Comments | infowatch: Man-in-the-Middle между законами

infowatch

Man-in-the-Middle между законами

Nov 13, 2013 19:31

Тут всплыл интересный вопрос. Является ли проксирование HTTPS-трафика через подсовывание пользователю подложного сертификата незаконным деянием? Не получение такого сертификата. И не последующая перлюстрация расшифрованного трафика. А сама организация схемы MitM для HTTPS.

Очевидно, что примерять следует ст.272 УК. А статьи 137 и 138 (через ( Read more... )

расследование, статья 272, DLP-система, паранойя

Comments 9

mixey_undermind November 13 2013, 13:46:26 UTC

Емнип, гугл на каждое подключение новый сертификат шлёпает.

mrclon November 13 2013, 15:09:38 UTC

Зачем? Ведь тогда ещё труднее понять подменили сертификат или нет.

dil November 13 2013, 19:35:10 UTC

Зачем бы ему? Другой вопрос, что на каждое подключение вы можете попадать на разные серверы, у которых зачем-то разные сертификаты.

dil November 13 2013, 13:52:43 UTC

А вот любопытная история: http://www.spiegel.de/international/world/ghcq-targets-engineers-with-fake-linkedin-pages-a-932821.html
Сдаётся мне, что там тоже не обошлось без поддельных сертификатов.

(The comment has been removed)

infowatch November 14 2013, 14:29:08 UTC

Для состава преступления необходима т.н. "субъективная часть". То есть подозреваемый заранее знает об общественно опасных последствиях и желает их.

В данном случае для преступности деяния требуется, чтобы изготовитель заранее (в момент изготовления устройства) знал, что перед осуществлением перехвата никто не получит согласия абонента или судебной санкции. У изготовителя перехватчика такой уверенности нет. Даже есть уверенность в обратном. Обычно получают.

(The comment has been removed)

infowatch November 15 2013, 13:37:35 UTC

Конечно, мы говорим об изготовителе. Дело в том, что программа становится вредоносной или не вредоносной в момент её изготовления - тогда, когда срабатывает слово "заведомо" в определении. Все дальнейшие действия уже не могут изменить юр.квалификацию программы.

blue coat ext_1433680 November 19 2013, 11:35:35 UTC

программного обеспечения Blue Coat не только умеет читать https, но и имеет сертификат ФСТЭК как средство защиты. Так что полагаю на практике проблем с законом по этой теме нет.

Re: blue coat infowatch November 20 2013, 06:45:36 UTC

Сертификат на соответствие чему? Не Уголовному же кодексу. У оружия, наркотиков, ядерных материалов и ядов тоже бывают сертификаты.

:) paqoho January 6 2014, 09:27:26 UTC

В каком-то блоге я уже читал такую же тематику, но все равно спасибо