О поисковике Shodan немало написано, в том числе на Хабре (здесь, здесь, здесь и еще вот здесь)
Вопросы о том, легально ли использование Shodanа или в каких случаях оно является легальным/нелегальным встречаются в Сети достаточно часто (см., например, тут или тут - в последнем случае так и остался без ответа очень интересный вопрос о легальности подключения через Shodan к незащищенному серверу). И зачастую на них нельзя найти действительно обоснованного и четкого ответа, что делать можно, а чего нельзя.
«Хакер» вроде бы публиковал статью с многообещающим заголовком «Как легально использовать поисковик по IoT», но внятного ответа, на мой взгляд, также не дал. На Хабре RUVDS хоть и давал дисклеймер, но недостаточно четкий (все зависит от страны, где находится удаленное устройство).
В этой статье мы попытаемся сформировать принципы легальности/нелегальности использования Shodan, общие для большинства юрисдикций.
Главным международным актом, регулирующим подобные штуки, является Будапештская конвенция (официальное название - «Конвенция о преступности в сфере компьютерной информации»): именно она в далеком 2001 году задала основные признаки того, что легально делать в Интернете, а что – нет. На нее ориентировались как подписавшие ее европейские государства (любопытные и знающие язык могут посмотреть 202a, 202b, 263a, 303а, 303b УК Германии), так и многие другие (Россия не присоединилась к конвенции, но наша ст. 272 УК РФ полностью переняла подход европейцев).
США отличаются иной юридической техникой (часть составов неправомерных доступов описана в федеральном The Computer Fraud and Abuse Act, другая часть - в отдельных уголовных кодексах или законах штатов, как например The Virginia Computer Crimes Act). Австралийский Crimes Act 1958 имеет сходные американским составы преступлений.
Общими для всех этих стран (и многих других) критериями нелегальности удаленного доступа к цифровым устройствам являются: несанкционированность доступа, умысел и общественная опасность.
Давайте-ка разберем каждый из них по отдельности – это поможет ответить на все дальнейшие вопросы о легальности конкретных действий с Shodan.
1. Несанкционированность доступа означает получение или попытку получения доступа к устройству, когда из обстоятельств очевидно следует, что их владелец ну не хочет, чтобы абы кто его устройства домогался. Таким обстоятельством может быть не только наличие средств защиты, таких как логин и пароль, но и само функциональное предназначение вещи.
Если вещь связана с каким-либо из видов тайны, то доступ к ней является ее автоматическим нарушением, даже если никаких средств защиты пользователем по глупости не установлено. Видеокамера в частном доме? Нарушение тайны частной жизни. Турбина ГЭС? Нарушение режима транспортной безопасности или гостайны (смотря, где она находится). Доступ к любому устройству, не находящемуся в условиях публичной доступности или принадлежащего государству/муниципалитету означает нарушение какой-либо законодательно охраняемой тайны – и перечень таких тайн не слишком отличается между странами.
Важно отметить, что наличие на устройстве дефолтных, заводских или «слабых» пользовательских паролей и логинов оправданием служить не будет: основная их функция с позиции закона – быть табличкой «Запретная зона. Осторожно, собака» даже если самой собаки и нет.
Второй важный пункт – даже неудачная попытка получить доступ в большинстве юрисдикций наказуема – квалификация тогда будет начинаться со слов «Покушение на....».
2. Умысел. Большинство стран подразумевает, что раз человеку пришло в голову получить несанкционированный доступ к какой-либо вещи в интернете, то причина точно криминальная. И это основная проблема для экспертов по безопасности: они либо должны представить доказательства того, что владелец или производитель устройства разрешил им таким образом тестировать безопасность вещи, либо показывать, что они являются сотрудниками научных учреждений или международных организаций, специализирующихся в области защиты информации.
3. Общественная опасность. Исключение из строгости закона представляет именно этот критерий. Если неизвестный подключился к городскому светофору – это опасно для общества, так как нажатие кнопки может спровоцировать аварию, пробки и прочие фатальные и нефатальные последствия. А если подключение осуществлено к измерителю температуры где-нибудь в Неваде? Вряд ли. Другой пример: в одном случае доступ был получен к электронным часам на вокзале, что могло привести к пассажирскому хаосу, или к тем же электронным часам, но в бабушкином комоде?
Ну что ж, теперь мы готовы ответить на следующие вопросы:
Легально ли использование Shodan?
Само по себе использование поисковика легально, так как он показывает лишь ту информацию, которая находится в интернете в свободном доступе.
Легально ли подключение к удаленному устройству, не защищенному логином и паролем?
Нелегально в случае, если это устройство обладает публичной важностью (светофор, объекты транспортной, телекоммуникационной инфраструктуры и т.п.) или принадлежит к частной сфере (находится в чьем-либо жилище) или находится в собственности государства/муниципалитета. Критерий простой – если управление устройством может причинить вред или ущерб человеку или обществу, то это незаконно.
А если логин и пароль дефолтны или слабы?
Нелегально, так как дефолтный или слабый пароль в таком случае выполняют роль не физической, а правовой защиты – как предупреждение о нежелательности доступа.
Легален ли подбор паролей для подключения к удаленному устройству, обнаруженному с помощью Shodan?
Нелегален в случаях, изложенных выше. Такие действия будут квалифицированы как покушение на несанкционированный доступ.
А если в целях исследования или проверки информационной безопасности?
Легально, но готовьтесь представить неопровержимые доказательства такой цели.
