Среди представителей киберпреступного мира иногда попадаются очень юные таланты, которые не просто хотят заработать деньги, но в своём возрасте обладают высоким интеллектом и недюжинными способностями к программированию. Например, британский юноша Адам Мадд (Adam Mudd) пять лет назад открыл удобный веб-сервис для запуска стресс-тестов: нагрузочный сервер (стрессер) Titanium. Cервер работал в автоматическом режиме и запускал стресс-тесты по произвольному адресу, который указал клиент. Для новых клиентов предлагалось несколько бесплатных демонстрационных сеансов. Вы могли «завалить» какой-нибудь сайт просто для теста. Но в бесплатном режиме атака длилась только 60 секунд.
Суть в том, что «стрессер» якобы не делает ничего противозаконного. Здесь не используются чужие компьютеры, как в случае с DDoS. Это обычный Linux-сервер, подключенный по толстому каналу. Его задача — максимально нагрузить сервер жертвы с помощью стандартных запросов. Но в реальности такая активность всё-таки нарушает законодательство, потому что злоумышленник ставит целью вывести из строя сервер жертвы или нарушить его работу.
Адам Мадд. Сейчас парню 20 лет
За время работы Titanium Stresser было проведено 1,7 млн атак против сайтов по всему миру, сказано в судебных документах по делу, пишет Брайан Кребс.
География атак, проведённых с нагрузочного сервера Titanium
Суд установил, что юноша создал и запустил стрессер пять лет назад в 15-летнем возрасте и заработал на нём более $300 тыс. Работу такого сервера суд всё-таки признал незаконным и приговорил админа к тюремному заключению. В октябре 2016 года Адам был признан виновным по трём случаям нарушений по Закону о злоупотреблении компьютером (U.K. Computer Misuse Act) и отмывании денег по Закону о доходах от преступной деятельности (Proceeds of Crime Act).
Клиенты стрессера так описывали его достоинства: это один из лучших IP бутеров/стрессеров в Интернете, который нагружает жертву по каналу, в среднем, 5 Гбит/с с максимальной нагрузкой 20 Гбит/с.
Стрессер поддерживал методы атаки на уровнях Layer 4 и Layer 7:
Layer 4
- UDP
- UDP-LAG
- ESSYN
Layer 7
- RUDY
- SLOWLORIS
В бесплатном режиме атака осуществлялась только по Layer 4 UDP.
Сайт также предоставлял злодеям восемь полезных инструментов (только для платных аккаунтов):
- Skype Resolver
- Steam Resolver
- Cloudflare Resolver
- Friends & Enemys
- Geolocation
- IP Logger
- Pinger
- Email Bomber
Оплата принималась биткоинами, через PayPal и предоплаченными картами PaySafeCard.
Платные аккаунты Адам продавал в зависимости от продолжительности стресс-тестирования сайтов:
По 100 секунд — $2,99
По 180 секунд — $4,99
По 500 секунд — $9,99
По 1500 секунд — $14,99
По 3500 секунд — $19,99
По 7200 секунд — $29,99
По 10800 секунд — $49,99
По 30000 секунд — $69,99
Посекундные тарифы — стандартная опция для стрессера. Ниже показаны тарифы другого такого сервиса Netspoof.
Бизнес работал как положено: с круглосуточный технической поддержкой и премиум-сервисами (вроде параллельной двойной нагрузки).
Несмотря на несколько лет успешной работы и $300 тыс. заработка, против владельца нагрузочного сервера всё-таки завели уголовное дело и дали срок: «Сегодня мы приговариваем его к 24 месяцам тюремного заключения за проведение DDoS-атак, девяти месяцам за поддержку работы стрессера Titanium и 24 месяцам за отмывание денег, полученных в качестве дохода от работы стрессера, все сроки отбываются одновременно», — сказано в пресс-релизе отдела специальных операций Восточного региона (ERSOU), который занимался делом хакера.
Может быть, нагрузочный сервер и дальше работал бы в прежнем режиме и приносил деньги, но среди жертв нагрузочных тестов оказались крупные рыбы — игровые серверы Sony и Microsoft. С декабря 2013 года по март 2015 года в результате DDoS-атак серверы PSN и Xbox Live уходили в офлайн. Как показало следствие, стрессер Titanium тоже в этом участвовал: с него проводились атаки, в том числе, на серверы Minecraft, Xbox Live, Microsoft, Runscape и TeamSpeak.
Формально нагрузочные серверы якобы не нарушают закон. Оператор может думать: «Это мой компьютер, я с него запускаю запросы, какие захочу», но нет. Операторов таких серверов уже неоднократно привлекали к ответственности. В декабре 2016 года в рамках операции Tarpit были задержаны 34 оператора бутеров и стрессеров в Европе и США.
«Дело Адама Мадда весьма прискорбно, поскольку у молодого человека, очевидно, есть большие способности, но он использовал свой талант для получения личной выгоды за чужой счёт, — сказано в пресс-релизе ERSOU. — Хотим подчеркнуть, что мы не желаем излишне наказывать юношу, но стремимся обуздать его способности, прежде чем они воплотятся в преступление». Представители правоохранительных органов говорят, что они также хотят передать это послание всем родителям, которые не знают, чем занимается ребёнок в детской комнате. За своими детьми надо следить.
Комментарии (157)
olku
26.04.2017 22:31+26использовал свой талант для получения личной выгоды за счёт других
суть любого трудового соглашения :))
AllexIn
26.04.2017 23:09+2Бред. Я понимаю, что использование сервисы для совершения преступлений было. И это определенно зло и с этим надо бороться. В частности, надо находить тех, кто покупал атаки на чужие сервисы.
Но парень этого не делал, он лишь предоставил эту возможность.
Это как судить арендодателя автомобиля за совершение преступления на арендованном автомобиле. Ищите и судите преступников, а не арендодателей.
Да, я не совмневаюсь, что парень знал что его сервис будет использоватья для совершения преступлений. Но это определенно не делает его виноватым. Повторюсь — ловить и судить надо преступников, а не изготовителей инструментов.Hellsy22
26.04.2017 23:24+8Но это определенно не делает его виноватым.
Это определенно делает его соучастником и даже исполнителем.AllexIn
26.04.2017 23:26+10Ага. Только это надо доказать.
Как и арендодатель знающий что на его автомобиле будут грабить банк — прежде чем судить, надо доказать.Hellsy22
26.04.2017 23:29+3Он не просто давал в аренду «автомобиль», он же сам и «грабил банк» — клиенты не имели физического доступа к серверу и рутовых прав на нем, только доступ к стандартной форме заказа.
Ближайшая аналогия — киллер. Клиенты оставляют заказ, а он выполняет. Разумеется, заказчики виновны, но вины с киллера это не снимает.Keyten
26.04.2017 23:37+2Речь о другом. По идее, предназначение стрессера — не ронять чужие сервисы, а проверять свои на нагрузку. Это, внезапно, разрешено законом.
А вот то, что он знал, что роняет чужие сервисы, и вообще делает противозаконное, и всё равно делал это, необходимо доказывать.tmin10
26.04.2017 23:55+10Для этого делается элементарная проверка собсвенности сайта: размещение файла в корне или тега в индексной странице, или текстовой записи в DNS.
trapwalker
27.04.2017 10:03+4Именно. А еще можно было принимать оплату только по банковским карточкам. Это деанонимизировало бы заказчиков. Я не утверждаю, ч то прям надо сажать и всё такое, но мы-то не знаем ВСЕЙ истории. И даже так очевидно уже, что стресс=тестирование — это не основной доход сервиса. Можно пофантазировать как можно было бы выгородиться из этой истории в юридическом смысле изначально. Ну, типа, он мог официально давать за денежку VPS-хостинг с широким каналом посекундно, а заказчик может запускать там любой дистрибутив из загруженных им же. Но такой мутный сервис уже не так просто продвигать.
Короче, осторожнее надо. Попался — делай выводы.
p_fox
27.04.2017 09:25-2А разве нельзя бфло написать на сайте поясниловку, мол "сайт предназначен для проверки отказоустойчивости ВАШЕГО сайта/сервера/етк, запрещено использовать сайт для поломки чужих сайтов/серверов/етк. Автор не несет ответственности блаблабла"?
ProstoUser
27.04.2017 16:20+2Если после этого он принимает оплату методами, которые исключают возможность понять, кто заказчик такого «тестирования», то это, мягко говоря, очень неумелая попытка отмазки в пользу бедных.
Думаю, никакой суд не примет это во внимание.9uvwyuwo6pqt
28.04.2017 07:38>методы которые исключают возможность понять, кто заказчик такого «тестирования»,
Как что-то плохое. Один мой знакомый арендует сервера исключительно криптовалютой, и это ничего не говорит о сервисе где он это делает.
egigd
26.04.2017 23:40Аналогия абсолютно неправильная.
Киллер знает, что совершает преступление.
Герой статьи не имеет понятия, используется ли его сервис с законной целью проверить свой собственный сервер на устойчивость или же против чужого сервера с целью незаконно нарушить его работу.mickvav
27.04.2017 01:26+3Ну так собственно и проблема в том, что не задается вопросом.
egigd
27.04.2017 07:24+4А нафиг ему им задаваться?
Уже приводили тут пример: есть автоматическая аренда автомобилей, компания, сдающая их, не спрашивает даже есть ли у тебя права, не то, что для поездки в магазин или для грабежа банка ты её берёшь.
Твоё дело предоставить инструмент, а для чего его будут использовать — это уже всецело на совести того, кто использует.VenomBlood
27.04.2017 07:30Без деталей тяжело понять, но вопрос в позиционировании. Например если они нашли переписку с заказчиком где обсуждались атаки на различные ресурсы где из письма очевидно что речь об атаке, например: «Привет, хочу положить сайт конкурента на неделю, дашь скидку?». Кроме того он не просто сервис содержал, а сам использовал этот сервис для атаки на неугодные ему сайты и незаконно получал деньги. Полагаю основания были считать что целенаправленно позиционировал сервис как сервис для атак на сторонние ресурсы.
Если бы он сам не клал неугодные сайты, не выводил деньги в темную и отказывал клиентам которые очевидно пишут «давай положим конкурента» — тогда бы возможно и никто бы не привлек его.egigd
27.04.2017 08:13Это тогда должно быть в статье! Дескать «в ходе расследования было установлено, что в ряде случаев владелец сервиса целенаправленно предоставлял услуги по атаке чужих серверов, а также атаковал чужие сервера в личных интересах». Но в статье этого нет, а значит исходим из того, что он ничего не знал о том, зачем использовали его сервис, и сам никого не трогал.
VenomBlood
27.04.2017 08:22Это есть в статье, хотя я сначала тоже не обратил внимание и хотел написать мол «желтуха». Хотя впечатление оставляет все равно желтухи.
Сегодня мы приговариваем его к 24 месяцам тюремного заключения за проведение DDoS-атак, девяти месяцам за поддержку работы стрессера Titanium и 24 месяцам за отмывание денег, полученных в качестве дохода от работы стрессера, все сроки отбываются одновременно
И ниже об этом камент есть уже.
Welran
27.04.2017 10:30+2Ну аналогия попроще. Предоставляем простую и незамысловатую услугу грузчика. Едем с клиентом к нему домой и загружаем вещи в грузовик. Правда почему то клиент привез нас в ювелирный магазин и сказал разгрузить шкафы с украшениями. Ну нам то что мы же не в курсе вдруг это его магазин :).
Вы правда думаете что таких грузчиков оправдают?egigd
27.04.2017 11:21+3Если клиент не выламывал дверь на глазах у грузчиков, а спокойно открыл — да.
vedenin1980
27.04.2017 17:01Если клиент не выламывал дверь на глазах у грузчиков, а спокойно открыл — да.
В данном случае, предоставляется сервис по взлому дверей любого помещения, отключению сигнализации и вывозу всего что там есть, при этом сервис предоставляется анонимно, не требует доказательств, что ты владелец и "работает" с ювелирными магазинами и банками.
Какой шанс после этого отмазываться "я думал этот владелец банка заказал проверить работу охраны своего банка и вывести все ценности в укромное место"?
Если как вам обратились проверить работу сигнализации автомобиля путем угона или за взлом квартиры из-за потерянных ключей, а вы не проверяете что это реально владелец и вообще предоставляете сервис анонимно — то в суде это не прокатит почти на 100%.
Tsvetik
27.04.2017 11:29Насколько я знаю по нашему законодательству ответственность несет именно работодатель, а не работник.
zloddey
27.04.2017 13:24Название раздела на сайте "My Attack Logs" (с КДПВ) тоже выбрано совершенно случайно, да?
mickvav
27.04.2017 01:27+1Представьте себе, что вы нашли в поле гаубицу и вывесили в интернете объяву — «тестирую бомбоубежища, 1btc и азимут+дальность». Это что будет, как ни крайм?
egigd
27.04.2017 07:15Вообще-то незаконно даже стрелять из ружья по бутылкам, если только ты не находишься на специально отведённой под стрельбу территории. Так что вновь аналогия абсолютно неправильная.
YurySS
27.04.2017 09:36Пример неудачен.
Гаубица — это оружие, предназначенное для убийства и разрушения.
Стрессер — это всё-таки инструмент двойного назначения.
Сравните лучше с кувалдой, что ли…Metus
27.04.2017 11:20И если этой кувалдой пойти и вынести кому-нибудь дверь, из-за того что владелец забыл ключи, то потом точно также можно сесть, если выяснится, что владелец не владелец вовсе.
DrPass
27.04.2017 01:40Герой статьи не имеет понятия, используется ли его сервис с законной целью проверить свой собственный сервер на устойчивость
Ну почему не имеет понятия? Он же не слепой, кем и для чего используется его сервис, посмотреть может. Позиция этого парня на самом деле такова, что он-то прекрасно знает, что его сервис используется для противозаконных целей, но может с улыбкой говорить «а вы докажите сначала».egigd
27.04.2017 07:20Т.е. если кто-то в арендованной квартире выращивает коноплю, то сажать надо владельца квартиры, т.к. «он же не слепой, кем и для чего используется его квартира, посмотреть может»?..
Platon_msk
27.04.2017 07:46Не совсем верно, по-моему.
Правильнее будет так: парень выращивал коноплю для себя (допустим, что в местности, где он проживает, это разрешено), а вы её начали продавать направо и налево. Он автоматически становится соучастником, так как доказано, что получает за это деньги. То есть как минимум, покрывает нарушителей закона.egigd
27.04.2017 08:15И в каком же месте тут аналогия, когда он ничего для себя не делал, а напротив только предоставлял услугу за деньги?..
DrPass
27.04.2017 11:58+1Т.е. если кто-то в арендованной квартире выращивает коноплю, то сажать надо владельца квартиры, т.к. «он же не слепой, кем и для чего используется его квартира, посмотреть может»?..
Как только следствием будет доказано, что владелец квартиры посещал её, когда там росла конопля, и не сообщил об этом в полицию, то однозначно надо сажать за соучастие. А что вас смущает? Вы допускаете, что парень был не в курсе, что его сервер используется для атак?egigd
27.04.2017 12:02+1Вот как будет доказано — так да. Но большинство владельцев квартир не заглядывают (снимаю квартиру уже года три, ни разу владельцы не заходили).
Очень даже допускаю. Какое ему дело, что там происходит, если сервер работает и деньги приходят?DrPass
27.04.2017 13:54+3Вероятно, что в его случае доказали. Сервер-то логи наверняка имел, и заявок, и входов администратора.
А есть и другой вариант, тоже вполне реальный, как раз касаемо нюансов законодательства. Даже в античные времена СССР уже в УК была уголовная статья «вмешательство в работу автоматизированных систем», под которую прямо попадали действия такого стресс-тестера. Сейчас-то тем более.
Тут есть факт правонарушения — сторонний сервис выводит из строя какой-то сайт. Сервис известен, его владелец тоже известен, факт нанесения ущерба зафиксирован, от потерпевшей стороны есть заявление. И вот в данной ситуации владелец сервиса уже должен доказывать, что он атаковал сайт по согласию его владельца, а не по своей инициативе или преступному умыслу. А если он не хочет доказывать, он должен перенести ответственность на своих клиентов. Но для этого нужно их, во-первых, деанонимизировать, во-вторых, заставить принимать согласие с правилами, где они под чесслово обещают использовать сервис только в легальных целях. Все эти галочки «я согласен с правилами» на всех сайтах с регистрацией, они ведь не просто так сделаны, согласны?
В таком варианте уже другая аналогия возникает. Полиция накрыла квартиру с коноплей, владелец говорит, что это арендатор выращивал, он сам не в курсе, но тогда ему нужно договор с арендатором показать. А договора нет.
MoreBeauty
27.04.2017 04:18+2В статье написано, что сервис автоматический. То есть собак спускал не владелец сервиса, а робот, когда в него опускали монетку
yadobr
27.04.2017 07:05-2Аналогия с киллером ошибочна.
Заказчик ЗНАЕТ, что нарушает закон, договариваясь с киллером.
А парень создавал сервис для проверки на НАГРУЗКУ.
Metus
27.04.2017 09:23Если и приводить аналогии, то тут скорее ближе к ситуации, когда есть слесарь, который открывает двери квартир со сломанным замком, но не проверяет документы на право собственности заказчика.
SerhiyKhomin
26.04.2017 23:37Вот и нет. Парень создал инструмент и давал им попользоваться за плату. Это всеравно что посадить Калашникова.
TimsTims
27.04.2017 00:51+4> Это всеравно что посадить Калашникова.
Нет. Калашников не раздавал автомат всем прохожим, чтобы пострелять куда-они-хотят 60 секунд, а дальше — за деньги.Big_Shark
27.04.2017 03:49-3А если бы раздавал, и кто-то кого-то убил, то вы бы судили Калашникова за убийства?
TimsTims
27.04.2017 08:30+1то вы бы судили Калашникова за убийства?
Непременно. Так во всех цивилизованных странах — если тебе выдают оружие, то ты за него отвечаешь головой. Если "дал пострелять другу", а тот кого-то убил, то ты соучастник. Если "я потерял оружие", то тоже не хило так прилетит.
@Areso Калашников в этом виноват?
Виноват будет тот, кто это организовал.
egigd
27.04.2017 12:08-1Если «дал пострелять другу», а тот кого-то убил, то ты соучастник. Если «я потерял оружие», то тоже не хило так прилетит.
Вот что характерно, за «потерял» прилетит, а за «дал пострелять» — нет.
Даже где-то встречал прецедент: трое друзей по пьяни стреляли по бутылкам и случайно кого-то пристрелили где-то вдалеке. Посадить никого не смогли: установить, кто именно сделал роковой выстрел, невозможно, а статьи за намеренную передачу оружия другим нет. Административно, конечно, всех наказали, в том числе лицензии на оружие лишили. Но посадить не вышло.
P.S. оружие было гладкоствольным охотничьим. Было бы нарезное — там можно было бы посадить за незаконное ношение и незаконную передачу. Но с гладкоствольным за это только административное наказание.
bryukhanovaa
27.04.2017 09:35+3вообще да. того кто будет раздавать автоматы всем прохожим — будут судить
Areso
27.04.2017 05:59-3Тем не менее, в Сомали это весьма легко организовать за весьма скромные деньги. Чуть подороже — в живых людей.
Калашников в этом виноват?
saboteur_kiev
27.04.2017 16:36Он не атаковал сервисы, он грубо говоря предоставлял ружье в аренду.
То, что кто-то пользовался ружьем для нанесения ущерба, а не проверки собственных ресурсов на отказоустойчивость, это не соучастие и не исполнитель.
IMHO можно было дать условно.Metus
27.04.2017 16:44Предоставлял сервера в аренду или всё же предоставлял услуги? Судя по тексту статьи, второе.
saboteur_kiev
27.04.2017 23:58deleted. В оригинале указано что лично тоже ддосил.
Photon79
30.04.2017 13:07-1В статье указано, что ему дали срок за проведение DDoS-атак, а не то, что он лично их проводил… Как говорится: получить срок не значит быть виноватым (особенно в этой стране)
NaHCO3
26.04.2017 23:26+5Плюс ещё такой момент. Сервис лет 5 уже работал. Неужели нельзя раньше было его прикрыть? Вроде же задача правоохранительных органов — предупреждать преступления, а не дожидаться, пока они перейдут в категории «в особо крупном объёме». Пацан день за днём, несколько лет творил преступление, и ему никто об этом даже не сказал. А потом — привет суд, здравствуй тюрьма.
SBKarr
26.04.2017 23:29+31На самом деле, согласно релизу, его посадили за
1. Лично осуществлённые DDOS — 24 месяца — вполне осознанное, намеренное деяние
2. Запуск сервиса для DDOS — 9 месяцев — этого обвинения бы не было, если бы не было первого пункта, ибо хрена с два бы доказали умысел, а без умысла это проступок, а не преступление.
3. Отмывание денег — 24 месяца
То есть, если бы парень не делал атаки самостоятельно и выводил бы деньги легальными способами — не сел бы. Ибо невозможно было бы доказать преступный умысел в создании стрессера.
В итоге, сел он за отмывание денег и выполнение атак самолично, а создание стрессера — приятное дополнение. Теперь сравним это с тем, какие впечатления оставляет статья…AllexIn
26.04.2017 23:30+4Все ясно. Большое спасибо за ваш труд! Уже несколько раз сталкивался с вашими комментариями и я надеюсь все больше будет журналистов работающих как Вы.
SBKarr
26.04.2017 23:37+8В таком стиле факт становится намного более скучным и не привлекает аудиторию. А журналист (на самом деле, редактор, журналист это немного другое), который не привлекающий аудиторию — не нужен СМИ, которое зарабатывает на аудитории. Поэтому — не будет=)
AllexIn
26.04.2017 23:42+3Я платить готов за работу таких журналистов. Мне кажется потребность в таком появилась уже и будет только расти, ибо поток нефильтрованного бреда уже зашкаливает. А разбираться самому нет ни сил, ни желания.
NaHCO3
26.04.2017 23:48+1Интересны подробности и хоть немного контекста. Наши СМИ уже приучили меня к тому, что самого интересного они не говорят.
1. Простите, а как один человек может сделать DDOS? Атаку может да, но она будет не распределённой. Если конечно он ещё ботнет не заведёт, но в этом его не обвиняют.
2. Аналогичный вопрос — почему сервис для distributed атак вместо этого производит централизованные.
3. Что значит «отмывание денег»? Про уклонение от уплаты налогов ни слова, значит не оно. Может он просто биткойны обналичивал? В РФ, например, это вполне себе считается за отмывание денег.SBKarr
27.04.2017 10:13+1Про DDoS — похоже, сам прессрелизер от полиции некомпетентен, от него и тащим. Конечно, для составления новостей такие вещи надо проверять, но для комментария мне было лень.
Про «отмывание» — это внедрение в экономику денег, полученных преступным путём. Получается цепочка: без собственных атак невозможно было бы доказать злой умысел в создании сервиса, без злого умысла в создании сервиса доход с него нельзя назвать доходом, полученным преступным путём. Правда, в британском праве не силён, ориентируюсь на понятия common law.NaHCO3
27.04.2017 12:04+1Ну да. Биткойн может быть получен преступным путём. Ты же не можешь отследить всей цепочки от одного банка до другого. Обналичиваешь биткойн => отмываешь деньги наркомафии.
gs8io0
27.04.2017 12:41признан виновным по трём случаям нарушений по Закону о злоупотреблении компьютером (U.K. Computer Misuse Act) и отмывании денег по Закону о доходах от преступной деятельности (Proceeds of Crime Act)
Не порядок: в «цивилизованных» странах для верности еще изнасилование лепят, чтобы не отвертелся (Ассанж, Стросс Кан и пр.)
YaShum
27.04.2017 13:55+1А как и зачем он отмывал деньги, мне кто нибудь объяснит?
Kehit
27.04.2017 15:31полагаю просто напросто не платил налоги(либо меньше чем надо), то есть скрывал источник дохода.
NaHCO3
27.04.2017 17:51Тогда так бы и написали «уклонение от налогов». Ты можешь вполне честно платить налоги, но при этом отмывать деньги мафии.
YaShum
28.04.2017 17:18То есть достаточно не указать правительству номер своей электронной карточки, что бы сесть в тюрьму?
MTyrz
27.04.2017 14:07отмывание денег, полученных в качестве дохода от работы стрессера
Интересная формулировка, и непонятная.
Либо он скрывал источник денег, и тогда это свидетельство умысла, либо это некомпетентность суда, о чем косвенно свидетельствует формулировка «DDOS» при единственном атакующем сервере.
Смотреть надо.
А впечатление от статьи, подозреваю, изрядно скорректировано местной языковой спецификой.
DrPass
26.04.2017 23:31Это как судить арендодателя автомобиля за совершение преступления на арендованном автомобиле.
Ну наверное более правильная аналогия всё-таки это «судить продавца оружия за продажу оружия преступникам» :) Он же продавал доступ к сервису, прямое назначение которого — закидывать сайты.
Да, я не совмневаюсь, что парень знал что его сервис будет использоватья для совершения преступлений. Но это определенно не делает его виноватым.
Вообще, с юридической точки зрения это как раз делает его виноватым. Это же соучастие в правонарушении.AllexIn
26.04.2017 23:35Стресс тесты бывают полезны и для личных нужд. Для устойчивости собственного сервиса перед большим запуском.
Так что факт предоставления все равно не делает виновным.
Вот то что сам атаки проводил — это да. Потому что должен был убедиться, что сайт принадлежит заказчику.egigd
26.04.2017 23:44Продавая охотничье оружие продавец вовсе не обязан выяснять, является ли покупатель охотником…
Вот т.е. реально нет таких требований в законодательстве.erudebu
27.04.2017 07:10+1если не ошибаюсь в России продавать оружие можно только при наличии лицензии на владение оружием, причем они подразделяются на охотничьи и т.д. так что да, отчасти из лицензии видно кем является покупатель. Но это в России
egigd
27.04.2017 07:27В лицензии видно, что она на охотничье оружие, но является ли её владелец охотником — этого там нет.
Более того, большинство владельцев охотничьего оружия в России на охоте ни разу в жизни не были.lak
27.04.2017 11:03+4Нет. Продавец не продает «охотничье оружие», он продает длинноствольное гладкоствольное или длинноствольное нарезное оружие, а покупатель приходит в магазин с лицензией на приобретение соответствующего вида оружия. Соответственно покупатель с такой лицензией имеет право купить оружие, а продавец имеет право продать его ему, всё, больше там ничего не написано.
После этого купленное оружие человек обязан зарегистрировать и получить право либо на хранение (позволяет только хранить дома в сейфе) либо на хранение и ношение.
С оружием человек может, например, заниматься стендовой или практической стрельбой и тогда это оружие будет спортивным.
Чтобы стать охотником с «охотничьим оружием» придётся получить дополнительную бумажку на отстрел определённого количества определённой дичи и поехать с ней в охотничьи угодья в охотничий сезон.
Если просто так ходить по лесу с ружьем, имея при этом право на хранение и ношение, то вас могут поймать лесники и даже оштрафовать, а если при этом вы застрелите какую ни будь зверушку, то станете браконьером с орудием преступления, а не охотником.egigd
27.04.2017 11:35Цитирую текст из лицензии:
на приобретение одной единицы охотничьего оружия с нарезным (сменным, вкладным) стволом или одной единицы охотничьего комбинированного оружия
lak
27.04.2017 12:14Видел вариант: «на приобретение одной единицы охотничьего или спортивного огнестрельного оружия с нарезным (сменным, вкладным) стволом или одной единицы комбинированного оружия». Возможно более новая версия. Но это все для нарезного, на него даже разрешение просто так сразу не получить, нужно пять лет опыта с гладкоствольным.
Для гладкоствольного: «на приобретение одной единицы огнестрельного гладкоствольного длинноствольного оружия»
Но в целом я был не совсем прав, а истина где-то посередине.egigd
27.04.2017 12:32Возможно что-то поменяли и у меня устаревшие сведения с бланка прошлой серии. Как-то не каждый день с ними дело имеешь.
9660
28.04.2017 06:35Строго говоря для получения нарезного совсем не обязательно 5 лет опыта с гладкостволом.
kibitzer
27.04.2017 10:47Ещё нужен охотничий билет. Который получить конечно не сложно и можно не заниматься охотой. Но надо зарегистрироваться в местном охотобществе и сдать несложный зачёт.
tmin10
27.04.2017 10:57+2Охотничий билет получается в МФЦ, нужно сдать фотографию и немного подождать. На вопрос о знаниях соответствующих нужно ответить «да».
DrPass
27.04.2017 00:35Стресс тесты бывают полезны и для личных нужд. Для устойчивости собственного сервиса перед большим запуском.
Естественно. Но у него же на сайте не было валидации владельца. Если бы шла речь о легальном сервисе, там бы как минимум было бы условие «разместите на своём сайте вот этот скрипт или такой-то файл».
Так что факт предоставления все равно не делает виновным.
Просто факт предоставления не делает виновным. Виновным делает факт предоставления со знанием того, что заказчик планирует правонарушение. И очевидно же, что парень знал, что его сервис используется не столько владельцами сайтов, сколько атакующими. Поэтому вопрос обвинения по данной статье заключался сугубо в том, чтобы это доказать. И раз его по этой статье обвинили, то доказать удалось. Возможно, переписку прочли, возможно, по логам, уже не суть важно.egigd
27.04.2017 07:34Виновным делает факт предоставления со знанием того, что заказчик планирует правонарушение.
«Со знанием» — это когда к тебе приходят и говорят «хочу сервер Microsoft завалить, поможешь».
Но ничего такого тут нету. Сервис работал автоматически, его владелец понятия не имел, для каких целей его используют.
Мог ли он как-то осложнить незаконное использование? Мог, конечно. Но укажите закон, который прямо требует предпринять такие меры — нет его.
Theodor
26.04.2017 23:38+2Вы не опускайте условия. Подобный сервис, по-хорошему, надо делать с подтверждением собственности атакуемого ресурса. А он, судя по описанию, позволял валить все подряд.
Если взять вашу аналогию, то это если бы машины выдавались в аренду без проверки наличия водительских прав, например.egigd
26.04.2017 23:45А машины и сдают без такой проверки!
Подходишь к припаркованному на улице автомобилю, через телефон оплачиваешь аренду, двери автоматически открываются, мотор заводится.tmin10
27.04.2017 00:00первоначальный договор разве не подписывается?
egigd
27.04.2017 00:04Я видел на машине текст типа «отправь SMS на такой-то номер и езжай на мне прямо сейчас». Правда сам не проверял.
tmin10
27.04.2017 00:07Владельцы рисковые парни, видимо. Или за смс сразу сразу списывают цену авто как залог…
egigd
27.04.2017 00:28Автомобиль оборудован системой отслеживания и дистанционного управления двигателем с замками, так что особо не угонишь.
Плюс страховка наверняка есть.dredd_krd
27.04.2017 08:26Насколько я знаю, такие системы дистанционного управления запросто глушатся, и успешно перестают слушаться хозяина. С другой стороны может быть блокировка по отсутствию связи, но и в этом случае злоумышленник вполне может найти нужный блочок уже где-нибудь в подворотне, не торопясь.
egigd
27.04.2017 09:49Так в той же подворотне неспеша можно угнать любой другой припаркованный там автомобиль, если умеешь все блокировки снимать…
martin_wanderer
27.04.2017 09:49А где это было? В Москве каршеринг требует предварительного заключения договора.
egigd
27.04.2017 11:19Я ориентировался на то, что было написано на самом автомобиле.
Сейчас посмотрел на сайте: действительно, нужно загрузить на сайт документы, подтверждающие личность и право вождения. Обманула меня реклама на автомобиле.
Но заключать договор для аренды всё равно не нужно. Только, по желанию, на страховку ответственности. И состряпать в фоторедакторе себе любые документы для загрузки на сайт — не проблема.Fandir
27.04.2017 22:45После загрузки документов необходимо всё равно лично их подписать так что договор заключается в любом случае на твердой бумаге.
braineater
27.04.2017 12:52Это на машине так написано. А если поглубже ковырнуть то договор нужно подписывать а потом уже через приложение управляешь.оплачиваешь.
Komei
27.04.2017 00:00Поддерживаю. Тем более что сам сервис то легальный и полезный. Вот когда мне надо было протестировать своё приложение под нагрузкой, так такой сервис был бы очень кстати.
ggrnd0
27.04.2017 02:25В США есть такая практика.
Округ может подать в суд на владельца авто за причиненный ущерб совершенный с использованием автомобиля.
Иска можно избежать если подать в суд на нарушителя и выиграть. (с) сериал "Однажды ночью"
Вот не знаю насколько можно верить сериалу ...
artskep
27.04.2017 08:28В РФ так можно делать — подать на ущерб владельцу источника повышенной опасности (т.е. автомобиля). А потом он уже может взыскать с виновника.
Но это гражданские терки, а в уголовном праве надо доказывать умысел. Если посадили, то, похоже, сумели доказать.
al33
27.04.2017 09:38То есть наёмный убийца, который сам сделает оружие для убийства по заказу вовсе не преступник?
Скорее всего о том, что и как отвечать прессе и на суде, молодого человека научили. Для уменьшения срока приговора. А вот о том, что он сам думал, когда делал платные услуги такого рода — останется при нём ещё на долгое время.
NikitaE
27.04.2017 10:38Парень предоставил возможность DOS'ить любой сервер, не только свой. Добавь он любую методику подтверждения владения тестируемым сервисом, не было бы иска.
dadyjo
26.04.2017 23:35Если арендовать мощности у амазона и с их серверов запустить "нагрузочный тест" то кого то из амазона посадят в турьму?
lubezniy
27.04.2017 15:55Амазон сначала откажется от предоставления услуг заказчику, а затем при необходимости сдаст его с потрохами в правоохранительные органы.
KiloLeo
27.04.2017 00:09«С рождения Билли пай-мальчиком был.
Имел Билли хобби — Он деньги любил,
Любил и копил.
Все дети, как дети, живут без забот,
А Билка не ест. Да, не ест и не пьет — В копилку кладет.»
Noizefan
27.04.2017 00:43+1Просил бы загружать на сайт html страничку с кодом подтверждения, чтобы клиент доказал, что это его сайт.
Areso
27.04.2017 06:01Таких сервисов с нагрузочным тестированием — 100500, и большинство из них не требуют подтверждения владения. А посадили только владельца одного из них.
artskep
27.04.2017 08:30Остальные, видать, еще никому дорогу серьезно не переходили. Или операторы поумнее и скрываются.
r00tGER
27.04.2017 14:07+1Не первый, и не последний…
Просто, нет возможности поступить «справедливо» — выявить и осудить всех подобных преступников разом.
r85qPZ1d3y
27.04.2017 06:20Вор должен сидеть в тюрьме, верно?
SBKarr
27.04.2017 10:17+1Нужно таки представлять обе точки зрения:
9660
27.04.2017 06:48«Здесь не используются чужие компьютеры, как в случае с DDoS. Это обычный Linux-сервер, подключенный по толстому каналу.»
«Сегодня мы приговариваем его к 24 месяцам тюремного заключения за проведение DDoS-атак»
Чего-то нестыковка какая-то.
DmitrySpb79
27.04.2017 14:01Как показывает мировая статистика, талант и совесть — вещи абсолютно не взаимосвязанные. Немало умных людей пишут зловреды, криптовымогатели и прочую гадость, и прекрасно осознают что делают. Но легких и больших денег хочется же.
Посадили и правильно сделали, другим юным талантам наука. Работать надо честно, в первую очередь перед самим собой.NaHCO3
27.04.2017 14:16> Работать надо честно
Понятие «честно» у всех разное. Сервер желает принимать сообщения — давайте посылать ему сообщения. Сколько влезет. Нужны нетривиальные размышления, чтобы понять, почему это плохо. Вот если ты воруешь кошелёк, там вся плохость деяния очевидна.
Поэтому и оперируют законом, которые в теории один для всех, а не честностью.DmitrySpb79
27.04.2017 14:31Да, если бы он позиционировал свой сервер как инструмент для нагрузочного тестирования, обвесил UI предупреждениями что вся ответственность на заказчике и все такое, еще и честно бы платил налоги, то фиг бы его посадили. Но вопросов перед собственной совестью это не отменяет.
Кстати, 300000$ за 5 лет — это 5000$/месяц, для Британии меньше средней зарплаты программиста (хотя и неплохо конечно для 16-летнего подростка).
xPomaHx
28.04.2017 10:12Мне кажется, что таланта в данном случае нету. А ум как раз таки приводит к совести. Логика тут супер простая, человек это социальное существо, и смогло в отличии от других видов так сильно развиться именно благодаря способности работать слажено большими группами, а совесть это и есть цемент который держит группу вместе.
werklop
27.04.2017 14:32А не проще ли ему было продавать софт для организации такого сервиса? Т.о. он бы не был ни исполнителем, ни заказчиком, аналогия — продажа оружия
MikailBag
28.04.2017 08:42Кому нужен платный софт если есть дофига качественного и бесплатного, например ApacheBench?
werklop
28.04.2017 11:28Тогда зачем же ему платили за его сервис? Настроили бы заказчики сами все у себя и вперед
DrPass
28.04.2017 13:37Если вам нужно сделать какую-то пакость, и у вас есть два варианта — настроить всё у себя и делать её со своих ресурсов, или воспользоваться услугами анонимного сервера, и остаться белым и pushистым, но за небольшую денюжку, вы какой вариант выбрали бы?
werklop
29.04.2017 20:17Я бы не выбрал ни тот, ни другой вариант, а поступил более мудро, настроил все сам, но не со своих ресурсов, а с анонимных, которые я бы арендовал(так же анонимно). Если это невозможно, то значит игра не стоит свеч и нужно работать своими мозгами, а не делать пакости, как какая-то <цензура/>…
DrPass
29.04.2017 21:42Я бы не выбрал ни тот, ни другой вариант, а поступил более мудро, настроил все сам, но не со своих ресурсов, а с анонимных, которые я бы арендовал(так же анонимно)
А в чём мудрость-то заключается? У вас есть платный специализированный сервис, который вам анонимно сделает за вас «грязную работёнку», и есть платный же сервис, который вам анонимно даст пустой хостинг, на котором вам надо развернуть и настроить софт, запустить собственноручно, и надеяться, что админ хостинга не заметит исходящую атаку и не прибьёт вашу систему раньше, чем она выполнит задачу, а потом не предоставит все логи ваших действий в полицию. Какой может быть резон идти вторым путём, кроме любопытства? Вариант, что услуги DDoS-сервера стоят каких-то космических денег в сравнении с арендой VDS, я не предполагаю.werklop
29.04.2017 21:47Со стороны заказчика DDoS-атаки мудрости может и мало, а затрат много, но со стороны разработчика, т.е. Адама Мадда, это боле безопасно. Заработанные им деньги не стоят того, чтобы 2 года сидеть в тюрьме и иметь клеймо судимости на всю жизнь. Это лично мое мнение, возможно от того, что я не стал бы так рисковать, ни за какие деньги
bobych_spb
27.04.2017 18:51Мне кажется, что называть подобную систему «нагрузочным тестированием» не совсем корректно. По сути система нагружала не сайт, а сетевой стек сервера вызывая проблемы в работе сайта. Или кроме syn-флуда и другого «нестандартного поведения» он и просто нагрузку на сайт генерировал?
VMichael
27.04.2017 19:55" Хотим подчеркнуть, что мы не желаем излишне наказывать юношу, но стремимся обуздать его способности, прежде чем они воплотятся в преступление"
Нормально не желают излишне наказывать.
2 года реального срока.
2 года жизни это очень много.
Akelian
27.04.2017 19:55Ну, ну… Аналогичная ситуация и с оружием, если бы его маркировали и прикрепляли покупателю как ID тогда, тот, кто совершил с его помощью убийство, отвечал бы. А тут что, ситуация аналогичная, только в его случае никто не умер. Нужно было вести другую политику, брать например, с пользователей расписку, ФИО реальный имел и т. д. Считаю, что в таком случае, клиентов бы поубавилось, но и на его голову ответственности бы меньше сваливалось, впрочем, такая же ситуация и с оружие получается. Ну, ничего страшного, отсидит свое, ума наберется, изменит свою тактику и гляди, может что-то новое придумает.
pozitronchik
27.04.2017 19:55-12 года это не воспитание а попытка сломать человека, подавить свободу — нерушимое право каждого человека. Лучше-бы напечатали денег парню да направили энергию в полезное русло. Желаю пареньку выйти не сломленным и впредь быть более умным да осторожным, чтобы не попадаться.
Лично я вообще против того, что любой закон любой страны лезет в монастырь свободного интернета со своим уставом.Mingun
27.04.2017 21:04Я бы все-таки советовал не заниматься скользскими делами, а не "не попадаться".
DrPass
28.04.2017 02:20+12 года это не воспитание а попытка сломать человека, подавить свободу — нерушимое право каждого человека.
Ну не знаю, когда я в 13 лет с дворовой шпаной обчищал по ночам киоски, а потом бездушная машина власти попыталась меня сломать и подавить мои нерушимые права, то мне это пошло только на пользу. Полагаю, если юноша в 20 лет попался по криминальной статье, размер воспитательного пенделя в 2 года лишения свободы — вполне справедливый вердикт. В таком возрасте поздновато цацкаться и пелёнки менять, пора уже иметь какие-то мозги и нести ответственность.
Лично я вообще против того, что любой закон любой страны лезет в монастырь свободного интернета со своим уставом.
А за то, что законы страны запрещают вас грабить на улице, поджигать вашу квартиру, угонять вашу машину, вы ведь не против, да? А почему вы к «свободному интернету» это не применяете? Потому что у вас там нет вашего имущества, наверное? Ну вот у компаний и людей, которые ведут там бизнес, есть имущество в интернетах. И они хотели бы какой-то защиты этого имущества.
DjOnline
27.04.2017 21:34+1Можно было легко сделать его более легальным, если бы во время регистрации подтверждались права владения доменом, как это сделано во всех сервисах типа вебмастера и других, через dns запись или заливку определённого txt/html файла. Но да, тогда доход бы бы в сотни раз меньше :)
NaHCO3
> но он использовал свой талант для получения личной выгоды за счёт других,
За чей же счёт? Он что у кого-то угнал свой компьютер? То ли переводчик глючит, то ли пресс-секретарь только стандартными фразами владеет.
romankonstant
За счёт тех, кто оплачивал услуги "якобы теста", а вместо этого атаковал Microsoft.
Странно кстати, что его посадили а не их.
ProffesorMax
Вот вот, непонятен момент, чувак предоставлял услугу для тестирования своих серверов, а то что кто-то использовал противоправно, не должно колыхать. Ведь не сажают продавца ножа, если покупатель им кого то грохнул… Походу адвокат схалтурил.
vedenin1980
Представьте что вы предоставляете услугу эвтаназии, любой может анонимно обратиться к вам, чтобы уйти из жизни, а вы со снайперской винтовкой по-тихому ему поможете. При этом вы не спрашиваете никаких доказательств, что к вам обратился именно сам человек. Неожиданно вас обвиняют в десятках заказных убийств хотя казалось бы за что, ведь вы не киллер, вы специалист по эвтаназии…
ProffesorMax
Не путайте, испытание своих каналов — не запрещено.
DrPass
А его осудили и не за это, вообще-то. Осудили за «испытание» чужих каналов, без согласия владельцев.
vedenin1980
Так есть страны где эвтаназия не запрещена (Бельгия, Люксембург, Канада). Тем не менее вряд ли хоть один суд в этим странах примет аргумент "я не киллер, а просто предоставляю услуги эвтаназии, забывая проверить что он сам себя заказал"
То же самое с сервисами взлома дверей в квартиры, проверки автомобильной сигнализации посредством угона, проверки безопасности детей посредством тестового похищения. Ни один суд в мире не примет аргумент "я просто предоставляю сервис анонимным клиентам не спрашивая документов, подтверждающих что они реально владельцы квартир, авто, родители детей и т.д.".
9uvwyuwo6pqt
В этих странах эвтаназия скорей всего жестко регламентирована законом, а стресс-тестер нет.
vedenin1980
Стресс тестер тоже регламентирован. Во всех этих странах запрещено атаковать чужие сайты, мешая их работе. То есть если атакуешь сайт требуется доказать что именно владелец тебе это разрешил.
Ближайший аналог сервис по сносу частных домов, если компания начнет сносить дома не требуя доказательств владения и принимая анонимные заявки и платяжи — отвечать будет компания и ее владелец.
Schrodinger_Kater
В том то и дело, что каналы то, в большинстве случаев, были чужие :D
И срок «товарищ» получил не за умственные способности, а именно за собственную глупость. Такого рода системы должны быть качественно защищены с юридической точки зрения как минимум (это уже накладывает некоторые ограничения на сервис, но снимает часть ответственности с владельца). С технической точки зрения, банальная защита, основанная на возврате кода, высланного на адрес электронной почты, указанный при регистрации домена (этим пользуются, например, ЦС), практически полностью исключит возможность тестировать «несвои» домены, но это на порядок снизит приток прибыли. Человек (вероятно) умышленно исключил данного рода проверку — на лицо состав преступления. А на ответ «я не знал» есть классическая формулировка: «незнание закона не освобождает от ответственности».
Замечу, что люди такого рода попадаются обычно на совершенно глупых мелочах. В добавок, «правозащитная система» всегда пытается из таких ситуаций сделать показательное судилище в назидание тем, кого еще не поймали. ИМХО, людей в конечном итоге губит банальная жадность.
MTyrz
Второе, второе.
Пресс-секретарь — это такая особенная должность…
vvadzim
За счёт людей, чьи компьютеры он атаковал. Он получал деньги за то, что другие люди теряли деньги. И в данном случае, мое мнение (не юридически, а практически) — это не упущенная выгода, это причинение ущерба. Сродни блокировке выезда для транспорта.
shasoft
У чувака есть винтовка. Ему платят за то, что он направляет её на определенную точку и предоставляет возможность нажать на спуск удаленно. Так что виновен. И отмазка типа «мой сервис для тестирование стен на пробиваемость» не прокатывает.
Schrodinger_Kater
> но он использовал свой талант для получения личной выгоды за счёт других
Не понимаю, что не ясно в данной формулировке. Сервис, в его используемой форме, подразумевает перекладывание ответственности с владельца ресурса на его пользователей. Позиция разработчика такова: «я, честный гражданин, разработавший данный сервис для благих целей, а с его незаконным использованием разбирайтесь сами». Данная концепция автоматически указывает, на то, что разработчик заведомо знал о возможном применении сервиса в незаконной деятельности и использовал это неявное условие для собственного обогащения
за счет других(«это же „они“ закон нарушают, а не я, а то, что они за это мне деньги платят это их дело»). Судебную систему обычно такие формулировки не убеждают, её позиция: «затеял игру — устанавливай правила, не можешь — проконсультируйся у специалистов, не в силах — не начинай игру».Никак не получается кратко формулировать ответы, приходится целую эпитафию писать. А за комент наплюсовали, вероятно любители именно такого вида деятельности))
P.S. Судебное взыскание, при определенных условиях, может быть осуществлено даже при легальной деятельности. (предупреждаю, пример абстрактно-утопический) Некая компания владеет суперкомпьютером с доступом к нему из интернета, логин/пароль доступа остались по умолчанию. Далее оказывается, что с помощью данного ресурса была взломана система управления запуском ракеты со спутником для полета к Сириусу, ракета упала при старте, все сгорело. Этой «некой компании» вполне могут предъявить иск за халатность.
NaHCO3
> Не понимаю, что не ясно в данной формулировке.
Он за свой счёт покупал сервера, не за чужой. При этом возможно наносил ущерб другим. Но между ущербом другим и прибылью ему не было такой строгой связи, которая есть в формулировке «получение личной выгоды за счёт других»
Schrodinger_Kater
Сервера, это так сказать стартовый капитал, а зарабатывал он деньги, совершая «преступления» чужими руками, то есть «за чужой счет». Тонкая грань, но вполне ощутимая. С другой стороны, если это наложить на модель: «один человек работает, а другой, за чужую работу получает деньги», то нелепым тут оказывается тот факт, что заказчики/исполнители выглядят вроде бы добропорядочными людьми))
NaHCO3
> совершая «преступления» чужими руками
Это как?
Schrodinger_Kater
Просто. Самый классический пример — это руководитель ОПГ. Сам он по сути не совершает никаких преступлений, а только отдает указания, реально же их совершают другие люди. В данном случае, зная психологию людей, зная, что они склонны совершать незаконную деятельность в данной сфере, просто предоставляет им возможность ее совершать, здесь даже указания давать не надо, это как красная тряпка — создаешь сервис с таким функционалом и можешь быть уверенным, что им воспользуются. Все обвинение строилось именно на этом нюансе. Не сделай он такой лазейки его бы никто не обвинил.