渗透行为的法律定性【T00ls法律讲堂第二十期】
依照刑法第二百八十五条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
对于黑客来说,正如许多论坛里蠢蠢欲动追求积分的白帽子们,渗透应该是最能展示其能力的武功之一了。这里对该行为向大伙做个简单的法律分析,本文只针对未经授权的行为。为了方便了解,就拿圈内经常传的日卫星来做例子吧。
案例(纯属虚构):小道15岁,热衷于网络黑客技术,经常在谷歌搜索目标练习武艺,希望小有所成后能够报效祖国,某日小道正常googlehack,无意又找到了一个好下手的目标,于是施展了一套广播体操,注入、种马、提权、漫游内网一气呵成,但进去后小道懵逼了,首先全英文不说,反正都看不懂,但是小道玩过红警,里面有许多类似红警的卫星图片,此时小道才知道他进入了A国军事服务器,当时出于害怕,观摩了一会便离开下线了。
行为法律解析:通过googlehack这样的查询语句,可以简单发现网站存在的漏洞,这样的行为,可以定性为犯罪预备,即为犯罪准备工具、制造条件的行为。依照我国刑法规定,对于预备犯,可以比照既遂犯从轻、减轻处罚或者免除处罚。在实务中,如果不是案发后对本机做取证工作,单纯googlehack行为很难被发现,如果没有后续的违法动作,仅针对此行为一般也不予处罚。
关于SQL注入和上传ASP这样的行为,可以认定为非法侵入计算机信息系统的手段,对于主观上是出于好奇、逞能、报复等都不影响对该罪的法律定性。但是本罪侵犯的客体是国家重要领域和要害部门的计算机信息系统安全,本案中,小道入侵的可能是军事,是否属于犯罪客体应当由省级以上负责计算机信息系统安全保护管理工作的部门检验确认(对此很多办案机关也存在主观臆断,不做检验确认说明),如果是则可以被认定为非法侵入计算机信息系统罪,依照刑法第二百八十五条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
对于侵入后在内网浏览服务器的数据库或源码等内容,这样的行为在法律上可以证实小道非法侵入行为的既遂,可以依照计算机信息系统内容的重要程度和小道浏览的具体情况来判断最终的量刑。
很多时候,行为人使用各种武艺,都不能渗透成功,这样的行为如何定性呢,首先法律规定本罪为行为犯,即只要实施这样的行为即可构成犯罪,但是因为武艺不够或者其它客观因素,不能侵入成功,则应当构成未遂,对于未遂犯,可以比照既遂犯从轻或者减轻处罚。这里要提醒大家的是,没有可以免除处罚这么一法律规定(所以NO ZUO NO DIE)。
最后,小道案发时只有15周岁,只对刑法规定的强奸、故意杀人等八类案件负刑事责任,所以小道未达到本案中应负刑事责任的年龄,因此小道完全不用担心被查水表。
延生一下,如果小道入侵的是其它计算机信息系统,比如某公司,且仅有入侵行为,则不能构成本罪。是否构成犯罪或者构成其它犯罪,应当分析小道入侵后的行为或结果,具体下文再释。
案例(纯属虚构):小道15岁,热衷于网络黑客技术,经常在谷歌搜索目标练习武艺,希望小有所成后能够报效祖国,某日小道正常googlehack,无意又找到了一个好下手的目标,于是施展了一套广播体操,注入、种马、提权、漫游内网一气呵成,但进去后小道懵逼了,首先全英文不说,反正都看不懂,但是小道玩过红警,里面有许多类似红警的卫星图片,此时小道才知道他进入了A国军事服务器,当时出于害怕,观摩了一会便离开下线了。
行为法律解析:通过googlehack这样的查询语句,可以简单发现网站存在的漏洞,这样的行为,可以定性为犯罪预备,即为犯罪准备工具、制造条件的行为。依照我国刑法规定,对于预备犯,可以比照既遂犯从轻、减轻处罚或者免除处罚。在实务中,如果不是案发后对本机做取证工作,单纯googlehack行为很难被发现,如果没有后续的违法动作,仅针对此行为一般也不予处罚。
关于SQL注入和上传ASP这样的行为,可以认定为非法侵入计算机信息系统的手段,对于主观上是出于好奇、逞能、报复等都不影响对该罪的法律定性。但是本罪侵犯的客体是国家重要领域和要害部门的计算机信息系统安全,本案中,小道入侵的可能是军事,是否属于犯罪客体应当由省级以上负责计算机信息系统安全保护管理工作的部门检验确认(对此很多办案机关也存在主观臆断,不做检验确认说明),如果是则可以被认定为非法侵入计算机信息系统罪,依照刑法第二百八十五条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
对于侵入后在内网浏览服务器的数据库或源码等内容,这样的行为在法律上可以证实小道非法侵入行为的既遂,可以依照计算机信息系统内容的重要程度和小道浏览的具体情况来判断最终的量刑。
很多时候,行为人使用各种武艺,都不能渗透成功,这样的行为如何定性呢,首先法律规定本罪为行为犯,即只要实施这样的行为即可构成犯罪,但是因为武艺不够或者其它客观因素,不能侵入成功,则应当构成未遂,对于未遂犯,可以比照既遂犯从轻或者减轻处罚。这里要提醒大家的是,没有可以免除处罚这么一法律规定(所以NO ZUO NO DIE)。
最后,小道案发时只有15周岁,只对刑法规定的强奸、故意杀人等八类案件负刑事责任,所以小道未达到本案中应负刑事责任的年龄,因此小道完全不用担心被查水表。
延生一下,如果小道入侵的是其它计算机信息系统,比如某公司,且仅有入侵行为,则不能构成本罪。是否构成犯罪或者构成其它犯罪,应当分析小道入侵后的行为或结果,具体下文再释。
关于作者
评论73次
然而司法实践流程却是 先抓人后批捕然后再找口袋罪(视是否触及秘密或利益而定)除了国家军事尖端,定损为0没有任何危害犯罪未遂的情况最多大部分情况下免得跨省都是电话警告+当地派出所报道警告
很简单的道理有没有证据都一样不管是哪种行为触犯的属于刑法内容,网站的旁路监控电信的联动报警一旦攻击ip自动溯源隔天就上门抓捕"嫌疑人"24小时后转移看守所 现场往往还带着几个公司的"技术人员"破坏计算机xi统信息罪(ddos) 非法入侵计算机罪(后台弱口令) 非法获取计算机信息xi统数据罪(sql注入)非法控制计算机信息xi统罪(菜刀取证)提供非法入侵计算机工具罪(电脑取证到的入侵脚本翻墙工具)能定下3年以上的先抓人都是很正常的就看用哪个口袋装 当然这是认真的情况正常一般都不会这么做法律应该有绝对的警示作用,宣传法律作为科普其实不太得当可以多引用www.ajxxgk.jcy.cn 真实案例其中有部分文书逻辑性泄漏了人员信息有必要其实还可以做一定的采访
如果是国外的如何判定呢
楼主,可以标明出处,排版一番转发到学校社团公众号嘛
原来在一本书上看到过在网站上输入" ‘ " 单引号就会被判定为入侵行为(除非你的用户名有单引号这种特殊字符)
然而司法实践流程却是 先抓人后批捕然后再找口袋罪(视是否触及秘密或利益而定)除了国家军事尖端,定损为0没有任何危害犯罪未遂的情况最多大部分情况下免得跨省都是电话警告+当地派出所报道警告
没那么夸张哦,一点证据都没有的情况下,是没法抓人的
很简单的道理有没有证据都一样不管是哪种行为触犯的属于刑法内容,网站的旁路监控电信的联动报警一旦攻击ip自动溯源隔天就上门抓捕"嫌疑人"24小时后转移看守所 现场往往还带着几个公司的"技术人员"破坏计算机xi统信息罪(ddos) 非法入侵计算机罪(后台弱口令) 非法获取计算机信息xi统数据罪(sql注入)非法控制计算机信息xi统罪(菜刀取证)提供非法入侵计算机工具罪(电脑取证到的入侵脚本翻墙工具)能定下3年以上的先抓人都是很正常的就看用哪个口袋装 当然这是认真的情况正常一般都不会这么做法律应该有绝对的警示作用,宣传法律作为科普其实不太得当可以多引用www.ajxxgk.jcy.cn 真实案例其中有部分文书逻辑性泄漏了人员信息有必要其实还可以做一定的采访
大佬你好,问个问题,就像你刚才提到的这个后台弱口令,如果只是登陆进去没做其他操作,会被判刑吗?
然而司法实践流程却是 先抓人后批捕然后再找口袋罪(视是否触及秘密或利益而定)除了国家军事尖端,定损为0没有任何危害犯罪未遂的情况最多大部分情况下免得跨省都是电话警告+当地派出所报道警告
没那么夸张哦,一点证据都没有的情况下,是没法抓人的
很简单的道理有没有证据都一样不管是哪种行为触犯的属于刑法内容,网站的旁路监控电信的联动报警 一旦攻击ip自动溯源隔天就上门抓捕"嫌疑人"24小时后转移看守所 现场往往还带着几个公司的"技术人员" 破坏计算机xi统信息罪(ddos) 非法入侵计算机罪(后台弱口令) 非法获取计算机信息xi统数据罪(sql注入) 非法控制计算机信息xi统罪(菜刀取证) 提供非法入侵计算机工具罪(电脑取证到的入侵脚本翻墙工具) 能定下3年以上的先抓人都是很正常的就看用哪个口袋装 当然这是认真的情况正常一般都不会这么做 法律应该有绝对的警示作用,宣传法律作为科普其实不太得当 可以多引用www.ajxxgk.jcy.cn 真实案例其中有部分文书逻辑性泄漏了人员信息有必要其实还可以做一定的采访
我想问一下,src上的能上马吗?
我感觉这个有点儿扯吧,现在CNVD啥的都接受gov的漏洞...看操作定性吧
是的,接受漏洞就如同接受举报,你可以举报某会所容留xi毒,但是你不一定要亲自参与xi毒或贩毒。
然而司法实践流程却是 先抓人后批捕然后再找口袋罪(视是否触及秘密或利益而定)除了国家军事尖端,定损为0没有任何危害犯罪未遂的情况最多大部分情况下免得跨省都是电话警告+当地派出所报道警告
没那么夸张哦,一点证据都没有的情况下,是没法抓人的
如果提交 gov的漏洞给cvnd 他是接还是不接 接了 如果还要逮捕人 这又是怎么个情况 (纯属意淫)
呵呵,移交该漏洞所属的所有人咯
请问下:1、仅仅做无害检测,比如sql注入and 1=1这种情况法律定性是什么?2、各大公司网络空间扫描,版本探测这种法律上定性是什么?
仅语句查询用于检测,一般情况不予处罚。 扫描如同批量检测排查,只要对计算机信息xi统运行不造成影响,不构成犯罪。
多谢徐昊律师的解答。 也就是检测、探测性质的不构成犯罪。(很多时候,行为人使用各种武艺,都不能渗透成功,这样则应当构成未遂,对于未遂犯)能举个列子他做了什么才能算未遂犯,感觉一般渗透前期都是检测性质的。 攻击和检测界限也难确定,爆破也算检测,因为没有对xi统造成危害,也感觉算攻击。
如文中简述,一般情况下,检测是预备阶段,发现目标后开始采用其它技术手段为实施行为阶段。
咨询一下:如果警察要求我协助侦办案件,我对某部门、某公司网站进行了入侵并获取了一些文件、代码、数据等。但警察没有给我出具合法的渗透授权书,是不是我这就算非法行为?万一警察不给我背锅,我岂不是要被抓进去?
如果在用户名或者个人信息处插入弹窗XSS呢?或者仅插入本地的js盗取自己的cookie做测试?
第一个手段不影响犯罪构成,第二个跟你举例就是:自慰不构成卖淫嫖娼
感谢科普,自己验证还是自建环境好,实在手养就去src吧。不过有个疑问,根据文中所描述,是说15岁以下的话即使入侵的是侵入国家事务、国防建设、尖端科学技术领域的计算机信息xi统的,因为罪犯这个年纪仅只对刑法规定的强奸、故意杀人等八类案件负刑事责任,所以实际上是不予追究责任的,那这不是就成了年纪小的黑客们的免死金牌了吗?还是说有其他的法律法规做约束呢?
是的,心智发育不健全,不受刑法的责任承担。但是若导致对方损失的民事后果,监护人需要承担赔偿等责任。
感谢科普,自己验证还是自建环境好,实在手养就去src吧。 不过有个疑问,根据文中所描述,是说15岁以下的话即使入侵的是侵入国家事务、国防建设、尖端科学技术领域的计算机信息xi统的,因为罪犯这个年纪仅只对刑法规定的强奸、故意杀人等八类案件负刑事责任,所以实际上是不予追究责任的,那这不是就成了年纪小的黑客们的免死金牌了吗?还是说有其他的法律法规做约束呢?
遵纪守法
心慌啊,安心做白帽
如果提交 gov的漏洞给cvnd 他是接还是不接 接了 如果还要逮捕人 这又是怎么个情况 (纯属意淫)
然而司法实践流程却是 先抓人后批捕然后再找口袋罪(视是否触及秘密或利益而定) 除了国家军事尖端,定损为0没有任何危害犯罪未遂的情况 最多大部分情况下免得跨省都是电话警告+当地派出所报道警告
最好的办法是只参加护网,其他除了正规的项目一律不碰
有src的是不是就没有影响了呢
请问下:1、仅仅做无害检测,比如sql注入and 1=1这种情况法律定性是什么?2、各大公司网络空间扫描,版本探测这种法律上定性是什么?
仅语句查询用于检测,一般情况不予处罚。 扫描如同批量检测排查,只要对计算机信息xi统运行不造成影响,不构成犯罪。
多谢徐昊律师的解答。 也就是检测、探测性质的不构成犯罪。(很多时候,行为人使用各种武艺,都不能渗透成功,这样则应当构成未遂,对于未遂犯)能举个列子他做了什么才能算未遂犯,感觉一般渗透前期都是检测性质的。 攻击和检测界限也难确定,爆破也算检测,因为没有对xi统造成危害,也感觉算攻击。