Хочется вот о чём поговорить… может мой вопрос будет выглядеть немного оффтопом, но это решать модераторам.
Довелось мне как-то столкнуться с такой ситуацией, которая до сих пор остаётся спорным вопросом.
Как-то утром, просматривая логи, я вижу, что ночью была попытка взлома на один из серверов. Первым делом пришлось анализировать ситуацию, откуда шёл источник атаки. Потом сканить весь диапазон адресов, интересующих меня. Взломщик, как оказалось, действовал даже без прокси и сидел на каком-то малоизвестном украинском провайдере. Но вопрос не в этом… пока суть да дело, ко мне позвонил тот самый провайдер и начал угрожать, что с моего ip идёт сканирование в их адрес. Они сказали, что будут вынуждены сообщить моему руководству и меня уволят ) Ессно у меня этот вопрос решился очень быстро, но вот что делать, если не всегда получается решать так гладко и быстро?
В УК нет статьи, которая гласит о том, что сканирование портов наказуемо, то бишь нет такого закона, который запрещал бы это делать. Это все равно, что подсматривать за кем бы то ни было в окно ) (imho)
Последнее время я всё чаще сталкиваюсь с такими ситуациями, что из-за простого безобидного скана у многих возникают крупные неприятности. Например, я знаю администратора, которого уволили с работы только из-за того, что он сканировал того, на кого даже чихнуть нельзя было…
Теперь о сути проблемы: если человек не «подкован» знаниями УК и не умеет достаточно аргументировано изложить причину своих действий, в данном случае мы говорим о скане портов (не путать со сканом на поиск уязвимостей с возможным нанесением какого бы то ни было ущерба) что ему делать в такой ситуации:

1)Быть уверенным в своей невиновности и продолжать сканить всё, что шевелится;
2)Не делать этого вообще (или делать очень аккуратно);
3)Или все же есть какой-нить закон, статья, который бы гласил о том, что эти действия противозаконны?

ЗЫ: и вот ещё вспомнилось… Всем известный XSpider при сканировании оставляет «следы», которые потом ссыпаются админу в виде логов о системной атаке. Мне пришлось говорить с девелоперами спайдера, они утверждают, что demo-version не способна наносить физический ущерб системе, чего не скажешь о полной коммерческой версии. Вообщем, я с ними соглашусь, т.к. мне тоже не доводилось видеть, чтобы спайдер (демо 7.0) наносил какой-либо вред. Вот первые его версии, однозначно – да. Лично мной тестировался сервер на платформе WinServer 2000. Машина уходила в даун через 10-15 сканирования.
Тоже случилось и с сервером на платформе *nix (в даном случае это был unix, версии точно не помню). Только сервант лёг через 30 мин. К сожалению, логов для анализа у меня нет, т.к. «тестировалась» не моя сеть, а попросить логи у админа, было бы сверх наглостью ))
И вот опять вопрос, как быть в этом случае? Вероятно, тут будут нужны более веские аргументы?

[ArtemD]

статья 272 УК РФ п.1.

Цитата УК РФ:

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

из комментарий к данной статье:

Цитата:

Состав данного преступления носит материальный характер и предполагает обязательное наступление одного из следующих последствий: ... - блокирование информации - обеспечение недоступности к ней, невозможности ее использования в результате запрещения дальнейшего выполнения последовательности команд либо выключения из работы какого-либо устройства, а равно выключения реакции какого-либо устройства ЭВМ, системы или сети ЭВМ при сохранении самой информации; ...

в любом случае все зависит от решения суда и результатов следствия.
мое личное мнение, что отправив чужой сервер в перезагрузку или приостановление работы во время сканирования, вы совершаете уголовнонаказуемое преступление.

[WIZARD MAN]

Не согласен. Если провайдер имеет наглость сканировать Backdor_ы и другие задние места (что пров не сомневаюсь) Это они рискуют влететь по самые помидоры.. А может у меня секретная инфа на компе. А кто запретил защищаться? Меня тоже сканили, пока я им в обратную Почему так уверен что это пров? Когда мой фаер NIS 2005 заблокировал их IP, я не смог открыть ни одну страницу, и только после разблокировки.. Лучший вариант, послать им страшную месагу, типа: Вы вторглись на территорию охраняемую законом о частной собственности.. И Всё-ё-ё-ё.

[Greyman]

WIZARD MAN
1)Не стоит путать ответное сканирование настоящего атакующего и сканирование из-за ошибок детектров атак в файрволах.
2)

Цитата:

Когда мой фаер NIS 2005 заблокировал их IP, я не смог открыть ни одну страницу, и только после разблокировки..

Типичные симптомы отсутствия доступа к DNS, так что заблокированный IP действительно мог быть IP его DNS-сервера, что не говорит о его злом умысле.
3) Нередки случаи, когда из-за определенных настроек файрволов их детекторы атак сигнализируют о возможной атаке, к-ая таковой на самом деле не является, а разобраться в этом может только достаточно опытный в этих вопросах пользователь. Наиболее типичным примером "атаки" является появление в логах "сканирования" с одного адреса серии (5-10 шт) портов 1000-го диапазона. Как правило это связано лишь с тем, что абсолютно безобидный сервис пытался для обратной сессии открыть порт, к-ый оказался закрыт в настройках того же файр-вола. Т.е. идет попытка создания обратного соединения, соединение блокировано файрволом, сервер не получает ответа и, как следствие, делает попытку соединиться на один из соседних портов. В результате либо удается обнаружить незакрытый порт и установить соединение, либо соединение разрывается по тайм-ауту. Не редко такое наблюдается как раз на DNS- и proxy-серверах.
4) Чтобы отличить реальную атаку от ложного срабатывания, необходимо внимательно разбираться в журналах своего ПСЭ. В приведенном выше примере порядок действий д/б такой: а)обнаружение "атаки" в виде сканирования короткой последовательности портов 1000-го диапазона, б)поиск блокировки соединений в логах ПСЭ, в)должна обнаружится серия блокировок в соответствии с "атакой", смотрим причину блокировки, г) временно отключаем "блокирующее" правило для этого случая, чтобы убедиться что "атака" перестала повторятся, д)сидим и думаем, можно ли поправитт настройки ПСЭ или все оставить как есть, просто игнорируя подобные "атаки".
5) Неопытный пользователь легко может наделать проблем, если попытается применять активные меры к "нарушителям" его спокойствия. В некоторых случаях это может стоить просто отключением от интернета, а в некоторых - даже возбуждением уголовного дела.
6) Сам я очень редко использую детекторы атак, ну а когда настраиваю ПСЭ у пользователей - обязательно отключаю у пользователей их активные части (типа блокировок, ответного сканирования и т.п.). От "хацкеров" достаточно правильно настроенного самого экрана, плюс наличие обновлений системы. От целенаправленных попыток взлома неопытный пользователь не защитится, а вот проблемы из-за срабатывания своей "активной защиты" огрести может. Ну а логи детектора остаются, т.ч. всегда можно восстановить картину событий.