渗透行为的法律定性【T00ls法律讲堂第二十期】
依照刑法第二百八十五条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
对于黑客来说,正如许多论坛里蠢蠢欲动追求积分的白帽子们,渗透应该是最能展示其能力的武功之一了。这里对该行为向大伙做个简单的法律分析,本文只针对未经授权的行为。为了方便了解,就拿圈内经常传的日卫星来做例子吧。
案例(纯属虚构):小道15岁,热衷于网络黑客技术,经常在谷歌搜索目标练习武艺,希望小有所成后能够报效祖国,某日小道正常googlehack,无意又找到了一个好下手的目标,于是施展了一套广播体操,注入、种马、提权、漫游内网一气呵成,但进去后小道懵逼了,首先全英文不说,反正都看不懂,但是小道玩过红警,里面有许多类似红警的卫星图片,此时小道才知道他进入了A国军事服务器,当时出于害怕,观摩了一会便离开下线了。
行为法律解析:通过googlehack这样的查询语句,可以简单发现网站存在的漏洞,这样的行为,可以定性为犯罪预备,即为犯罪准备工具、制造条件的行为。依照我国刑法规定,对于预备犯,可以比照既遂犯从轻、减轻处罚或者免除处罚。在实务中,如果不是案发后对本机做取证工作,单纯googlehack行为很难被发现,如果没有后续的违法动作,仅针对此行为一般也不予处罚。
关于SQL注入和上传ASP这样的行为,可以认定为非法侵入计算机信息系统的手段,对于主观上是出于好奇、逞能、报复等都不影响对该罪的法律定性。但是本罪侵犯的客体是国家重要领域和要害部门的计算机信息系统安全,本案中,小道入侵的可能是军事,是否属于犯罪客体应当由省级以上负责计算机信息系统安全保护管理工作的部门检验确认(对此很多办案机关也存在主观臆断,不做检验确认说明),如果是则可以被认定为非法侵入计算机信息系统罪,依照刑法第二百八十五条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
对于侵入后在内网浏览服务器的数据库或源码等内容,这样的行为在法律上可以证实小道非法侵入行为的既遂,可以依照计算机信息系统内容的重要程度和小道浏览的具体情况来判断最终的量刑。
很多时候,行为人使用各种武艺,都不能渗透成功,这样的行为如何定性呢,首先法律规定本罪为行为犯,即只要实施这样的行为即可构成犯罪,但是因为武艺不够或者其它客观因素,不能侵入成功,则应当构成未遂,对于未遂犯,可以比照既遂犯从轻或者减轻处罚。这里要提醒大家的是,没有可以免除处罚这么一法律规定(所以NO ZUO NO DIE)。
最后,小道案发时只有15周岁,只对刑法规定的强奸、故意杀人等八类案件负刑事责任,所以小道未达到本案中应负刑事责任的年龄,因此小道完全不用担心被查水表。
延生一下,如果小道入侵的是其它计算机信息系统,比如某公司,且仅有入侵行为,则不能构成本罪。是否构成犯罪或者构成其它犯罪,应当分析小道入侵后的行为或结果,具体下文再释。
案例(纯属虚构):小道15岁,热衷于网络黑客技术,经常在谷歌搜索目标练习武艺,希望小有所成后能够报效祖国,某日小道正常googlehack,无意又找到了一个好下手的目标,于是施展了一套广播体操,注入、种马、提权、漫游内网一气呵成,但进去后小道懵逼了,首先全英文不说,反正都看不懂,但是小道玩过红警,里面有许多类似红警的卫星图片,此时小道才知道他进入了A国军事服务器,当时出于害怕,观摩了一会便离开下线了。
行为法律解析:通过googlehack这样的查询语句,可以简单发现网站存在的漏洞,这样的行为,可以定性为犯罪预备,即为犯罪准备工具、制造条件的行为。依照我国刑法规定,对于预备犯,可以比照既遂犯从轻、减轻处罚或者免除处罚。在实务中,如果不是案发后对本机做取证工作,单纯googlehack行为很难被发现,如果没有后续的违法动作,仅针对此行为一般也不予处罚。
关于SQL注入和上传ASP这样的行为,可以认定为非法侵入计算机信息系统的手段,对于主观上是出于好奇、逞能、报复等都不影响对该罪的法律定性。但是本罪侵犯的客体是国家重要领域和要害部门的计算机信息系统安全,本案中,小道入侵的可能是军事,是否属于犯罪客体应当由省级以上负责计算机信息系统安全保护管理工作的部门检验确认(对此很多办案机关也存在主观臆断,不做检验确认说明),如果是则可以被认定为非法侵入计算机信息系统罪,依照刑法第二百八十五条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
对于侵入后在内网浏览服务器的数据库或源码等内容,这样的行为在法律上可以证实小道非法侵入行为的既遂,可以依照计算机信息系统内容的重要程度和小道浏览的具体情况来判断最终的量刑。
很多时候,行为人使用各种武艺,都不能渗透成功,这样的行为如何定性呢,首先法律规定本罪为行为犯,即只要实施这样的行为即可构成犯罪,但是因为武艺不够或者其它客观因素,不能侵入成功,则应当构成未遂,对于未遂犯,可以比照既遂犯从轻或者减轻处罚。这里要提醒大家的是,没有可以免除处罚这么一法律规定(所以NO ZUO NO DIE)。
最后,小道案发时只有15周岁,只对刑法规定的强奸、故意杀人等八类案件负刑事责任,所以小道未达到本案中应负刑事责任的年龄,因此小道完全不用担心被查水表。
延生一下,如果小道入侵的是其它计算机信息系统,比如某公司,且仅有入侵行为,则不能构成本罪。是否构成犯罪或者构成其它犯罪,应当分析小道入侵后的行为或结果,具体下文再释。
评论73次
然而司法实践流程却是 先抓人后批捕然后再找口袋罪(视是否触及秘密或利益而定)除了国家军事尖端,定损为0没有任何危害犯罪未遂的情况最多大部分情况下免得跨省都是电话警告+当地派出所报道警告
很简单的道理有没有证据都一样不管是哪种行为触犯的属于刑法内容,网站的旁路监控电信的联动报警一旦攻击ip自动溯源隔天就上门抓捕"嫌疑人"24小时后转移看守所 现场往往还带着几个公司的"技术人员"破坏计算机xi统信息罪(ddos) 非法入侵计算机罪(后台弱口令) 非法获取计算机信息xi统数据罪(sql注入)非法控制计算机信息xi统罪(菜刀取证)提供非法入侵计算机工具罪(电脑取证到的入侵脚本翻墙工具)能定下3年以上的先抓人都是很正常的就看用哪个口袋装 当然这是认真的情况正常一般都不会这么做法律应该有绝对的警示作用,宣传法律作为科普其实不太得当可以多引用www.ajxxgk.jcy.cn 真实案例其中有部分文书逻辑性泄漏了人员信息有必要其实还可以做一定的采访
如果是国外的如何判定呢
最近帮同事整理exploitdb漏洞,天天各种找shadon,zoomeye,fofa找目标测试,方得很
我感觉这个有点儿扯吧,现在CNVD啥的都接受gov的漏洞...看操作定性吧
如果在用户名或者个人信息处插入弹窗XSS呢? 或者仅插入本地的js盗取自己的cookie做测试?
这里出现的A国,不是我国是不是问题不大
只要受害人报案配合取证,同样构罪
请问下:1、仅仅做无害检测,比如sql注入and 1=1这种情况法律定性是什么?2、各大公司网络空间扫描,版本探测这种法律上定性是什么?
仅语句查询用于检测,一般情况不予处罚。 扫描如同批量检测排查,只要对计算机信息xi统运行不造成影响,不构成犯罪。
搞国外的站呢
只要受害人报案配合取证,同样构罪
如果是入侵后提交SRC、hackerone、或类似之前乌云这样的网站,出现损失,法律如何判断,这种中间机构的责任?
中间机构如果随意发布未经允许公开的公司漏洞,则对此行为导致的损失,应当承担民事意义上的连带责任。
搞国外的站呢
法律一般都是从严!
请问下: 1、仅仅做无害检测,比如sql注入and 1=1这种情况法律定性是什么? 2、各大公司网络空间扫描,版本探测这种法律上定性是什么?
如果是入侵后提交SRC、hackerone、或类似之前乌云这样的网站,出现损失,法律如何判断,这种中间机构的责任?
这里出现的A国,不是我国是不是问题不大
所以还是搞搞src好点