прислать материал
AIN.UA » ГосударствоОдесского программиста, участвовавшего в волонтерских проектах по открытым данным, обвинили во взломе сайта Минюста

Одесского программиста, участвовавшего в волонтерских проектах по открытым данным, обвинили во взломе сайта Минюста

32230 187

Одесский программист, сотрудник компании Lohika Иван Яни несколько месяцев активно участвовал в волонтерских проектах, связанных с открытыми данными. Власти отблагодарили его своеобразно – против него открыли уголовное дело по обвинению во взломе сайтов Минюста, а на днях в его квартире провели обыск и забрали ноутбук. Редакция AIN.UA постаралась разобраться в случившемся.

В течение нескольких месяцев Иван на волонтерских началах участвовал в проектах по электронному правительству, в частности – участвовал в Facebook-группах eServicesUA и “Криптореформа: ЕЦП, шифрування і не тільки”, где обсуждаются законопроекты и другие инициативы в этих сферах. Программист начинал как участник “Майдан-Хакатона” и самостоятельно сделал сайт с публикацией открытых реестров e.gov.ua. О том, чем еще занимался Иван, можно судить по его профилю на GitHub.

ivanНа сайте выкладывались открытые данные госорганов, в том числе – данные из госреестра недвижимости. Одесский филиал ГП “Информационный центр” при Минюсте посчитал это серьезным нарушением и подал в суд. По заявлению открыли уголовное производство. Суть претензий можно изучить на странице из определения Приморского районного суда Одессы от 25 марта (это не весь документ, редакция ищет полную версию):

Scanned-Document-1

Персональные данные скрыты

Если кратко: программиста обвиняют в действиях, которые привели к “незаконному получению справок государственного реестра права на недвижимое имущество”. Суд решил дать разрешение на проведение обыска в квартире программиста. О том, как сейчас работает реестр недвижимого имущества, можно прочесть, к примеру, в колонке активиста “Канцелярской сотни” Дмитрия Чаплинского.

Сам Иван сейчас не очень расположен общаться. По словам программиста Михаила Кашкина, который знаком с ним лично и вместе работал над несколькими проектами, на программиста сильно надавили силовики и он сейчас крайне напуган. “Помню, что Иван в обсуждении в группе по e-government резко ответил кому-то из ведомства в комментарии. Возможно, ему этого не простили”, – говорит он. Михаил на волонтерских началах занимается проектом eusign.org (JavaScript-библиотека, которая может упростить использование электронной подписи при работе с документами). Во время работы над проектом они и познакомились с Иваном Яни.

На данный момент делом Ивана занимается инициативная группа волонтеров, которые координируются в Skype. Редакция собрала несколько отзывов активистов и чиновников, которые знакомы с ним:

“Мы знаем Ивана как профессионала и активного гражданина, желающего развития электронной демократии в Украине. Очень надеюсь, что ситуация будет разрешена демократическими методами и в правовом поле”, – отметил глава “ИТ Рух Днипро” Валентин Кожевников.

Команда проекта budget.dp.ua также высказалась в поддержку Ивана.

“С Иваном мы готовили ряд документов для национального агентства по электронному управлению по порталу открытых данных… Иван зарекомендовал себя с самой лучшей стороны: надежный, инициативный, дотошный. Мы даже провели встречу с представителями нацагенства, где обсудили возможность нашей волонтерской помощи по запуску пилотов и реализации региональных порталов открытых данных. К сожалению, теперь на всех этих планах можно поставить крест”, – отметил Дмитрий Чаплинский, активист “Канцелярской сотни”.

“Ваня Яни – широко известный активист в сфере развития электронного правительства, а также очень хороший IT-специалист. В последнее время он принимал участие во многих волонтерских проектах, направленных на повышение прозрачности работы органов власти Украины, в том числе в проекте по “Открытым данным”.

Вы знаете, что недавно был принят в первом чтении соответствующий законопроект, который предполагает открытие многих реестров в форме открытых данных. Эта инициатива поддерживается первыми лицами государства! Недавно запущен государственный портал открытых данных. Ваня Яни активно давал нам предложения и рекомендации по усовершенствованию портала и публикации данных на нем. Также знаю, что он много времени посвящал изучению разных государственных реестров на предмет возможности дальнейшего открытия данных из него. О данной работе он публично отчитывался в социальных сетях”, – рассказал AIN.UA глава Агентства по вопросам электронного правительства Александр Рыженко.

Комментарий юриста

В этой ситуации нет и не может быть состава преступления, считает управляющий партнер юридической фирмы “Юскутум” Артем Афян. Ведь администратор базы данных забыл установить техническую защиту от парсинга. “Кроме этого, Правила регистрации пользователей ресурса не запрещают парсинг (правила находятся вот тут и, к слову, содержат в себе полную чепуху)”, – считает юрист. Стандартное условие, запрещающее парсинг, выглядит, к примеру, так:

«use or attempt to use any automated software agents (including without limitation, any screen scraper, spider or other web crawler) to access the System or to search, copy or monitor, display or obtain links to any part of the System». (правила пользования английским реестром прав на недвижимость).

“Статья 361 Уголовного кодекса Украины – несанкционированное вмешательство в работу компьютера – может быть применена к данной ситуации только в том случае, если вмешательство в работу было несанкционированным. К примеру: у вас есть страница, на которой разрисована коррупционная схема в вашем государственном органе и вы не хотите, чтобы эту схему кто-либо, кроме вас, видел; но при этом вы кладете этот листок бумаги на тротуаре с оживленным движением, и уходите. Я, найдя эту схему на тротуаре, не сразу пойму, что вы «не санкционировали» прочтение информации. Напротив, я подумаю, что кто-то нарочно оставил информацию здесь. Так и в случае с информацией: если технической защиты нет, юридического ограничения нет, то нет оснований считать, что администратор «не санкционировал такой способ получения данных» – все просто”, – приводит пример юрист.

Он предполагает, что в этой ситуации, скорее всего, Ивану пригрозили тюрьмой, отобрали ноутбук, напугали родителей. Потому он мог написать признание в совершении преступления, причем, не только этого. Ведь абсолютное большинство приговоров по ст. 361 УК базируется либо на чистосердечном признании, либо на сделке со следствием (то же признание).

“Я ожидаю, что у этого дела будет два возможных продолжения: (1) дело будет закрыто, а парню принесут извинения или (2) дело будет переквалифицировано в растрату государственных средств, а к ответственности привлекут чиновников, которые ввиду собственной алчности так похабно защитили информацию», – отмечает Афян.

Заметили ошибку? Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

187 комментариев

по хронологии
по рейтингу сначала новые по хронологии
Лациус

Все-таки делать реестры прав не недвижимое имущество полностью открытыми, вместе с персональными данными - это сильно перебор. Мне лично, по ряду причин, конечно очень хотелось бы полностью открытый доступ к такому реестру получить, особенно если он будет полным, а не по операциям после 2003 года, но все равно мне не приходило в голову поддержать "активистов" которые требуют сделать такой доступ открытым.

Serg Khalif

Нигде не сказано что url нужно выискивать в системе, более того когда вы открываете браузер и набираете в нем google.com.ua вы тоже нарушаете ваше правило. Ни в одном законе не сказано что вы должны набирать url только через сайт и только методом клика по левой кнопке мышки. Любой набранный в ручную url будет валидным и законным если система выдаст на него ответ. Более того если вы наберете невалидный урл система выдаст сообщение об ошибке. Кроме того о данном способе получения информации предупреждали специалисты еще 6 января 2015 года читать здесь http://jurliga.ligazakon.ua/news/2015/1/6/122421.htm и если до сих пор администрация ресурса не закрыла этот способ, значит все в рамках правил

в мировой практике за выявления уязвимость платят деньги и не малые, реакция минюста демонстрирует их недееспособность и полное отрыв от понимания внедрения технологий, а минюсту и прокуратуре в связке с СБУ теперь придется фабриковать делопроизводство, этим себя скомпрометировав, теперь эту ситуацию нужна как можно больше дать огласке и что бы ситуация попала под общественный контроль, по опыту можно сказать, что эти великие власть имущие будут как ужи на сковородке выкручиваться и по итогу предложат Ивану вербовку в СБУ или в прокуратуре, может в МВД, это в зависимости на кого повесят этот головняк в Одессе

Roman Kozar

Тут дещо інше - знайшли проблему, тепер шукають, хто буде відповідальним. Або почеплять на хлопця, або доведеться шукати серед "своїх".

Eduard Dudar

Деньги платят, когда найденная уязвимость показывается обладателю продукта до ее использования. Когда уязвимость используется - за это платят штрафом или сроком, в зависимости от тяжести преступления. Вот уж точно, что программисты живут в своем собственном мире.

а есть еще такая практика - ловить на живца, заведомо оставляя дырки, и открыть доступ к не значимой инфе, а там дальше уже по сценарию. так лохов деструкторов на начале ИТ эпохи отлавливали уже более матерые и сейчас эту медовую ловушку по сей день применяют

Была вероятность получить деньги при участии в этом мероприятии: http://irc.gov.ua/ua/govhack2014.
Т.е. они тогда даже сами хотели, чтобы их поломали.

Dmitriy Volkov

Некорректно сравнивать квартиру и средства массовой информации, коим является интернет. В лучшем случае можно обвинить в копировании информации и размещении в публичном доступе

Лациус

Согласен, не корректно. Здесь есть совершенно конкретная Ст. 361 УК, под состав которой полностью попадают его действия. Именно действия по подбору идентификатора обеспечивающего доступ к информации. А не написание программы которая автоматизирует этот процесс и скачивает данные. Эти действия абсолютно эквивалентны по смыслу и последствиям подбору пароля.

Юрист в статье совершенно правильно делает, и опровергает именно то, что может быть опровергнуто. Автоматизировав сбор данных - он ничего не нарушил. Нарушение не в этом.

Люди вы с ума сошли тут? Зайдя на ваш профиль в ВК даже не авторизовавшись я вижу ваше фото, жму на него правой кнопкой и делаю "копировать урл". Какой подбор? Вы о чем? Ссылка была представлена в открытом доступе на сайте. Почему все думают, что он сидел и подбирал УРЛы?

Вы понимаете, что даже Гугл может проиндексировать публичные URLs? Если это не публичная информация, то должна быть соответствующая защита и уведомление. Завтра ain.ua скажет, что вы угадали URL этой статьи и прочли тут секретную информацию - будете в суде отвечать?

Аналогия с квартирой не уместна - если что-то опубликовано в интернет, то это считай лежит у вас дома (и даже технически вы это скачиваете себе на устройство, а потом просматриваете физически локальные данные. Так что никто не грабил чужую квартиру. Считайте, что сервис опубликовал секретную инфу в газете, которая ушла в тираж, а программист открыл нужную страницу.

IMHO

Serg Khalif

Если это не публичная информация, она не должна публиковаться в интернете. Копии страниц остаются на всех серверах по пути следования. Если это не публичная информация, то ток кто отдал приказ о размещении этой информации в интернете должен сесть

https + контроль доступа решает проблему копий по пути следования

Serg Khalif

Не имеет значения. Копия останется как минимум на принимающем компьютере.

Публикация в интернете != предоставлению доступа к информации через интернет. А принимающий компьютер авторизован на получение копии. И кеширование может быть отключено.

Serg Khalif

Публикация в интернете делает эту информацию общедоступной и как раз предоставляет доступ, а также возможность копировать и распространять эту информацию, при условии, что вы оставили ссылку на первоисточник. Если вы выставляете требование с запретом копировать эту информацию или платить за копирование деньги, вы тем самым нарушаете международное авторское право, вы нарушаете лицензию использования интернет-технологий с лицензией можете ознакомиться здесь http://www.w3.org/Consortium/Legal/2002/copyright-software-20021231

Лицензия на распространение самих технологий, а не данных. Если вы модифицируете софт от w3 и будете его распространять, то тогда обязаны выполнять условия приведенной вами лицензии. К данным и прочему контент это не относится - на них распространяется лицензия издателя. Проконсультируйтесь у юриста - вы что-то путаете и разом рушите всю индустрию музыки, кино и патентов 🙂

Serg Khalif

Инструкции noindex, nofollow, nocache, являются инструкциями для роботов поисковых систем и серверов и никак не являются запретительными инструкциями копирования.

Они так же учитываются браузерами при кешировании. А авторизованный юзер может распоряжаться полученной информацией по своему усмотрению

Serg Khalif

Браузеры являются как минимум free-sofware существует множество open source браузеров и никто не запрещает написать мне собственный браузер, который будет копировать информацию на мой компьютер и потом я в оффлайн режиме буду эту информацию просматривать.
В любом случае копия программы на компьютере-приемнике будет и запретить эту копию при использовании интернет технологий не возможно. Так что если данные не являются для всеобщего распространения, то не нужно их размещать на веб-сайте. А если разместили, то ответственность за размещение должен нести тот кто отдал распоряжение размещать данные на веб сайте, а не тот, кто эти данные скопировал.

Serg Khalif

Индустрия музыки кино и патентов, точно также не имеет права требовать роялти за данные опубликованные в интернете. Я понимаю их желание заграбастать себе кусок рынка за здорово живешь, но разъяснения W3C по этому поводу однозначны, если вы публикуете что-то, что нарушает чужое авторское право не используйте технологии W3C. Данные и контент являются программой выданной в формате языка разметки HTML, который также попадает под лицензию W3C.

Если бы это было правдой, то они бы всех засудили давно и никто бы не использовал html, а так - питайте иллюзии дальше.

Serg Khalif

Никаких если бы. Уже были случаи судебных разбирательств на эту тему. К ним относятся судебный процесс с Microsoft за использование языка XML и не открытие программного кода, результат многомиллионный штраф Microsoft и запрет продавать Office 2007 на территории США,
Второй общеизвестный случай, когда барышня подала иск на google за сохранение копий ее личных фотографий. И совсем недавно суд признал правомерность размещение гиперссылок на чужой контент.
Руководство W3C считает, что обращение в суд, является последней инстанцией, в том случае когда не работают остальные доводы и аргументы, именно по этой причине судебных процессов не так много.
Язык HTML именно потому и является массово используемым, что выпущен под open source лицензией.

Проще говоря веб браузеры попадают под действие лицензии w3, если используют их софт, но не сами html страницы, или уж тем более данные на этих страницах, которые вполне отделимы.

Serg Khalif

Под действие лицензии попадают не только браузеры но и протоколы передачи, серверные архитектуры, языки разметки, сам формат линков и очень очень много разного и всякого, что в обще можно назвать веб-технологией. Именно по причине наличия W3C лицензии Microsoft вынуждено было объявить, что браузер Internet Explorer является бесплатной добавкой к системе MS Windows. Программа написанная на языке разметки HTML является open source программой ее текст вы можете просмотреть нажав Ctrl+U (в большинстве браузеров), следовательно я могу эти данные копировать и менять как мне заблагорассудится, я обязан указать автора этой программы, если явное указание нарушает структуру вывода программы, я обязан указать автора в комментарии внутри текста программы.

Докажите, что суд с майкрософт был из-за использования ЯЗЫКА xml, а не из-за использования опен соурс РЕАЛИЗАЦИИ парсера xml в их офисном пакете. Про фото это вообще другая история.

Serg Khalif

Информации по данному процессу более чем достаточно в интернете. Язык XML также распространяется по лицензии W3C и офис 2007 запретили к использованию именно из-за нераскрытия кода программы использующей этот язык. То что Microsoft нашел выход в использовании библиотек open source реализации для использования XML и открыл код библиотек не открывая основного кода программы (в 2010 офисе) не отменяет нарушения в офисе 2007.
Про фото это не другая история, это именно тот случай, когда контент размещенный на сайте в виде фотографий подлежит копированию и распространению. Юридически пользователь и соавтор интернета google ничем не отличается от пользователя и соавтора интернета Oleksii Rudenko или пользователя и соавтора интернета Serg Khalif

Хм, но вот первое что попалось - тут говорится про патент какой-то канадской фирмы http://slon.ru/future/microsoft_word_vne_zakona-110378.xhtml w3c не упоминается. Впрочем, посмотрев ваш профиль на фб спор прекращаю.

Serg Khalif

Да, он запатентован, о том что он распространяется по лицензии W3C сказано здесь. http://www.w3.org/TR/#tr_Efficient_XML_Interchange
И обращаю внимание, что пираты в Украине борются не за то что бы можно было украсть чужой контент, а за то что бы никто не наложил лапу на право свободного распространения информации.

Лациус

А что такое "публичные URLs"? Это те URLы - которые каким-то легальным образом можно УЗНАТЬ. Именно узнать, а не угадать, не подобрать.

По своей сути неизвестный URL ничем не отличается от неизвестного пароля. Они абсолютно одинаково служат для технической защиты информации. Разрешение на угадывание URLов равносильно разрешению на угадывание паролей.

Serg Khalif

Ваша трактовка публичных урлов, мягко говоря не выдерживает никакого взгляда, не то что критики. Обратитесь к технической документации для того, что бы понимать что такое url вообще. А потом рассказывайте про публичные и не публичные urlы. Любой набор символов в принципе является публичным урлом, есть "запрещенные" занесенные в "черный список" или бан, а вот вашего механизма "белый список" в интернете в принципе не существует. Для запрета чего-либо вы должны это явно указать и запретить. Причем не словами из контена "Копировать запрещено" а инструкциям к серверам.

class.od.ua

Бред! Если информация не секретна - она открыта! Если какой-то дебил додумался поставить секретную информацию с возможностью публичного просмотра, то пофиг каким образом был такой доступ получен, перебором, получением ссылки поисковика или под диктовку по телефону!

Если кто-то считает что в Украине государственный орган может быть прав, то он заблуждается в 99% случаев!!!

Олексiй Чечель

На хабре уже была статья, посвященная интересным ссылкам, которые через индексацию попали в результаты выдачи поисковика. Зная, что все ссылки, переданные через скайп индексирует Бинг, а все использованные в хроме - гугл, оставить урл без аутентификации - все равно, что спрятать кошелек под лавочкой возле дома и рассчитывать, что никто, включая дворника и управдома, его не найдет.

вы подняли интересную тему и ваши доводы не лишены логики. пока что сам в раздумьях и не уверен - поддерживаю вас или нет)
лично я не силен в юриспруденции, но если вы в курсе и вам не сложно - прокомментируйте:
может ли _ошибочный_ ввод УРЛ, _случайно_ оказавшегося верным, квалифицироваться как нарушение системы защиты?

для начала не в этой конкретной ситуации, а в общем случае.

Я как-то пытался случайно октрыть чужую дверь на другом этаже. Если бы случайно ключ совпал - это было бы незаконным проникновением? А если бы дверь была открыта?

Валерий Ставицкий

Дверь это и есть пароль, если дверь открыта — значит пароль типа "0000", но если пароля нет значит и двери нет.

Почему приводят аналогию с дверями, если в данном конкретном случае "дверей" как таковых вообще не существует.

Sasha Kostenko

только если со злым умыслом

Лациус

Не так все просто. Опять таки надо внимательно изучать законы чтобы ответить на такие вопросы. Не исключено, что проникновение в жилище является преступлением и само по себе, даже без наличия "злого умысла". По крайней мере в некоторых странах.

Переводить на такие аналогии можно для лучшего понимания, но все равно надо быть крайне осторожным.

В любом случае в действиях обсуждаемого персонажа нарушение ст. 361 УК БЫЛО. Тут намного полезнее для страны было бы добиваться изменения формулировки этой статьи, а не помогать уходить ему от ответственности с нарушением закона.

А при чем тут несанкционированое вмешательство (ст 361.)? Для доступа по данным адресам никакой санкции не требуется.

Лациус

А для подбора пароля к вашему почтовому ящику санкция требуется? Если бы он не URL страницы подобрал бы, а пароль к вашему почтовому ящику, вы бы тоже говорили бы, что для этого "никакой санкции не требуется"? Раз подобрал пароль, и пароль подошел - то все ОК, он имеет право ваш почтовый ящик читать?

"Всё ОК" и "нарушает статью УК" это разные вещи

Лациус

Я не знаю, но я знаю как этот вопрос надо сформулировать юристу. Надо спросить, подразумевает ли диспозиция ст. 361 УК наличие умысла. Если да - то ввод ошибочного УРЛ не будет преступлением.

Про то, для каких статей нужен умысле а для каких нет - пишут в отдельных статьях УК. То ли в начале УК то ли в конце - не помню. Но есть там отдельные статьи в которых перечислены номера статей, для каких умысел нужен, для каких нет.

ага, понял. спасибо за ответ. и за терпение в этой ветке))
есть над чем подумать.
ибо случай интересный и нужно понимать каким образом использовать против гнилой системы ее же законы, не нарушая их.. )

Знаете, как я еще нелегально угадываю url - когда захожу на сайт с телефона, то пытаюсь зайти на m.example.com, чтобы получить мобильную версию сайта. То есть использовать знания и интеллект, чтобы определить местоположение ресурса в интернете - нелегально? Ситуация попахивает маразмом.. Еще раз хочу подчеркнуть, что universal resource locator не является средством защиты информации и не создан для этого.

Аналогия: напишите письмо на случайный физический адрес с просьбой прислать вам все секреты. Если прийдет ответное письмо с секретами, то в чем проблема с юридической точки зрения?

Borys Kudlay

Нормальная логика - я спросил, мне ответили. Кто виноват - тот, кто посылает запрос или тот, кто дает ответ ответ?

Публичные это любые урл, которые не защищены каким-либо методом аутентификации. Например, http basic authentication. В логах сервера ain.ua ничего не говорит о том, угадали вы его или нет. Возможно вы перешли с другой страницы, а возможно вы просто указали урл этого поста в браузере. Если на этой странице, есть непубличная информация, то сервер должен удостоверить вашу личность и авторизовать доступ к информации.

Выглядит все как в фильме про Цукерберга -оплошности создателей сервиса пытаются переложить на пользователя.

Лациус

Это вы сами придумали такое определение. К юридическим процедурам и определениям это не имеет никакого отношения.

С точки зрения закона, любые методы защиты информации - эквивалентны, равно как и последствия намеренного преодоления таких методов.

Dimitriy Kutnyakov

Если информацию сделали доступной через запрос к веб-верверу с любого IP - информацию сознательно сделали публично доступной, сказали "я хочу чтобы все, кто хочет, просмотрели все, что возможно из того, что я выставил на просмотр через веб-сервер". Иначе, зачем было это делать?
Кто сказал, что можно запрашивать только страницы разрешенные кем-то для запроса? Как вы определяете, какой урл с доменом ain.ua санкционирован для просмотра а какой нет?
Чтобы судить про работу веба нужно знать не только юриспруденцию.
А что такое "публичные URLs"? Это те URLы - которые каким-то легальным
образом можно УЗНАТЬ. Именно узнать, а не угадать, не подобрать. По своей сути неизвестный URL ничем не отличается от неизвестного пароля. Они абсолютно одинаково служат для технической защиты информации. Вы точно понимаете о чем говорите? Про "публичные URLs" вы написали чушь. Если по украинским законам "неизвестный URL ничем не отличается от неизвестного пароля" - то этот закон нужно исправить, т.к. это грубая ошибка.

Лациус

Содержимое вашего почтового ящика, тоже доступно через запрос к веб-серверу, с любого IP. Но для этого нужно ввести определенную секретную последовательность символов.

С точки зрения закона, нет абсолютно никакой разницы, эту последовательность символов затем передать на сервер в виде HTTP/GET запроса, в составе то что называется URL, или в виде HTTP/POST запроса, как обычно передаются пароли.

Dimitriy Kutnyakov

Вы не ответили на вопрос. Перефразирую. Веб-сервер - принимает соединения, принимает запросы и соответственно запросам отдает ответы. Как регулируется законом содержимое запроса, какой запрос можно отослать, а какой нет?
Для защиты информации от третьих лиц стоило прикрутить аутентификацию чтобы проверять, кому отдаешь инфу и авторизацию на чтение/изменение определенных данных. В нашем случае для доступа к информации не требовалась аутентификация. Разработчик сделал доступ к запрошенной кем-то информации общедоступным. Ошибся он или осознанно сделал именно такую реализацию или может так в ТЗ было, вопрос не к пользователю.
Технически и алгоритмически разница между запросом урла и аутентификацией есть. Если этот вопрос регулируется законом и для этого закона такой разницы нет, то это вопрос к корректности закона.

Alex Zakharov

"С точки зрения закона, любые методы защиты информации - эквивалентны"

URL - не является методом защиты информации.

Лациус

Да ну? А что такое URL? А http://alex:zakharkov@mail.com/my/postbox это не URL? А http://mail.com/my/postbox?u=alex&p=zakharov не URL?

Alex Zakharov

Бля. URL - это адрес, стандартный условный способ рассказать, что в таком-то месте лежит документ, все! Так само, как почтовый адрес - это стандартный условный способ рассказать, что в таком-то месте находится здание. Почтовый адрес не является средством защиты информации, так само как не является URL. Если я пришел к дому по адресу Банковая 11, а там какой-то дебил вывесил на стену огромный баннер с государственной тайной и я ее прочитал - то это не моя вина, а вина этого дебила. Если я не вломился внутрь здания, и не вскрыл сейф, а просто пришел по улице к определенному адресу - я закон не нарушал.

Можно подумать там на заглавной странице сайта лежали все эти данные, или на заглавной странице были ссылки непосредственно на полученные данные, не смешите.

Если законы такие тупые, что этого не понимают, то повод менять такие законы. А не судить людей. Человек ничего не взламывал. Публикация и использование полученных данных это другой вопрос.

sql-инъекция и т.п. в урлах отлично проходит, тоже не взлом?

А была sql-инъекция?

Лациус

Когда я приезжаю в чужую страну, я никогда не спрашиваю, хорошие там законы или плохие. Я спрашиваю только, исполняются ли они. (с)

Мозговая деятельность -- не является "легальным образом"?

Лациус

Если человек путем мозговой деятельности угадает ваш пароль от ящика электронной почты, это легально? Или, например, ответ на секретный вопрос?

Естественно. Пароль для того и просят придумать, чтоб его невозможно было угадать. Иначе чем пароль "0000" лучше просто кнопки "клянусь, что это я, а не взломщик"?

Лациус

При определенном уровне правосознания в обществе, было бы достаточно кнопки "клянусь что я не взломщик".

В Швейцарии в некоторых городах двери в домах не закрывают.

И если взломщик, нажимает кнопку "клянусь что я не взломщик" - он безусловно нарушает ст. 361 УК Украины.

Я согласен по поводу уровня правосознания. Нажимая кнопку, вы осознаете, что вы это вы (или что вы это не вы, и тем самым нарушаете закон или условия использования). В данном случае подобной кнопки не было, что делает невозможным узнать по УРЛу, является ли он "скрытым" или нет. Я часто пользуюсь адресной строкой браузера или же редактированием URL для перехода по ним "вручную" (когда, например, интерфейс сломан или неудобен), при этом как мне понять, является ли следующий URL "скрытым" или нет?

Нет, но это обход метода аутентификации. Человек выдаёт себя за другого. URL не является и не может являться методом аутентификации. Не даром у электронной почты есть пароль, а не урл который можно угадать

можно привести не один пример, в котором, определенный урл, обычно, сгенерированный случайно используется для верификации адреса электронной почты или сброса пароля на Вашем аккаунте. Это и есть определенный метод аутентификации с помощью url.

Касательно реестров, а не платной ли является услуга получения справки??? Если это сделано коряво, еще не значит, что можно качать все, что угодно. У любой системы есть определенный функционал заложенный разработчиком или работающий в результате наличия каких-либо просчетов/ошибок при реализации, и в первую очередь отношением субъекта к совершенным действиям можно их квалифицировать. В данном конкретном случае справа по ст. 361 УК с обвинительным идет в суд аж бегом.

Гугл может все, что угодно, если человек нашел данные в Гугле это одно, если он эти данные получил с целевой системы, без оплаты и в результате определенных дейстий направленных непосредственно на получение данных без оплаты, это совсем другое.

Лациус

Аутентификация, это только один из способов защиты информации, который в смысле ст. 361 УК Украины никак не выделен от других способов защиты информации.

Позвольте узнать, а какие там еще способы защиты информации перечислены, кроме аутентификации? Я подозреваю, что там нет подобных деталей. И я думаю, что любой эксперт в области защиты информации подтвердит, что сокрытие url не является средством защиты информации

Нет такого способа защиты как "скрытый" урл.

Вопрос только в том, сохранял он эти данные или не сохранял!
Если сохранял - незаконное создание реестра персональных данных. 5 лет. Учите матчасть!

Oleksii Chyrkov

записал на бумажке имя и фамилию президента. я незаконно создал реестр персональных данных?

Уж если они данные просто в публичный доступ выгладывали, то врядли заголовки Cache-Control: private, no-cache, no-store страниц выставляли. Тогда проведя экспертизу на устройствах можно у каждого из пользователей по реестру персональных данных найти 🙂

пусть докажут моотив преступления, и есть старое доброе формулировка "спортивный интерес" и ваша мат часть идет лесом в припляску

Кеширование, не, не слышал, матчастник?

Это контра какая-то, человек же волонтерством занимался. Очередной спазм старой бюрократии.

Как бы "новой власти" это боком не вылезло, ибо мы помним как во времена Яныка государственные ресурсы пачками ложились.

Титаренко Александр

А толку ?

А какой был толк от первого варианта Майдана (просто собраться, стоять на Крещатике и кричать)? Протест!

Титаренко Александр

А Вы вообще видите хоть какой-то толк от этих майданов ? )) Вы думаете чиновники сильно расстраиваются когда гос. сайты лежат ? ))

Чиновники внятно не объяснят что такое веб-сайт. Но, лежачий веб-сайт правительства - это то же самое, что говно на туфлях миллиардера. 😉

От майданов толк есть. От послемайданья его нету.

Титаренко Александр

Я так и вижу картину как чиновники в припадке бьются от того, что гос. сайт лежит )))))))))) Не смешите этим детским садом ни кого ))) Это все равно, что Вы на зло кому-то пукните )))) И какой же толк от майданов ? ))

Омг. Вы не видите мысль моих комментариев.

А какой толк мне что либо объяснять, если такие как вы все равно будете втирать в сторону не нарушения баланса? То есть, у вас жизнь на уровне "не бурлите говно - вонять не будет". 😉

Титаренко Александр

Вы хоть сами читаете, что пишите ? )) Какой толк от майдана и от Вашего детского сада с DDoS'ом гос. сайта ? Что Вы этим добились или можете добиться ? )))

Re: "Омг. Вы не видите мысль моих комментариев."

Титаренко Александр

А она у Вас есть ? )))

Печально.
Иван один из самых активных участников развития открытых данных в Украине.

Игорь Ткаченко

Может быть в том-то и дело? Что открытые данные никому не нужны и проект решили подставить таким образом. Это всего лишь предположение.

Sergey Yarygin

Колеги, а як реально ми можемо допомогти Івану? Сьогодні напишу запити в МВД, звернусь у Агенцію електронного урядування, спробую достукатися до майдановських структур ...
Що ще потрібно зробити?

Sergey Yarygin

Что сделано:
- оповещены Порошенко (прочтено, реакции пока нет), Аваков (есть контакт), Петров (минюст, пока молчит), Агенція електронного урядування отреагировала (

), Шокин (отозвались).
- разместили петицию https://www.facebook.com/groups/piratepartyua/permalink/1062830013732647/
- готовим письма от имени общественной организации ко всем участникам процесса.
- пообщались с с близким окружением Ивана. Ситуация стала совсем ясной.

Кто может предложить еще какие ибо действия?

+1

Автор статьи, дайте контакты волонтеров !!!!

Люди реально готовы помочь связями, деньгами, медиа-поддержкой

class.od.ua

Публикуй текст запроса, я тоже напишу!

Vitaly Zhuk

Давайте найдем адвоката. Я готов собирать деньги и сам вложиться.

Sergey Yarygin

Разговаривал с Юскутум. Если что - они возьмутся.

Olha Karpenko

Один из инициаторов - Михаил Кашкин, просил дать скайп mkashkin

почта - mkashkin at gmail.com>

Anna Zinchenko

Начинание хорошее и полезное, Ивана очень жаль, он попал и попал весьма плотно. Самой лучшей помощью сейчас будет найти хорошего адвоката.

Alex Zakharov

Откуда вы знаете, что он "попал, и попал весьма плотно"? Из статьи, по моему, следует как раз обратное - нормальный адвокат и все можно решить.

Anna Zinchenko

Наводящий вопрос, вы когда в последний раз были в суде или общались с представителями правоохранительных органов?

Наприклад Юскутум каже, що у ментів жодного шансу з цією статею

Serg Khalif

Юрист поясняющий ситуацию забыл одну вещь. Если вы разместили информации в интернете (на сайте) это значит, что вы сделали эту информацию достоянием общественности. Не имеет значения вешаете вы таблички "Копировать запрещено" или нет Это никого не волнует. Информацию разместил - все свободен, теперь это достояние общественности. Кто не согласен - читай лицензии использования интернет технологий.

Eduard Dudar

Юрист забыл другую вещь. А именно, получение платной информации/услуги в обход установленного порядка является незаконным проникновением и кражей. А информация из реестра является платной - 17 грн за справку. Скачал 40 адресов (там до 4х адресов в одном запросе можно запросить) - 170 грн ущерба. Скачал 400 - 1700 грн. И т.д.

Деятельность Миньюста и порядок выдачи информации регулируется законами.

Воспользуемся возможным пожарным выходом )

Открываем
ЗАКОН УКРАЇНИ Про державну реєстрацію речових прав на нерухоме майно та їх обтяжень
Стаття 29. Плата за проведення державної реєстрації прав та їх обтяжень, внесення змін до записів Державного реєстру прав та надання інформації з Державного реєстру прав
...
3. За внесення змін до записів Державного реєстру прав, у тому числі виправлення технічної помилки, допущеної не з вини державного реєстратора, та надання інформації з Державного реєстру прав справляється плата, порядок використання і розмір якої встановлюються Кабінетом Міністрів України.

Хорошо, ищем и находим законодательный документ

ПОСТАНОВА КАБІНЕТ МІНІСТРІВ УКРАЇНИ від 21 листопада 2012 р. № 1204 "Про затвердження розміру і порядок використання плати за внесення змін до записів Державного реєстру речових прав на нерухоме майно та надання інформації із зазначеного реєстру"
где указано:
1. Установити, що:
1) розмір плати за:
...
-надання інформації з Реєстру в електронній формі через офіційний веб-сайт Державної реєстраційної служби - 17 гривень;

17 грн - плата за кг/запрос/всю БД?
Т.е. внеся единожды плату - можно получить "информацию", объем которой не регламентируется? Бери - не хочу.
Если ошибся где-то - поправьте.

Eduard Dudar

Не совсем. Плата за один запрос. У них нет API, поэтому запрос с визуальной формы. Там можно упомянуть до 4х адресов. Даже если бы было API, то речь все равно шла бы об одном запросе.

Укажите пожалуйста, в какой статье написано, что это "Плата за один запрос"? Это лично Ваше трактование Закона.

П.С. там не 4, а 1 можно. Я первый раз когда пользовался, оплатил лишних 21грн, выбрал только номер многоквартирного дома и он мне сказал что информация есть, а на самом деле дальше в выпадающем списке уточнялось какой тип((дом,секция),(квартира,чего-то там))
П.П.С. Где API? API - это немного другое.

Eduard Dudar

"П.П.С. Где API?". Я же вроде понятно написал - "У них нет API". С чего вопрос вообще?

Почему один - потому что так система устроена - "через офіційний веб-сайт Державної реєстраційної службы". Ты делаешь запрос через сайт - ты получаешь ответ. Плата за получение ответа через сайт - 17 грн.

Еще раз: покажите в законе где написано, что при обращении через сайт "плата осуществляется за получение ответа"?
Да, в Законе *должно* уточняться что это один запрос(или какая-то другая измеримая и осягаемая величина), но в данный момент такого уточнения *там не нашел*. И это нужно исправлять.
Я по старинке "через офіційний веб-сайт Державної реєстраційної службы" с telnet-сессии работаю, допустим. Без использования браузера. Я в этом случае что-то нарушаю?

П.С. Извините. Про API я что-то напутал. Показалось что в Вашем сообщении было утверждение что работают через API.

Eduard Dudar

Сайт подразумевает один запрос. Так задумал разработчик. В законе написано - "через сайт". Ну транзитивность же, как дети малые.

Если Вы знакомы с веб-программированием, то "через сайт" - это не только то, что видно после рендера в веб-браузере.
Вам известно, что программист (NN)% времени тратит на обдумывание вариантов каким способом пользователи смогут "поламать логику работы программы/ф-ии"?
Если вы разрабатываете не для пользователей, а "так задумал разработчик" - в этом случае я ничем не могу помочь ...

Eduard Dudar

Да, я знаю, что программисты имеют такое свойство как сосредотачиваться на периферийных мелочах и упускать саму суть вопроса. Наблюдаю это прямо вот сейчас в этом треде.

Истина кроется в деталях.
В Вашем случае истина где-то рядом, без каких-либо подкрепленных законом оснований(Вы же не указали конкретную статью в Законе которая дает точное трактование?), основаны на мнимом представления "так должно быть". Закон на то и Закон что бы давать однозначное трактование, если его нету - решает суд или меняем Закон.
Так как Ваши утверждения ни чем абсолютно не подтерждены, дальнейший спор считаю пустой тратой времени.

Eduard Dudar

Кстати, в законе не указано, что 17 - это в десятеричной системе исчисления. Это большое упущение и неточность!

Вы правы! Но только это относится к другом закону. Есть предложение обратиться в НБУ для уточнения деталей ибо на их сайте есть только упоминание что сис-ма используется в большинстве стран,а где это закреплено на законодательном уровне - сходу не нашел.

Цитата с сайта bank.gov.ua:
"У ст.3 Закону України «Про платіжні системи та переказ
коштів в Україні» зазначено, що грошові знаки випускаються у вигляді банкнот і монет, які мають вказану на них номінальну вартість. Г.о. ділиться на більш дрібні пропорційні частини. У більшості країн існує десяткова система _ділення_ 1:10:100."

Спасибо за наводку, полезно для расширения кругозора. Оказывается, все еще существует две страны, в которых валюта не является десятичной... Хоть и не 2, 8, 16-ая, но все же иная.

Eduard Dudar

Тут важно уточнить, что существование в стране десятичной системы не гарантирует ее применение в конкретном законе. И да, как будешь обращаться, не забудь удостовериться, что 1 и 7 - это арабские цифры, а не просто символы, которые могут означать все, что угодно, потому как в законе не прописано, что эти 1 и 7 - это таки те самые 1 и 7, которые все думают, что 1 и 7, а не какие-то другие 1 и 7.

Eduard Dudar

ЛОЛ, можешь обратиться в суд с просьбой трактовать "надання інформації з Реєстру в електронній формі через офіційний веб-сайт". Я тебе гарантирую ответ суда. И он точно будет не "да, можешь сказать всю базу за 17 грн". Но ты можешь потрать свое время и проверить что Boolean.valueOf("true") == true. Это твое время, в конце концов.

Как будто хотя бы 17 грн было заплачено в рассматриваемом случае. Просто ЛОЛ.

Были люди, которые обнаружили, что в законе прописана только госпошлина (170 грн., кажется) за загранпаспорт, а все остальные платежи, которые по факту берут в ОВИРах - за "информационные услуги", "ускорение выдачи справки о несудимости" и т.д. - не прописаны.

Дошли в апелляциях до каких-то высших инстанций и таки обязали ОВИР выдать паспорт без мозгоёбства всего лишь за 170 грн госпошлины и точка.

Иногда буква закона работает.

И да, в законе и постанове не прописан объем информации, которая предоставляется за установленную сумму оплаты, что в форме вытягу, что в электронной форме. Автор соотв. нормативных документов - дурак.

Serg Khalif

А вот здесь уже другой вопрос. На каком основании была установлена цена на выдачу общественной информации. За эту услугу я уже уплатил, заплатив налоги. Так что в данном случае мы имеем место с возвратом имущества владельцу, причем кража была совершена группой лиц в сговоре, да еще и должностными лицами.

Eduard Dudar

Не, это все буйные фантазии про возврат имущества и группу лиц. Право так не работает. Основание цены для оплаты не является существенным в данном случае. Иван не поднимал вопрос неправомерности взимания платы или о ее количественном обосновании. Взял платное без спросу - сам себе буратино. Помочь ему нужно, естественно, хороший парень, но таки буратино. А если все-таки интересует вопрос "почему", ну как для общего развития, то есть http://zakon4.rada.gov.ua/laws/show/722-2014-п#n37: "ПОРЯДОК надання фізичним та юридичним особам інформації з Державного реєстру речових прав на нерухоме майно". В нем есть пункт 6. В пункте есть ссылка на другое постановление №1204, где написано буквально следующее: "надання інформації з Реєстру в електронній формі через офіційний веб-сайт Державної реєстраційної служби - 17 гривень;"

Serg Khalif

Это не буйные фантазии, это именно так и есть. Для того что бы определить кто совершил кражу, нужно ответить на вопрос: кто владелец/хозяин этой информации.
После ответа на этот вопрос все становится на свои места.
Получать деньги за доступ к публичной информации - это все равно, что отгородить часть Оболонской набережной длинной так в 12 километров и требовать с каждого денег за вход на эту набережную.

Eduard Dudar

Хозяин - Державна раеєстраційна служба України. Государство, одним словом. Точно не Иван Яни.

Serg Khalif

Вот та самая служба не хозяин а управляющий, а хозяин - народ Украины и Иван Яни вернул эту информацию хозяину, а то что группа должностных лиц в преступном сговоре грабила народ Украины это совсем другая статья.

Eduard Dudar

Демагогия. Не интересно.

Serg Khalif

постановление №1204 нарушает закон Украины о публичной информации, а так же международные нормы о распространении информации в интернете. А согласно закона Украины о распространении программ вас нужно посадить, за то что вы просматриваете сайты. Всего доброго на просторах закона.

Лациус

Содержимое вашего персонального почтового ящика, тоже "размещено в интернете", но для доступа к нему, нужно передать определенную секретную последовательность символов в виде HTTP/POST запроса. А для доступа к данным с сайта минюста, секретную последовательность символов надо передать в виде HTTP/GET запроса.

С юридической точки зрения эти два вида запросов ничем не отличаются. Главное, что последовательность символов секретная.

Serg Khalif

Совершенно верно. Но работая с почтовым ящиком через веб-интерфейс, я вполне отдаю себе отчет, что данные могут "уйти налево" более того, если я зашел на свой почтовый ящик с чужого компьютера и "забыл" выйти, то разве укр.нет будет виноват в том, что кто-то прочтем мою корреспонденцию?

Лациус

Все верно. У министерства юстиции, косолапые программисты, которые придумали плохой, уязвимый, способ защиты информации. Который легко обойти. Но тем не менее, тот человек, который обходит даже такой тупой и несовершенный способ защиты информации - все равно нарушает ст. 361 УК.

Кстати, если бы там в URLах были бы не айдишники, а какие-то более трудно угадываемые хэши, да еще защита от брутфорса которая банит IP хотя бы после 1000 попыток - то способ защиты был бы вполне годным.

Serg Khalif

Поскольку цитирую "Представители технического администратора ГП «Информационный центр» ранее заявляли о полной безопасности защиты персональных данных и невозможности несанкционированного вмешательства в государственный реестр. "
Следовательно взлома быть не могло 🙂
Я еще не в курсе подробностей, возможно юноша даже что-то и нарушил, мы сейчас пытаемся с ним связаться, но в состав любого преступления входит намерение причинить ущерб или совершить преступление, а именно этой составляющей нет в его действиях. То что он сделал общедоступную информацию бесплатно доступной не является преступлением.

Лациус

Не говорите глупости. В состав преступления "причинение смерти по неосторожности" не входит не только намерение причинить УЩЕРБ но даже и вообще намерение на осуществление каких бы то ни было действий.

Serg Khalif

Спасибо за совет, но в данном конкретном случае не было нарушения ст 361 УК. паренек отправлял системе вполне законные ссылки. То что система выдавала ответ это не проблемы парня. Никто не запрещает вносить изменения в линк (url) ручками. Если система выдала мне линк /image/, я совершенно не обязан лазить по всей системе в поисках линка /image/ я имею полное право набрать этот линк самостоятельно. Ситуация с защитой данных на сайте минюста мне напоминает мультик Волшебник Изумрудного города, когда на границе поставили мощные ворота без забора. Насколько я понимаю в запросах не было имплементаций тегов для получения несанкцианированного доступа. Были валидные ссылки на которые система давала ответ.
В чем преступление?

class.od.ua

От спасибо, избавил от набора этого текста! Было бы ещё темой, если бы он добыл данные не доступные в сети и выложил их, тогда бы мы получили своего Асанжа, а так.. бред агонизирующей системы!!

Serg Khalif

А вот данные не доступные через интернет - это уже будет нарушение. То есть вообще говоря если вы желаете ограничить доступ к вашим данным то не используйте веб-технологии. Простите за грубое сравнение, но если вы занимаетесь любовью на подоконнике окна выходящего на площадь, то нечего возмущаться на фотографии этого процесса из публики.

class.od.ua

Сергей, я в Одессе, пытаюсь поднять волну, но у меня нет контактов Ивана или его адвоката, помоги найти его.

Serg Khalif

Иван замкнулся. Силовики сильно напугали парня. Сказать что он в шоке это ничего не сказать, напиши мне в личку в фейсбуке.

Так работают типичные мусора. Если человек начинает бояться - они себя чувствуют уверенно. Если начинает сопротивляться, искать правды и требовать наказания виновных - они сами замыкаются и забиваются в уголки.

Serg Khalif

А такие заключения дают типичные московские тролли.

Могу ошибаться, но на сайте https://kap.minjust.gov.ua/ нет ни правил, ни договора-оферты. С правилами использования ознакомили? Нет! Что он нарушил? Согласно Закона он имеет право получить доступ информации по запросу. GET запрос сделал, информацию получил - все законно.
К слову, если специалисты Миньюста считают, к примеру, что document123(где, 123-последовательность цифр) в URL является защитой(по сути ею не является), то я боюсь за сохранность других своих данных, которые не подлежат публичной огласке.

Да, это не может считаться взломом. Это как угадать, что за номером дома 17 будет 19 по той же стороне дороги.
Информация, в данном случае, была не защищена. Если должна была - виноват Миньюст и отвечать им.

class.od.ua

Было бы очень полезно огласить имена государственных чиновников, которые настолько безграмотны и подлы, что создали такой иск!!! Кто эти падонки!? Автор? Огласите пожалуйста имена!!

Обсуждение мне кажется не в том русле. От наезда гос-органов никто не застрахован. Теоретически вас могут закрыть за любой торрент.

Парень держал активную позицию. Я уверен, что работа велась с благими намерениями. Возможно где-то перегнули палку. Парню нужна поддержка.

Завтра закроют вас и мы конечно же обсудим законодательную базу....
Как-то неправильно все это.

Почему автор статьи не указала контактные данные волонтеров ?

Olha Karpenko

Указывала данные ниже, продублирую

Один из инициаторов - Михаил Кашкин, просил дать скайп mkashkin

почта - mkashkin at gmail.com>

Taras Gavriliuk

Поддерживаю Ивана.

Но странно, что юрист не указал на норму (не помню, к сожалению точно ее происхождение)

Сбор (открытой инфы) РАЗРЕШЕН.
ОБРАБОТКА (и тем более публикация результатов этой обработки) такой инфы - ЗАПРЕЩЕНА, т.к. лицензируемая (или попадающая под налогообложение) деятельность.
Законы у нас такие "умные". Но пожелаю Ивану решить эту ситуация с наименьшими потерями!

Странно, но в другом гос. реестре (http://reyestr.court.gov.ua/) ухвалы не нашел.

Пока еще никто не отменял решение Конституционного суда от 30.10.1997, что информация про имущественное состояние лица - конфиденциальна, как и персональных данные, которые содержатся в Реестре прав. Обрабатывать, собирать эти данные возможно только с согласия того лица, которых они касаются, кроме случаев определенных законом. Закон установил порядок доступа к данным Реестра, в том числе и через сайт (справка по обьекту, после оплаты для граждан, доступ для органов и по субьекту). И я не хочу, чтоб некий Ваня, даже сто раз талантливый и волонтер, скачивал информацию с реестра про мои персональные данные, или данные других лиц, руководствуясь высокими целями, без достаточных правовых оснований, еще и обманывая государство.

То есть я могу совершенно законно, согласно постанове "Про затвердження розміру і
порядок використання плати за внесення змін до записів Державного
реєстру речових прав на нерухоме майно та надання інформації із
зазначеного реєстру" получить информацию, ну, например, про Ваше имущество - вот просто случайно угадав адрес, а потом Вы можете подать на меня иск в суд за доступ к конфиденциальным данным?

Интересно, кто будет виноват, я или гос. организация, с компьютера которой эти данные на мой компьютер ушли.

А вообще - логика понятна, но теми же фразами прикрываются и все, кто эффективно ворует. Предложите метод, как сделать прозрачной информацию об имуществе потенциальных коррупционеров, не раскрывая доступа к информации об имуществе обычных жителей.

Неофициально-то любой, кому надо, зайдет к знакомому нотариусу - и тот все равно через базу всю вашу информацию посмотрит, наплевав на то, что Вы "не хотите, чтобы некий Ваня, даже сто раз талантливый...."

Есть Закон України "Про державну реєстрацію речових прав на нерухоме майно та їх обтяжень"(Редакція від 25.03.2015), согласно которому:

Стаття 28. Надання інформації про державну реєстрацію прав та їх обтяжень з Державного реєстру прав
1. Інформація про зареєстровані права та їх обтяження, що міститься
у Державному реєстрі прав, Є ВІДКРИТОЮ ТА ЗАГАЛЬНОДОСТУПНОЮ.

так же есть "ПОРЯДОК надання фізичним та юридичним особам інформації з Державного реєстру речових прав на нерухоме майно"(ЗАТВЕРДЖЕНО постановою Кабінету Міністрів України від 24 грудня 2014 р. № 722) в котором ограничений на получении информации для простых смертных сходу не нашел.

На счет того, что с реестра выдаются "персональные данные" - вопрос спорный. Там только ФИО собственника. По ним однозначно идентифицировать личность нельзя(паспортные данные и ИНН не передаются)

По поводу оплаты вопрос тоже спорный. Реестр юр и физ лиц почему-то можно бесплатно смотреть, а тут какие-то доп.затраты придумали, за которые нужно платить.
В конкретно этом случае, оплатив 17 грн один раз(за информацию с Реестра) нигде не указано что выписку можно получить только одну 😉

В некоторых городах в общественном транспорте принято компостировать талоны.
Теоретически можно проехать и не заплатив - ведь трамвай (тролейбус, автобус) сам остановился, открыл двери, никто не подошел, не потребовал оплатить... Но вот парадокс - входит контроллер (не кондуктор) и проверяет билет - а у тебя прокомпастированный билет, но с прошлой поездки (компостер не совпадает) - и тут вопрос - гад ли этот контроллер, что требует с тебя штраф или сисема виновата, что не поставила турникеты везде?????

Viktor Sovietov

Скорее парню отобьют почки и засадят в СИЗО до потери здоровья, это несколько, хм, более типично для государства.

Валерий Красько

Лично знаю Ваню. Вместе учились. Сейчас на него сильно давят - у него резко ухудшилось состояние здоровья. Адвокаты, говорят, что на него ничего нет и ничего ему предъявить не могут.

Конфисковали ноут. По данным его девушки, кто-то начал делать заказы с его карты на Амазоне. Карту уже заблокировали.

Eduard Dudar

Прочитал постановление и зарегистрировался в этой системе, которая справки из реестра выдает. И там действительно есть правила пользования, которые ты добровольно принимаешь. А ситуация мне видится следующая сейчас. Реестр действительно открытый. Каждый из вас может там создать учетную запись и запросить справку. Но справка стоит 17 грн. Это не делает реестр закрытым. Платным - да. Но закрытый, все-таки, подразумевает отсутствие доступа. А тут доступ есть.

"ПОРЯДОК надання фізичним та юридичним особам інформації з Державного реєстру речових прав на нерухоме майно ... 6. За надання інформації з Державного реєстру прав у вигляді витягу чи інформаційної довідки справляється плата у розмірі, встановленому постановою Кабінету Міністрів України від 21 листопада 2012 р. № 1204 “Про затвердження розміру і порядок використання плати за внесення змін до записів Державного реєстру речових прав на нерухоме майно та надання інформації із зазначеного реєстру”"

А у нас получается, что Иван нашел способ как получать эту информацию бесплатно. Без злого умысла. Без цели получения выгоды. Но бесплатно, хотя законами Украины установлена плата. Это не означает, что система не должна быть защищена надежнее, но использование уязвимости все равно не является легальным действием. В итоге получаем причинением материального ущерба государству. Хочется надеятся, что заключат мировую. Иначе реальное наказание может быть совсем не иллюзорным.

Обычно на сайте нужно принять Правила использования сайтом перед использованием, которыми регламентируется ваше взаимодействие с сайтом. В данном случае где Вы нашли что-то подобное? "Допомога"? Или договор-оферта про сдирание комиссии банком-прокладкой?
В данном случае скачали всю информацию, доступ к которой явно не ограничен и не запрещен законами или соглашением.

Eduard Dudar

Цитата выше "... И там действительно есть правила пользования, которые ты добровольно принимаешь ..." Показываются как обычно при регистрации нового пользователя.

В данном случае доступ явно ограничен. На сайте нет ссылки "Скачать всю информацию" или что-то типа этого. Использование обходных путей при наличии выставленной цены за запрос - несанкционированное проникновение. Case closed.

Допустим, мне прислали по скайпу ссылку на случайную запись из этого реестра. ВИРУС прислал - бывает такое, вирусы, которые рассылают информацию по всем спискам контактов.

Я открыл и увидел чьи-то данные. Удивился и закрыл.

Нанес ли я материальный ущерб государству?

Тут по уму надо бы различать оплату как компенсацию за работу серверов, сисадминов и т.д. (паршивую, как видим), то есть компенсацию СЕБЕСТОИМОСТИ предоставления доступа к реестру, и оплату по типу других объектов интеллектуальной собственности, где автор (режиссер, любой владелец авторских прав) создал с нуля нечто новое и имеет право за него ломить любую цену.

Уж точно некорректно всегда рассматривать такой доступ как упущенную прибыль. Не факт, что если кто-то скачает миллион записей, то после этого ровно миллион людей не сходит на сайт и не проведет миллион оплат по 17 грн. Может быть, 10 000 не сходят на сайт, а еще один человек, которому нужна была база, просто не сворует ее через знакомого нотариуса или человека в МВД.

Есть другой кейс.
Бывают случаи, когда бот Яндекса индексирует такого рода информацию(чуть позже это попробую проверить).
Бот в этом случае вообще ни за что не платил. Соглашение не принимал. Просто увел через плагин URL и скачал информацию, выложил в открытом доступе.
Посадим разработчиков Яндекса? Или это вина разработчиков Миньюста?

Eduard Dudar

Эта информация есть в гугле или яндексе или еще где? Думаю, что нет. Остальное - фантазии на ровном месте.

Привожу аргументы.
Вот пример похожей ситуации http://habrahabr.ru/post/253943/
Поддеркжа отрицала, говорила что это не возможно, а оказалось, что вложения закрытой переписки былы доступны боту.

Eduard Dudar

Совсем не похожая ситуация. Бот, сканирующий все до чего может дотянуться и человек, скачивающий очень конкретную информацию с целью публикации. Но опять-таки, не думаю, что эта конкретная информация в кейсе есть в индексе гугла или яндекса. Я также почти уверен, что эта информация не выложена на публичных "страничках", а выдается по запросу с набором параметров из базы, которые траулеры конечно не подбирают, если нет кросс-ссылок, которых там наверняка нет.

Вы подменяете понятия в угоду своим целям.
Разработанная Яндексом(Гуглом, Бингом) программа сканирует сайт и получает всю доступную информацию - им можно.
Программа Ивана сканирует сайт и получает всю доступную информацию - виноват, ук 361

Eduard Dudar

А его программа сканирует весь сайт? Откуда ты знаешь механизм работы его программы? А эта информация есть в гугле/яндексе/бинге? Есть или нет? Откуда взялось отверждение про "им можно", если ты не знаешь, есть ли у них эта информация? О чем вообще разговор? Существуют ли единороги? Какие-то фантазии оторванные от реальности. Ветряные мельницы. Удачи.

В "Ухвалі" указано что ПО с использгованием !библиотек! осуществляло автоматические запросы на сайт и скачивало файлы(то же, что делает Google,Yandex каждый день миллиарды раз)
Пригласите экспертов, пусть они Вам расскажут.

Eduard Dudar

"ПО, осуществляющее автоматические запросы на сайт" - это наверное самое примитивное и неточное описание работы краулера, которое я когда-либо встречал. Тут даже специалисты не нужны.

Доказательств наличия этих данных в индексах поисковиков я не думаю, что дождусь.

Тупиковая и бессмысленная дискуссия. Иван получил доступ в систему в обход санкционированного способа и скачал платную информацию за так. Case closed. Надеюсь, что его адвокат сможет доказать, что это было сделано по неосторожности и только из лучших побуждений и т.д. и т.п.

Значит ли это, что по Вашей логике и любой человек, получивший ссылку на запись реестра в массовой рассылке (спаме), в чате от незнакомого контакта или еще каким-либо способом и перешедший по ней (ну из чистого любопытства, щёлкают же глупые пользователи на вложения с вирусами) и перешедший по ссылке - уже тоже уголовный преступник?

Т.к. когда браузер откроет страницу, произойдет "получил доступ в систему в обход санкционированного способа и скачал платную информацию за так".

Я правильно понимаю, что Вы считаете - если вот я, например, обзаведусь такой ссылкой на запись в Реестре и закажу у спаммеров миллионную рассылку, а 10 000 человек прочитают страницу из Реестра, то правоохранительные органы должны будут открыть 10 000 уголовных дел?

Eduard Dudar

Нет, анализ логов покажет, что запросы исходили из разных мест, но с одними и теми же параметрами. Это будет означать, что конкретный набор утек в Сеть и был либо разослан спамом или ботнет или что-то аналогичное. Ты занимался когда-либо расследованием подобных вещей самостоятельно для системы, которую пишешь/поддерживаешь или пишешь просто так абы буквы настрочить?

Хорошо, попрошу зарегистрироваться супругу и еще раз внимательно посмотрю. Не помню я соглашений. Там что-то с почтой на mail.gov.ua было, а что бы явно с сайтом - не припоминаю.

Eduard Dudar

О боги... Это учетная запись в системе в целом. Сайт является частью системы. Ты создаешь почту на гугле и с этой записью заходишь на карты или в календарь. Или кто-то ждет, что будет где-то написано что-то вроде "если с вас потребуют плату за услугу - вы обзываетесь либо заплатить либо отказаться"? Даже в программистском мире цена - это цена, а не что-то мнимое "по желанию".

Богдан Евстигнеев

Так такого бреда осуждения я давно не видел!!!
Берем коммуналку!!!
ЮРЛ это адрес который указывает путь к определенному ресурсу( является общедоступным)... то есть к квартире коммуны( это открытая инфа).... Вы заходите в коммуну но не знаете в какой комнате живет Ваш друг... Вы начинаете открывать двери и спрашивать здесь ли он живет.... если она не закрыта на замок( то есть пароль) она общедоступна ... если она закрыта на замок и Вы сломали эту дверь( подобрали пароль) вот тогда это преступление !!!!
Еще раз повторюсь!!! URL- это всего лишь адрес к определенному ресурсу... а если Вы хотите защитить ту или иную ссылку, папку, фотографию... для этого есть много способов защиты, по типу: защита на базе веб сервера( пароль, запрета по IP, по методу запроса и т.д. указания noindex для поисковых машин и еще куча разных способов)...если таковой защиты нет то она общедоступна.

Eduard Dudar

В этой коммуналке всего 3 комнаты, выходящие в коридор:
https://kap.minjust.gov.ua/
https://kap.minjust.gov.ua/login
https://kap.minjust.gov.ua/services/temp/.
Ни в одной из них "друг" не живет. Из комнаты "login" можно пройти еще в пару комнат, в которых "друга" опять-таки нет. И в конце висит табличка, что "проход дальше стоит 17 грн" . А денег у тебя нет. Так как же ты "друга"-то нашел? Через окно залез? Так вот твое оконное путешествие не вызовет реакции, если все "жители" коммуналки согласны, что это нормально. А тут у нас случай, что некто остался не очень довольным твоими похождениями. Коллизия, однако.

class.od.ua

даже если нет УРЛа, а ресурс доступен по ip - это уже публичная информация! А аналогия с окнами - это не из той оперы. Аналогом будет если вы на площади фотки выложите, одно лицом вверх, другие лицом вниз. Если дунет ветер и перевернет те что лицом вниз - кто будет виновен в раскрытии содержимого? Ветер? Или тот, кто фото на площадь вынес?

Eduard Dudar

Уже написали здесь, что чудак подменял токен платежной системы и отсылал запросы на "не публичный" URL. Это называется эксплойт. Использовать можно, пока не поймали. А тут поймали. А ты можешь и дальше про фотографии на площади фантазировать.

class.od.ua

с такой аргументацией wget можно назвать exploit-ом!

Serg Khalif

Все таки полезно бывает поспорить и подумать.
Итак.
Для всех судей и обвинителей Ивана у меня одно, но очень справедливое требование.
Судить или обвинять человека, нарушившего "компьютерный" закон имеет право только тот человек который сам не нарушает "компьютерный" закон.
В частности я имею ввиду закон Украины о распространении программного обеспечения. Тот закон который говорит о необходимости приобретать голографические наклейки на каждый экземпляр легальной программы.

Eduard Dudar

На меня этот закон не распространяется, поэтому я согласен - я не нарушаю. Упс. Но претензия из разряда "сперва добейся", да еще и направленная на совершенно другую норму законодательства - это, конечно, эпик! И прошу заметить, что я не обвиняю Ивана и не считаю, что он совершил такое правонарушение, которое реально требует наказания даже в виде штрафа. В этом уравнении слишком много неизвестных сейчас. Да, он набуратинил по незнанию и доброте душевной. Плохо, но хотел как лучше же, наверное. Должна быть мировая и счастье в итоге. И урок на будущее. А показать я пытаюсь, что позиция обвинения имеет под собой вполне логичные доводы, вытекающие из имеющегося законодательства, а не просто да-они-все-ипанулись-там-что-ли. ОК?

Я как разработчик этого продукта признаю, что мы налажали, что давали прямой УРЛ на сформированные вытяги. Просто всё делали как обычно сломя голову и не успели залатать. Цель была: "запустить 1 января".

НО 5го эту дырку мы закрыли!

Почему тут все такие доверчивые автору статьи? Публичный УРЛ не имеет отношения к этому обвиняемому.

Он нашел другую дырку, которую мы обнаружили случайно и залатали значительно позже. В результате, он успел выкачать несколько тысяч вытягов (возможно и на ваши, читатели, квартиры).

Он вытаскивал некий код операции, подсовывал его в платежную систему. Оплату не проводил, а сразу вызывал страницу результата оплаты с этим кодом и фальшивым результатом оплаты.

Другими словами он подсовывал одну и ту же квитанцию об оплате для получения каждого вытяга.

Стандартными средствами браузера такое сделать невозможно. Нужно специальное ПО.

На такое случайно на улице не наткнуться. Ну и плюс в регистрации он указал заведомо ложные данные о своей личности. И заявки подавал от другой персоны.

Как-то так. Скрыли кусок информации и сформировали народное мнение... Прям героя сделали... Журналюги...

Лациус

Который раз убеждаюсь, что все что делает государство - оно делает очень-очень плохо....

Oleksii Chyrkov

если вы действительно разработчик этой системы (вы зарегистрированы не под полным именем, что подозрительно), то вы просто расписались в своей некомпетентности. "случайно нашли дырку" после того, как пару месяцев назад вышла подробнейшая статья о том, как работает реестр Минюста и насколько в нём отсутствует защита.

кроме того, расскажите, что же такого делал Иван, что нельзя сделать средствами браузера? зайти на страницу стандартными средствами несложно.

Дело не в некомпетентности. Когда принимают законы, нас не спрашивают успеем ли мы всё разработать к сроку вступления его в силу.

Потому и ищем кратчайшие пути. По принципу "Главное что бы заработало". А потом уже допиливаем походу. (Не сомневайтесь, сидели на работе до 5 утра и по выходным рази этого реестра).

По поводу что делал Иван не могу рассказать в подробностях, не уверен, что имею право. Повторю лишь, что надо было сделать более трёх операций зависимых друг от друга (т.е. каждая следующая выполнялась на основе данных из предыдущей). И некоторые из них методом POST запросов.

Про них прочитайте тут http://webgyry.info/http-zapros-metodom-post/ для общего образования. Цитата "Таким образом, передавая данные методом POST, их будет намного труднее перехватить злоумышленнику, т.к. они скрыты от непосредственного просмотра, поэтому метод передачи данных методом POST считается более безопасным способом."

Потому мы строили все именно на POST запросах.

Я к тому, что это не просто по определенному УРЛ получить вытяг. Надо было нормально покумекать, что бы такую дырку найти.
Т.е. умышленно взламывалось.

дело не в том, спрашивают ли вас перед принятием законов.
дело в том - беретесь ли вы за столь ответственные (государственные!) задачи, руководствуясь принципом "Главное что бы заработало"
конечно, кризис, заказы, кушать хочется - это все понятно...
но или мы все дружно пошлем на этих дятлов из прошлого века с их гнилым совковым подходом - партия сказал нада! пятилекта за три дня! к 1у числу сделаем! уряяя!
или так дальше и будем все жить в ж. и мы и вы.

Olha Karpenko

ОК, вы можете дать этот комментарий нам официально? Т.е. с указанием должности и имени. (мой мейл karpenko at ain.ua)

Извините, был корректен.

Просто накипело. Мы уже давно делаем ПО для государства. А в ответ слышим только критику.

И реально мы стараемся. Хотя нас тут гонят палками и бежим впереди паровоза. Просто у народа крепкий шаблон устоялся: "Правительство - это плохо, обман, воровство и т.д. и т.п.".

А под ними то сидим мы - обычные разработчики, которые тоже имеют какое-то желание сделать нашу страну лучше. Сидим думаем как наши ресурсы сделать красивее, удобнее, качественнее с тем составом людей и временем, что имеем.

А каждый, кто наш софт хакнет, сразу бахвалится, и выглядит героем на белом коне.

http://www.pravda.com.ua/columns/2015/01/5/7054208/

Вот это мы получили как только выпустились. Я так понял, что это ломал тот же хацкер. Но это как раз то, что мы залатали в первую очередь и по этой дырке мы никого не искали.
----
Официально ничего сказать не могу. Мы просто разработчики, и связью с общественностью уж точно не мы заниматься должны.

"...Эта инициатива поддерживается первыми лицами государства! Недавно запущен государственный портал открытых данных...."

теж з реєстрацією і по 17 грн?

або як в людей?... http://opendefinition.org/od/2.0/ua/

Извините, сразу не прочитал комментарии Eduard Dudar.
Действительно использовался эксплоит.
Для всех оппонентов of Eduard Dudar повторю: с 5го января прямые ссылки нами были закрыты. Доступ к ПДФ теперь исключительно через враппер, который проверят наличие валидной оплаты именно за этот ПДФ, авторизацию, сессию и т.д.
Даже если вы кому-то УРЛ на свой ПДФ пошлете, его все равно открыть никто не сможет!
Ни поисковики и вирусы не разошлют его вам, а если и разошлют, вы открыть не сможете.
Он его доставал нелегально.
А символическая плата введена исключительно для предотвращения вот таких качалок. Скачав вообще всё можно воспользоваться полученной информацией не очень правомерно.
В других странах такие реестры открыты всем бесплатно, но там и разрешено дома оружие хранить, на случай если придут не те гости.
Даже мы не имеем доступа к реестру и работаем с копией наполненной тестовыми данными.

Лациус

А я вот как раз не могу представить, как не "очень правомерно" можно использовать полный массив данных. Зато могу представить, как можно использовать выписки, именно в таком виде как они выдаются. Например, можно узнать кому принадлежит интересующий злоумышленника объект, и оказать на владельца давление, с целью отжать.

Действия УБК МВД вполне оправданы и адекватны, и правильно трактуют законность их действий многие комментаторы как "Лациус", "Sergey S" и т.д. ... И если хакер был таким активным волонтером во многих проектах, то где ж его патриотизм?! Если нашел брешь в системе, оповести службы, помоги исправить, а то как-то не вяжется его активная позиция с произведенными действиями.

Лациус

Его гражданская позиция называется "правовой нигилизм". Простыми словами - если закон не нравится - я его нарушаю. ИМХО лечить такую позицию надо небольшими реальными сроками. Скажем 6 месяцев.

Я считаю, что должен последовать ответный иск в адрес чиновников, подавших необоснованное исковое заведение и в адрес правоохранителей, которые, со своей стороны, не проконсультировали чиновников о неправомочности таких действий. С требованием полной компенсации причинённого морального ущерба.

Если же это действительно «мстя» со стороны кого-то из правоохранителей, этот персонаж должен сесть с конфискацией − а часть полученных средств должна быть передана Ивану в качестве компенсации за моральный ущерб.

Какой иск? это что гражданское дело? Во-первых могут подать жалобу, но тут нет оснований, т.к. юридическим языком – программист изменил методику или процесс обработки информации автоматизированной системы, которое привело к утечке данных (в нашем случае незаконном скачивании) за которые, хакер не вносил оплату, а, следовательно, не имел права доступа к ним. Вот и все дела.

Лациус

Плохо то, что закон сформулирован таким образом, что для состава преступления по ст. 361 УК не требуется, чтобы в результате взлома, были скачаны данные, к которым хакер "не имеет права доступа". То есть в текущей редакции, если он взломал систему, и скачал данные к которым он ИМЕЕТ ПРАВО ДОСТУПА - он все равно закон нарушил. Достаточно именно факта несанкционированного вмешательства в работу компьютерных систем.

Вот в этом и есть дебилизм. Лучше бы активисты добивались бы изменения закона именно в этой части. Чтобы состав преступления образовывался только в том случае, если в результате взлома утекли данные, к которым он не имеет права доступа.

Согласен, конкретизировать необходимо, и не только эту статью, но в нынешней трактовке закона, он попадает под действие этой статьи...

Alexander Davydenko

система сопротивляется, чиновники еще не поняли в какой стране оказались.
сейчас их причинные места начнут развиваться над просторами неньки, уже пошел репост в ФБ.

Поиск

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: