English translation below
Хакни каквото искаш, не го разпространявай и дори да те хванат, няма да има наказание. Звучи глупаво, но точно на това ни научи историята с хакването на НАП.
В Наказателния кодекс на България има цяла глава, посветена на компютърните престъпления. По нея обаче масовото наказание е до 3 години. Което означава, че прокуратурата е длъжна да освободи от наказателна отговорност всеки, който е хванат, че е хакер, но до този момент има чисто съдебно минало. На всичкото отгоре това се случва, след като се похарчат една камара пари за различни експертизи, да не говорим за часовете, в които разследващите са търсили следи, за да установят извършителя. И всичко това, за да може накрая хакерът да получи глоба от 1000 до 5000 лв. И да остане с чисто досие!
Така човек може пак да хакне и да се размине с условна присъда. Чак на третата атака ще влезе в затвора.
Да, ама не, както казваше покойният Петко Бочаров. Затвор ще има само ако всяко следващо хакване е направено след влязла в сила присъда за предишно. А както видяхме от случая с Кристиян Бойков, за престъпление с подобно наказание мярката за неотклонение е подписка. Така той, както и всеки друг с компютърни умения,
може да удари
всички некритични
инфраструктури в
държавата и да
плати само глоби
А подобни данни се търгуват и човек може да изкара мнооооого пари от тях. Чиста инвестиция!
Срещу нея дори можеш да търгуваш с държавна тайна. Защото според НК, който се сдобие с такава чрез хакване, получава наказание до 3 г. затвор. Тоест отново наказанието е административна глоба.
Дали конкретно инвестицията на Кристиян Бойков е добра, предстои да разберем. Защото освобождаването от наказателна отговорност бе предвидено за първото му обвинение, но вече чухме, че той е изпълнител, а има и поръчител. Казаха го главният прокурор Сотир Цацаров и заместникът му Иван Гешев. Младежът вече бе обвинен в тероризъм, защото според обвинението хакерските атаки, които е осъществил, и последвалото разпространение на придобитите бази данни на Националната агенция за приходите целят всяване на паника и страх у населението. Там вече затворът е от 5 до 15 години. Но само и единствено защото файловете бяха разпратени до медиите. Ако не го бе направил, щеше да му се размине. Дори сега съществува тази възможност. Той може да намали присъдата си с 1/3 с признаване на вина, но дори тогава се получава ефективно наказание, ако бъде осъден на минималните 5 г. Но това е особен случай и основното обвинение е за тероризъм, а не за самото хакване.
За да влезе
хакер нетерорист
в затвора, има
едва 6 възможности
Да, ама не. От тези 6 опции едва 2 предвиждат минимално наказание от 5 г. - ударите по критична инфраструктура и тези от банди. При всички други случаи най-вероятната присъда би била условно наказание.
Затова сега пред държавата стои задачата не само да засили защитите на базите данни, но и да приведе наказателната уредба в съответствие със съвременните престъпления.
Все пак
сигурността на
държавните
компютри трябва
да е преди всичко
Защото да ви хакнат с SQL инжекция, е адски тъпо. SQL инжекциите обикновено са 1 ред код, написан на SQL (компютърен език за структурирани запитвания - б.а.). Въпросният код се пуска в някое празно поле за дадена заявка (дори търсачка върши работа). Това я чупи и тя показва колоните и редовете на дадена база данни. А когато имаш имената на тези колони - лесно ги добавяш в нова SQL инжекция и това ти изплюва цялата база с тези идентификатори.
Дори да институциите да си оправят всички системи обаче, държавата трябва да знае, че въпреки всичко те могат да бъдат хакнати. Миналото ни показва, че има и по-изобретателни начини. Реално няма българска институция, която в последните години да не е била подложена на хакерска атака. Опити за проникване в базите данни е имало срещу Министерския съвет, външното министерство, отбранителните комуникации и кой ли още не.
В двата тура на местните избори през октомври и ноември 2015 г. няколко правителствени сайта, сред които и страницата на Централната избирателна комисия, бяха недостъпни. Причината бе огромна и координирана DDoS атака.
Според основната версия това бе начинът на група политически заинтересовани хора да покажат колко незащитено и неподготвено е българското уеб пространство за електронното гласуване. Това бе първият масов пример за хактивизъм в България. Според оперативни данни хакерският удар идва от Москва.
Заподозряна е близката до ГРУ група Fancy Bear. Използвана е т. нар. DDoS технология. При нея към даден сайт се осъществяват стотици хиляди заявки за отваряне на страницата в секунда. В случая с изборите - над 8 милиона в секунда. Това блокира сайта и той не се отваря, защото не може да се справи със заявките. Има два варианта за атака - чрез доброволно участие или с ботнет.
За ударите в деня на изборите е избран вторият начин. За да прикрият следите си, нападателите са използвали “зомбирана” ботнет мрежа. Тя може да се купи за около 10 000 долара на час в т. нар. даркнет. При ботнет атаката използват потребители, чиито компютри са
заразени, например
чрез теглене на
нелегален софтуер,
в който е вкаран ботът. Така хардуерът се превръща в зомби агент, който само чака да бъде използван.
Ботът е вирус, който може да изпълнява автоматични действия, които да навредят на компютъра или друга посочена цел. Изключително уязвими са и смартфоните, които имат по-малко защити. Използването на ботове позволява автоматизацията на различни задачи. Така, осигурил си армия от зомбита, нападателят атакува. За да е по-сигурен, замаскира IP адреса си чрез IP Spoofing, което прави откриването му доста по-трудно.
A ако ги открият - наказанието е до 2 г. затвор...
И докато българските служби търсеха поръчителите на атаката, други непрофесионални хакери показаха, че дори не са нужни компютърни умения, за да се нанесе такъв удар.
На 10 декември 2015 г., ден след оставката на правосъдния министър Христо Иванов, аматьори използваха чешки сайт за шеги, за да разпратят фалшив мейл уж от името на ДБГ и Меглена Кунева. С него бе “съобщено”, че Кунева и партията се оттеглят от властта.
Измамата бе осъществена
през чешкия сайт emkei.cz
Благодарение на него като подател на съобщението излизаше истинският мейл адрес на партията на Кунева.
Измамата с адреса става много просто. При всеки изпратен мейл сървърът на подателя изпраща данните до този на получателя. Той прави проверка и ако IP-тата съвпаднат, писмото минава за действително.
Инструментите за заблуда обаче са изключително лесни. В случая на emkei.cz е качен PHP скрипт на мейл услуга. Авторите на сайта са го написали така, че да може дори да се прикачват файлове като снимки, текст и видео.
Тези ги откриха. Само че това дори не е хакерство, а фалшиви новини. Които пък съвсем не са криминализирани и хиляди сайтове ги бълват всеки ден по разнообразни теми - от имотно състояние на министър (какъвто случай се появи и покрай атаката срещу базите данни на НАП) до това, че норвежки хомосексуалисти пристигат със самолети в България, за да крадат деца от родителите им.
Две години по-рано няколко компютърни спецове пък успяха да се изгаврят с правителството, отново без да нарушават закона.
При написването на думата “оставка” топрезултатът в търсачката на гугъл бе сайтът на Министерския съвет. Атаката бе толкова успешна, че все още е активна - при търсене с ключова дума “оставка” страницата на правителството продължава на излиза на първо място.
Манипулирането става
по два начина
Единият е т.нар. онсайт SEO, или вътрешна оптимизация. При него се извършват подобрения в самия сайт с цел по-добро индексиране. Най-честите методи са добре структурирано и описано съдържание, правилно поставени заглавия и подзаглавия, карта на сайта и вътрешна мрежа от линкове, препращаща към друга част на уебстраницата.
Съществува и оптимизация извън сайта, за който се прилага. Тя се нарича офсайт SEO. При нея се добавят линкове към страницата в други сайтове и се поставя дума, с която да се асоциира заложеният линк. Това увеличава доверието в сайта и го индексира на по-висока позиция.
Същият ефект се постига и чрез поставяне на реклами в други сайтове. Това е основното средство за постигане на гугъл бомба. Така бе ударен сайтът на правителството.
Именно заради липсата на наказание тази атака бе толкова успешна. Защото хората вече знаеха, че тя е безнаказана. Преди нея имаше цели 2 такива. При първата през 2009 г. топрезултатът на гугъл за думата “провал” бе сайтът на МС. През 2011 г. топрезултатът при търсене на думата “Гоце” бе сайтът на президента Георги Първанов.
Така че сега е ред не само на защити. Защото пак ще ни хакнат. А ако това стане, следва да има адекватни наказания. Защото в момента най-тежката присъда за хакерство е колкото за един избит зъб.
Crime without punishment? You could, for hacking
Hack whatever you want, don't spread it and even if you get caught, there will be no punishment. It sounds silly, but that's exactly what the NRA hacking story taught us.
The Penal Code of Bulgaria has a whole chapter on cybercrime. However, according to it the mass punishment is up to 3 years. Which means that the prosecutor's office is obliged to release from criminal responsibility anyone who is caught being a hacker, but so far has a pure judicial background. On top of that, after spending a pile of money on various expertises, not to mention the hours in which investigators searched for clues to identify the perpetrator. And all this, so that the hacker can finally get a fine of 1000 to 5000 levs and stay with a clean file!
So one can again hack and get away with a suspended sentence. Not until the third attack will he go to prison.
Yes, but no, as the late Petko Bocharov used to say. There will only be prison if any further hacking is made after a previous sentence has been enforced. And as we have seen from the case of Christian Boykov, for a crime with such the remittance measure is a subscription. So he, like anyone else with computer skills, can hit all non-critical infrastructures in the state and pay only fines.
A similar data is traded and one can make a lot of money out of it. Pure investment!
You can even trade state secrets against and get a gine. Because according to the Penal Code, he who obtained state sectets through hacking, is sentenced to up to 3 years in prison. In other words, the punishment is an administrative fine.
Whether the investment of Christian Boykov is good is yet to be seen. Because the release from criminal responsibility was foreseen for his first charge, but we have already heard that he is a contractor and he has a surety. Chief Prosecutor Sotir Tsatsarov and his deputy Ivan Geshev said it. The young man has already been charged with terrorism, because, according to the prosecution, the hacking attacks he has carried out and the subsequent dissemination of the National Revenue Agency's acquired databases aim to instill panic and fear in the population.
The prison sentence, if proved guilty, is now 5 to 15 years. But only because the files were sent to the media. If he hadn't done it, he would have passed the fine. Even now there is this possibility. He can reduce his sentence by 1/3 with a guilty plea, but even then he gets an effective sentence if he is sentenced to a minimum of 5 years. But this is a special case and the main accusation is for terrorism, not hacking itself.
To get a hacker into prison, there are only 6 possibilities. Yes, but no. Of these 6, only 2 provide a minimum sentence of 5 years - critical infrastructure and gang strikes. In all other cases, the most likely sentence would be probation. Therefore, the state now has the task not only to strengthen the protection of databases, but also to bring the criminal justice system in line with modern crimes.
However, the security of public databases should be first and foremost because hacking you with SQL injection is pretty dumb. SQL injections are usually 1 line of code written in SQL (computer structured query language - BA). The code in question is put in some blank box for a given query (even a search engine does the job). This breaks it and it shows the columns and rows of a database. And when you have the names of these columns - you easily add them to a new SQL injection and it spits the entire database with these identifiers.
However, even if institutions have to deal with all systems, the state should know that they can nevertheless be hacked. The past shows us that there are more inventive ways. There really is no Bulgarian institution that has not been attacked in recent years. Attempts have been made to penetrate the databases against the Council of Ministers, the Foreign Ministry, defense communications and who else.
In both October and November 2015 local elections, several government sites, including the Central Election Commission website, were inaccessible. The reason was a huge and coordinated DDoS attack.
According to the basic version, this was the way for a group of politically interested people to show how unprotected and unprepared the Bulgarian web space is for electronic voting. This was the first mass example of hacktivism in Bulgaria. According to operational data, the hack came from Moscow. The Fancy Bear group, close to the GRU, is suspected. The so-called DDoS technology was used. It handles hundreds of thousands of page requests per page per second. In the case of the elections - over 8 million per second. This blocks the site and it does not open because it cannot handle requests.
There are two options to attack - by volunteering or using a botnet. Election day strikes are the second option. To hide their tracks, the attackers used a "zombie" botnet. It can be bought for about $ 10,000 an hour in so-called blacknet. The botnet attack is used by users whose computers are infected, for example by downloading illegal software into which the bot is inserted. Thus, the hardware becomes a zombie agent just waiting to be used.
A bot is a virus that can perform automatic actions that can harm your computer or other specified purpose. Smartphones with less protection are also extremely vulnerable. The use of bots allows the automation of various tasks. So, securing an army of zombies, the attacker attacks. To be more secure, it masks its IP address through IP Spoofing, which makes it much more difficult to detect.
And if they are found, the punishment is up to 2 years in prison ...
While the Bulgarian services were looking for the guards of the attack, other non-professional hackers showed that they did not even need the computer skills to deal such a blow. On December 10, 2015, a day after the resignation of Justice Minister Hristo Ivanov, amateurs used a Czech joke site to send a fake e-mail on behalf of DBG and Meglena Kuneva.
The media was "informed" that Kuneva and the party were withdrawing from power. The fraud was carried out through the Czech site emkei.cz. Thanks to him, as the sender of the message came out the real email address of Kuneva's party.
To sum it up, the address fraud is very simple. For each mail sent, the sender's server sends the data to the sender's server. He checks and if the IPs match, the letter goes into effect. However, the tools for deception are extremely easy. In the case of emkei.cz, a PHP script of a mail service was uploaded. The site's authors have written it so that it can even attach files such as photos, text and videos.
For what is worth, the senders got caught. But it's not even hacking, it's fake news. Which are not criminalized at all, and thousands of websites are chasing them every day on a variety of topics - from a minister's estate (whatever the case may be, along with the attack against the NRA databases) to the fact that Norwegian homosexuals arrive by plane to Bulgaria to steal children from their parents.
Two years earlier, several computer technicians were able to get along with the government without breaking the law again. When writing the word "resignation," the top search engine result was the Council of Ministers website. The attack was so successful that it is still active - when searching for the keyword "resignation" the government page continues to come out first.
There are two ways of manipulation. One is the so-called in side SEO, or internal optimization. It does improvements to the site itself for better indexing. The most common methods are well-structured and described content, proper headings and sub-headings, a sitemap and an internal link that links to another part of the website. There is also optimization outside the site to which it applies. It's called offsite SEO.
It adds links to the page on other sites and puts a word to associate the bookmarked link. This increases the site's credibility and indexes it to a higher position. The same effect is achieved by placing ads on other sites. This is the primary means of reaching a Google bomb.
That's how the government site was hit. It was because of the lack of punishment that this attack was so successful. Because people already knew they were not going to be punished. Before that attack, there were as many as 2 of them. The first in 2009 to google the word "failure" was the Council of ministries site. In 2011, the top result when searching for the word "Gotse" was the site of President Georgi Parvanov.
So now it's not just the defense of databases, information and site. Because they will hack us again. And when that happens, there should be adequate penalties. Because at the moment, the most serious sentence for hacking is as much as a person would get for breaking someone's tooth.