О поисковике Shodan немало написано, в том числе на Хабре (здесь, здесь, здесь и еще вот здесь)
Вопросы о том, легально ли использование Shodanа или в каких случаях оно является легальным/нелегальным встречаются в Сети достаточно часто (см., например, тут или тут - в последнем случае так и остался без ответа очень интересный вопрос о легальности подключения через Shodan к незащищенному серверу). И зачастую на них нельзя найти действительно обоснованного и четкого ответа, что делать можно, а чего нельзя.
«Хакер» вроде бы публиковал статью с многообещающим заголовком «Как легально использовать поисковик по IoT», но внятного ответа, на мой взгляд, также не дал. На Хабре RUVDS хоть и давал дисклеймер, но недостаточно четкий (все зависит от страны, где находится удаленное устройство).
В этой статье мы попытаемся сформировать принципы легальности/нелегальности использования Shodan, общие для большинства юрисдикций.
Главным международным актом, регулирующим подобные штуки, является Будапештская конвенция (официальное название - «Конвенция о преступности в сфере компьютерной информации»): именно она в далеком 2001 году задала основные признаки того, что легально делать в Интернете, а что – нет. На нее ориентировались как подписавшие ее европейские государства (любопытные и знающие язык могут посмотреть 202a, 202b, 263a, 303а, 303b УК Германии), так и многие другие (Россия не присоединилась к конвенции, но наша ст. 272 УК РФ полностью переняла подход европейцев).
США отличаются иной юридической техникой (часть составов неправомерных доступов описана в федеральном The Computer Fraud and Abuse Act, другая часть - в отдельных уголовных кодексах или законах штатов, как например The Virginia Computer Crimes Act). Австралийский Crimes Act 1958 имеет сходные американским составы преступлений.
Общими для всех этих стран (и многих других) критериями нелегальности удаленного доступа к цифровым устройствам являются: несанкционированность доступа, умысел и общественная опасность.
Давайте-ка разберем каждый из них по отдельности – это поможет ответить на все дальнейшие вопросы о легальности конкретных действий с Shodan.
1. Несанкционированность доступа означает получение или попытку получения доступа к устройству, когда из обстоятельств очевидно следует, что их владелец ну не хочет, чтобы абы кто его устройства домогался. Таким обстоятельством может быть не только наличие средств защиты, таких как логин и пароль, но и само функциональное предназначение вещи.
Если вещь связана с каким-либо из видов тайны, то доступ к ней является ее автоматическим нарушением, даже если никаких средств защиты пользователем по глупости не установлено. Видеокамера в частном доме? Нарушение тайны частной жизни. Турбина ГЭС? Нарушение режима транспортной безопасности или гостайны (смотря, где она находится). Доступ к любому устройству, не находящемуся в условиях публичной доступности или принадлежащего государству/муниципалитету означает нарушение какой-либо законодательно охраняемой тайны – и перечень таких тайн не слишком отличается между странами.
Важно отметить, что наличие на устройстве дефолтных, заводских или «слабых» пользовательских паролей и логинов оправданием служить не будет: основная их функция с позиции закона – быть табличкой «Запретная зона. Осторожно, собака» даже если самой собаки и нет.
Второй важный пункт – даже неудачная попытка получить доступ в большинстве юрисдикций наказуема – квалификация тогда будет начинаться со слов «Покушение на....».
2. Умысел. Большинство стран подразумевает, что раз человеку пришло в голову получить несанкционированный доступ к какой-либо вещи в интернете, то причина точно криминальная. И это основная проблема для экспертов по безопасности: они либо должны представить доказательства того, что владелец или производитель устройства разрешил им таким образом тестировать безопасность вещи, либо показывать, что они являются сотрудниками научных учреждений или международных организаций, специализирующихся в области защиты информации.
3. Общественная опасность. Исключение из строгости закона представляет именно этот критерий. Если неизвестный подключился к городскому светофору – это опасно для общества, так как нажатие кнопки может спровоцировать аварию, пробки и прочие фатальные и нефатальные последствия. А если подключение осуществлено к измерителю температуры где-нибудь в Неваде? Вряд ли. Другой пример: в одном случае доступ был получен к электронным часам на вокзале, что могло привести к пассажирскому хаосу, или к тем же электронным часам, но в бабушкином комоде?
Ну что ж, теперь мы готовы ответить на следующие вопросы:
Легально ли использование Shodan?
Само по себе использование поисковика легально, так как он показывает лишь ту информацию, которая находится в интернете в свободном доступе.
Легально ли подключение к удаленному устройству, не защищенному логином и паролем?
Нелегально в случае, если это устройство обладает публичной важностью (светофор, объекты транспортной, телекоммуникационной инфраструктуры и т.п.) или принадлежит к частной сфере (находится в чьем-либо жилище) или находится в собственности государства/муниципалитета. Критерий простой – если управление устройством может причинить вред или ущерб человеку или обществу, то это незаконно.
А если логин и пароль дефолтны или слабы?
Нелегально, так как дефолтный или слабый пароль в таком случае выполняют роль не физической, а правовой защиты – как предупреждение о нежелательности доступа.
Легален ли подбор паролей для подключения к удаленному устройству, обнаруженному с помощью Shodan?
Нелегален в случаях, изложенных выше. Такие действия будут квалифицированы как покушение на несанкционированный доступ.
А если в целях исследования или проверки информационной безопасности?
Легально, но готовьтесь представить неопровержимые доказательства такой цели.
Insurgent2018
Мало, мало анализа, видимо, только мне очевидно, что поиск по «Shodan» (исключительно по его данным) — абсолютно легален, в ином случае, такого бизнеса бы не существовало.
Очевидно, что попытка куда-то с чем-то скоммуницировать по слабым по всех смыслах аутентификационным данным — скорее illegally and criminally.
Но вот почему бизнес «Shodan»(и подобных) — легален, на основании каких(международных) юридических актах можно спокойно сканировать и «опробывать» сервисы, вот этого в подобной статье не хватает.
Tangeman
Не всё так просто с легальностью поиска — он не более легален чем поиск ПД (и прочей инфы) по утёкшим или украденным базам, можно даже сравнить со скупкой краденного.
Если тот кто ищет имеет основания предположить что Shodan получил всю информацию легально — ок, с очень большой натяжкой он можен расчитывать что поиск тоже легален, но нужно быть абсолютно юридически безграмотным чтобы так думать.
То что бизнес существует ни о чём не говорит — пиратских онлайн-кинотеатров тоже полно, но они совершенно нелегальны практически во всех юрисдикциях.
Более того, в ряде юрисдикций их деятельность (собственно автоматизированный сбор данных путём сканирования без разрешения владельцев ресурсов) совершенно точно нелегальны — и сюда входят как минимум все страны ЕС и США, но то что до них не могут добраться — не показатель легальности, в самом лучшем случае это "серая зона".
cyber_estet Автор
Вопрос о «позволительности» Shodanа действительно спорен. И все же мне представляется, что в данном случае действует правовой принцип «все, что прямо не запрещено, разрешено». Отсутствие международного или национального запрета поисковика очень легко объяснить его полезностью: большую часть пользователей Shodanа составляют сами правоохранительные органы или безопасники, тестирующие и мониторящие уязвимости: отсюда и такое количество honeypot в выгрузке Shodanа.