — тогда бы возможно и никто бы не привлек его.
Сегодня мы приговариваем его к 24 месяцам тюремного заключения за проведение DDoS-атак, девяти месяцам за поддержку работы стрессера Titanium и 24 месяцам за отмывание денег, полученных в качестве дохода от работы стрессера, все сроки отбываются одновременноИ ниже об этом камент есть уже.
Вы правда думаете что таких грузчиков оправдают?
Если клиент не выламывал дверь на глазах у грузчиков, а спокойно открыл — да.
В данном случае, предоставляется сервис по взлому дверей любого помещения, отключению сигнализации и вывозу всего что там есть, при этом сервис предоставляется анонимно, не требует доказательств, что ты владелец и "работает" с ювелирными магазинами и банками.
Какой шанс после этого отмазываться "я думал этот владелец банка заказал проверить работу охраны своего банка и вывести все ценности в укромное место"?
Если как вам обратились проверить работу сигнализации автомобиля путем угона или за взлом квартиры из-за потерянных ключей, а вы не проверяете что это реально владелец и вообще предоставляете сервис анонимно — то в суде это не прокатит почти на 100%.
Название раздела на сайте "My Attack Logs" (с КДПВ) тоже выбрано совершенно случайно, да?
Гаубица — это оружие, предназначенное для убийства и разрушения.
Стрессер — это всё-таки инструмент двойного назначения.
Сравните лучше с кувалдой, что ли…
Герой статьи не имеет понятия, используется ли его сервис с законной целью проверить свой собственный сервер на устойчивость
Ну почему не имеет понятия? Он же не слепой, кем и для чего используется его сервис, посмотреть может. Позиция этого парня на самом деле такова, что он-то прекрасно знает, что его сервис используется для противозаконных целей, но может с улыбкой говорить «а вы докажите сначала».
Правильнее будет так: парень выращивал коноплю для себя (допустим, что в местности, где он проживает, это разрешено), а вы её начали продавать направо и налево. Он автоматически становится соучастником, так как доказано, что получает за это деньги. То есть как минимум, покрывает нарушителей закона.
Т.е. если кто-то в арендованной квартире выращивает коноплю, то сажать надо владельца квартиры, т.к. «он же не слепой, кем и для чего используется его квартира, посмотреть может»?..
Как только следствием будет доказано, что владелец квартиры посещал её, когда там росла конопля, и не сообщил об этом в полицию, то однозначно надо сажать за соучастие. А что вас смущает? Вы допускаете, что парень был не в курсе, что его сервер используется для атак?
Очень даже допускаю. Какое ему дело, что там происходит, если сервер работает и деньги приходят?
А есть и другой вариант, тоже вполне реальный, как раз касаемо нюансов законодательства. Даже в античные времена СССР уже в УК была уголовная статья «вмешательство в работу автоматизированных систем», под которую прямо попадали действия такого стресс-тестера. Сейчас-то тем более.
Тут есть факт правонарушения — сторонний сервис выводит из строя какой-то сайт. Сервис известен, его владелец тоже известен, факт нанесения ущерба зафиксирован, от потерпевшей стороны есть заявление. И вот в данной ситуации владелец сервиса уже должен доказывать, что он атаковал сайт по согласию его владельца, а не по своей инициативе или преступному умыслу. А если он не хочет доказывать, он должен перенести ответственность на своих клиентов. Но для этого нужно их, во-первых, деанонимизировать, во-вторых, заставить принимать согласие с правилами, где они под чесслово обещают использовать сервис только в легальных целях. Все эти галочки «я согласен с правилами» на всех сайтах с регистрацией, они ведь не просто так сделаны, согласны?
В таком варианте уже другая аналогия возникает. Полиция накрыла квартиру с коноплей, владелец говорит, что это арендатор выращивал, он сам не в курсе, но тогда ему нужно договор с арендатором показать. А договора нет.
В статье написано, что сервис автоматический. То есть собак спускал не владелец сервиса, а робот, когда в него опускали монетку
Заказчик ЗНАЕТ, что нарушает закон, договариваясь с киллером.
А парень создавал сервис для проверки на НАГРУЗКУ.
Ээ, ну они и доказали видимо. Или лично вам нужно что-то доказать?
Нет. Калашников не раздавал автомат всем прохожим, чтобы пострелять куда-они-хотят 60 секунд, а дальше — за деньги.
то вы бы судили Калашникова за убийства?
Непременно. Так во всех цивилизованных странах — если тебе выдают оружие, то ты за него отвечаешь головой. Если "дал пострелять другу", а тот кого-то убил, то ты соучастник. Если "я потерял оружие", то тоже не хило так прилетит.
@Areso Калашников в этом виноват?
Виноват будет тот, кто это организовал.
Если «дал пострелять другу», а тот кого-то убил, то ты соучастник. Если «я потерял оружие», то тоже не хило так прилетит.
Вот что характерно, за «потерял» прилетит, а за «дал пострелять» — нет.
Даже где-то встречал прецедент: трое друзей по пьяни стреляли по бутылкам и случайно кого-то пристрелили где-то вдалеке. Посадить никого не смогли: установить, кто именно сделал роковой выстрел, невозможно, а статьи за намеренную передачу оружия другим нет. Административно, конечно, всех наказали, в том числе лицензии на оружие лишили. Но посадить не вышло.
P.S. оружие было гладкоствольным охотничьим. Было бы нарезное — там можно было бы посадить за незаконное ношение и незаконную передачу. Но с гладкоствольным за это только административное наказание.
Тем не менее, в Сомали это весьма легко организовать за весьма скромные деньги. Чуть подороже — в живых людей.
Калашников в этом виноват?
То, что кто-то пользовался ружьем для нанесения ущерба, а не проверки собственных ресурсов на отказоустойчивость, это не соучастие и не исполнитель.
IMHO можно было дать условно.
1. Лично осуществлённые DDOS — 24 месяца — вполне осознанное, намеренное деяние
2. Запуск сервиса для DDOS — 9 месяцев — этого обвинения бы не было, если бы не было первого пункта, ибо хрена с два бы доказали умысел, а без умысла это проступок, а не преступление.
3. Отмывание денег — 24 месяца
То есть, если бы парень не делал атаки самостоятельно и выводил бы деньги легальными способами — не сел бы. Ибо невозможно было бы доказать преступный умысел в создании стрессера.
В итоге, сел он за отмывание денег и выполнение атак самолично, а создание стрессера — приятное дополнение. Теперь сравним это с тем, какие впечатления оставляет статья…
Такое вроде запускают.
https://www.wikitribune.com/
1. Простите, а как один человек может сделать DDOS? Атаку может да, но она будет не распределённой. Если конечно он ещё ботнет не заведёт, но в этом его не обвиняют.
2. Аналогичный вопрос — почему сервис для distributed атак вместо этого производит централизованные.
3. Что значит «отмывание денег»? Про уклонение от уплаты налогов ни слова, значит не оно. Может он просто биткойны обналичивал? В РФ, например, это вполне себе считается за отмывание денег.
Про «отмывание» — это внедрение в экономику денег, полученных преступным путём. Получается цепочка: без собственных атак невозможно было бы доказать злой умысел в создании сервиса, без злого умысла в создании сервиса доход с него нельзя назвать доходом, полученным преступным путём. Правда, в британском праве не силён, ориентируюсь на понятия common law.
признан виновным по трём случаям нарушений по Закону о злоупотреблении компьютером (U.K. Computer Misuse Act) и отмывании денег по Закону о доходах от преступной деятельности (Proceeds of Crime Act)
Не порядок: в «цивилизованных» странах для верности еще изнасилование лепят, чтобы не отвертелся (Ассанж, Стросс Кан и пр.)
отмывание денег, полученных в качестве дохода от работы стрессераИнтересная формулировка, и непонятная.
Либо он скрывал источник денег, и тогда это свидетельство умысла, либо это некомпетентность суда, о чем косвенно свидетельствует формулировка «DDOS» при единственном атакующем сервере.
Смотреть надо.
А впечатление от статьи, подозреваю, изрядно скорректировано местной языковой спецификой.
Это как судить арендодателя автомобиля за совершение преступления на арендованном автомобиле.
Ну наверное более правильная аналогия всё-таки это «судить продавца оружия за продажу оружия преступникам» :) Он же продавал доступ к сервису, прямое назначение которого — закидывать сайты.
Да, я не совмневаюсь, что парень знал что его сервис будет использоватья для совершения преступлений. Но это определенно не делает его виноватым.
Вообще, с юридической точки зрения это как раз делает его виноватым. Это же соучастие в правонарушении.
Так что факт предоставления все равно не делает виновным.
Вот то что сам атаки проводил — это да. Потому что должен был убедиться, что сайт принадлежит заказчику.
Вот т.е. реально нет таких требований в законодательстве.
Более того, большинство владельцев охотничьего оружия в России на охоте ни разу в жизни не были.
После этого купленное оружие человек обязан зарегистрировать и получить право либо на хранение (позволяет только хранить дома в сейфе) либо на хранение и ношение.
С оружием человек может, например, заниматься стендовой или практической стрельбой и тогда это оружие будет спортивным.
Чтобы стать охотником с «охотничьим оружием» придётся получить дополнительную бумажку на отстрел определённого количества определённой дичи и поехать с ней в охотничьи угодья в охотничий сезон.
Если просто так ходить по лесу с ружьем, имея при этом право на хранение и ношение, то вас могут поймать лесники и даже оштрафовать, а если при этом вы застрелите какую ни будь зверушку, то станете браконьером с орудием преступления, а не охотником.
на приобретение одной единицы охотничьего оружия с нарезным (сменным, вкладным) стволом или одной единицы охотничьего комбинированного оружия
Для гладкоствольного: «на приобретение одной единицы огнестрельного гладкоствольного длинноствольного оружия»
Но в целом я был не совсем прав, а истина где-то посередине.
Стресс тесты бывают полезны и для личных нужд. Для устойчивости собственного сервиса перед большим запуском.
Естественно. Но у него же на сайте не было валидации владельца. Если бы шла речь о легальном сервисе, там бы как минимум было бы условие «разместите на своём сайте вот этот скрипт или такой-то файл».
Так что факт предоставления все равно не делает виновным.
Просто факт предоставления не делает виновным. Виновным делает факт предоставления со знанием того, что заказчик планирует правонарушение. И очевидно же, что парень знал, что его сервис используется не столько владельцами сайтов, сколько атакующими. Поэтому вопрос обвинения по данной статье заключался сугубо в том, чтобы это доказать. И раз его по этой статье обвинили, то доказать удалось. Возможно, переписку прочли, возможно, по логам, уже не суть важно.
Виновным делает факт предоставления со знанием того, что заказчик планирует правонарушение.
«Со знанием» — это когда к тебе приходят и говорят «хочу сервер Microsoft завалить, поможешь».
Но ничего такого тут нету. Сервис работал автоматически, его владелец понятия не имел, для каких целей его используют.
Мог ли он как-то осложнить незаконное использование? Мог, конечно. Но укажите закон, который прямо требует предпринять такие меры — нет его.
Если взять вашу аналогию, то это если бы машины выдавались в аренду без проверки наличия водительских прав, например.
Подходишь к припаркованному на улице автомобилю, через телефон оплачиваешь аренду, двери автоматически открываются, мотор заводится.
Плюс страховка наверняка есть.
Сейчас посмотрел на сайте: действительно, нужно загрузить на сайт документы, подтверждающие личность и право вождения. Обманула меня реклама на автомобиле.
Но заключать договор для аренды всё равно не нужно. Только, по желанию, на страховку ответственности. И состряпать в фоторедакторе себе любые документы для загрузки на сайт — не проблема.
Скорее всего о том, что и как отвечать прессе и на суде, молодого человека научили. Для уменьшения срока приговора. А вот о том, что он сам думал, когда делал платные услуги такого рода — останется при нём ещё на долгое время.
Парень предоставил возможность DOS'ить любой сервер, не только свой. Добавь он любую методику подтверждения владения тестируемым сервисом, не было бы иска.
Имел Билли хобби — Он деньги любил,
Любил и копил.
Все дети, как дети, живут без забот,
А Билка не ест. Да, не ест и не пьет — В копилку кладет.»
Таких сервисов с нагрузочным тестированием — 100500, и большинство из них не требуют подтверждения владения. А посадили только владельца одного из них.
«Сегодня мы приговариваем его к 24 месяцам тюремного заключения за проведение DDoS-атак»
Чего-то нестыковка какая-то.
Посадили и правильно сделали, другим юным талантам наука. Работать надо честно, в первую очередь перед самим собой.
Понятие «честно» у всех разное. Сервер желает принимать сообщения — давайте посылать ему сообщения. Сколько влезет. Нужны нетривиальные размышления, чтобы понять, почему это плохо. Вот если ты воруешь кошелёк, там вся плохость деяния очевидна.
Поэтому и оперируют законом, которые в теории один для всех, а не честностью.
Кстати, 300000$ за 5 лет — это 5000$/месяц, для Британии меньше средней зарплаты программиста (хотя и неплохо конечно для 16-летнего подростка).
Сдавать в аренду было выгоднее. Да и софт скорее всего не очень сложный.
Кому нужен платный софт если есть дофига качественного и бесплатного, например ApacheBench?
Я бы не выбрал ни тот, ни другой вариант, а поступил более мудро, настроил все сам, но не со своих ресурсов, а с анонимных, которые я бы арендовал(так же анонимно)
А в чём мудрость-то заключается? У вас есть платный специализированный сервис, который вам анонимно сделает за вас «грязную работёнку», и есть платный же сервис, который вам анонимно даст пустой хостинг, на котором вам надо развернуть и настроить софт, запустить собственноручно, и надеяться, что админ хостинга не заметит исходящую атаку и не прибьёт вашу систему раньше, чем она выполнит задачу, а потом не предоставит все логи ваших действий в полицию. Какой может быть резон идти вторым путём, кроме любопытства? Вариант, что услуги DDoS-сервера стоят каких-то космических денег в сравнении с арендой VDS, я не предполагаю.
Лично я вообще против того, что любой закон любой страны лезет в монастырь свободного интернета со своим уставом.
Я бы все-таки советовал не заниматься скользскими делами, а не "не попадаться".
2 года это не воспитание а попытка сломать человека, подавить свободу — нерушимое право каждого человека.
Ну не знаю, когда я в 13 лет с дворовой шпаной обчищал по ночам киоски, а потом бездушная машина власти попыталась меня сломать и подавить мои нерушимые права, то мне это пошло только на пользу. Полагаю, если юноша в 20 лет попался по криминальной статье, размер воспитательного пенделя в 2 года лишения свободы — вполне справедливый вердикт. В таком возрасте поздновато цацкаться и пелёнки менять, пора уже иметь какие-то мозги и нести ответственность.
Лично я вообще против того, что любой закон любой страны лезет в монастырь свободного интернета со своим уставом.
А за то, что законы страны запрещают вас грабить на улице, поджигать вашу квартиру, угонять вашу машину, вы ведь не против, да? А почему вы к «свободному интернету» это не применяете? Потому что у вас там нет вашего имущества, наверное? Ну вот у компаний и людей, которые ведут там бизнес, есть имущество в интернетах. И они хотели бы какой-то защиты этого имущества.
Юный оператор нагрузочного сервера Titanium получил два года тюрьмы