Security Lab

Man-in-the-Middle между законами

Man-in-the-Middle между законами
Тут всплыл интересный вопрос. Является ли проксирование HTTPS-трафика через подсовывание пользователю подложного сертификата незаконным деянием? Не получение такого сертификата. И не последующая перлюстрация расшифрованного трафика. А сама организация схемы MitM для HTTPS.

Очевидно, что примерять следует ст.272 УК . А статьи 137 и 138 (через пособничество) будут зависеть от законности дальнейшего использования перехваченного трафика, от которого мы решили абстрагироваться.
       

Итак, неправомерный доступ к охраняемой информации. Есть ли он?

Сам доступ, безусловно, был. Поскольку доступом к информации, согласно определению из п.6 ст.2 ЗоИИТиЗИ , считается возможность получения информации, а не само её получение.

Охраняется ли эта информация законом? Нас интересует расшифрованный трафик, к которому "человек посередине" получает доступ. Без конкретизации, что это за трафик – электронная почта, интернет-голосование или порнушка. Сам факт зашифровывания трафика – что он означает юридически, как меняет статус информации? С точки зрения охраны законом – почти никак.

Информация охраняется или не охраняется законом независимо от задействования для её защиты технических средств. Единственное исключение из этого принципа – коммерческая тайна. Статус комтайны появляется у информации только при выполнении её обладателем пяти условий, перечисленных в ч.1 ст.10 ЗоКТ , в числе которых – меры ограничения доступа и контроля за доступом. Зашифровывание трафика может рассматриваться как такая мера.

Таким образом, если лицо изготавливает или устанавливает устройство для проксирования HTTPS, оно не может быть уверенным, что перехвату будет подвергаться только охраняемая законом информация. В составе трафика обычно присутствует большая доля неохраняемой.

Ну и наконец неправомерность осуществляемого доступа. Для каждого вида тайн есть свой порядок определения, какой доступ будет считаться правомерным. Например, для тайны связи необходимо разрешение отправителя/получателя сообщения либо санкция суда. То и другое возникает позже, а на момент изготовления или ввода в эксплуатацию устройств для перехвата – не определено.

Таким образом проксирование HTTPS-трафика per se не подпадает под ст.272 УК. Что касается "вирусной" статьи 273, мы рассмотрим её в следующий раз.



PS. Кстати, последние полгода аддон для браузера Certificate Patrol докладывает мне о необычайно частой смене сертификатов сервисов Гугла. Каждый день по 1-2 штуки у них обновляются. Бывает даже, что новый сертификат имеет более короткий  период жизни, чем старый. Для других сайтов замена сертификатов случается раз в год, не чаще. Интересно, у всех такая чехарда или только у меня, профессионального параноика?

расследование статья 272 DLP-система паранойя
Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

InfoWatch

Блог компании infowatch infowatch.livejournal.com