¿Cómo determinar el alcance de la compensación por ser atacado por DDoS?

Prevenir y manejar ataques es el trabajo diario de los departamentos de seguridad de las principales plataformas. Entre el lote 18 de casos de boletines emitidos recientemente por la Fiscalía Popular Suprema, hay un caso de uso de medios de ataque DDoS para provocar un bloqueo del servidor. Debido a que el atacante destruyó la evidencia y la empresa víctima no conservó adecuadamente la evidencia que causó la pérdida, trajo dificultades para la condena y compensación del atacante. A través de este caso, puedo recordarles a mis amigos del departamento de seguridad: ¡la tecnología es muy importante en el trabajo, pero también es necesario entender la ley!

Estuche básico

A principios de 2017, el acusado Yao Moumou y otros aceptaron el empleo de Wang Moumou (manejado en otro caso), reclutaron a varios técnicos de redes y establecieron la organización de piratas informáticos "Dark Night Group" en el extranjero.

El "Dark Night Group" compró una gran cantidad de recursos del servidor del acusado Ding Moumou y otros tres, y luego utilizó un software troyano para controlar el servidor de control y llevar a cabo ataques DDoS.

De febrero a marzo de 2017, los miembros del "Dark Night Group" utilizaron computadoras con 14 servidores de consola tres veces para llevar a cabo ataques DDoS continuos en las direcciones IP de los clientes de tres compañías de juegos que operan en el servidor en la nube de una compañía de Internet.

El equipo de seguridad de la red de la empresa de Internet víctima detectó varios ataques DDoS dirigidos al servidor en la nube de la empresa con un gran tráfico y un alto valor máximo en el trabajo diario, y se desconocía la dirección IP de origen del ataque.

El ataque provocó el bloqueo de las IP de las tres compañías de juegos y hubo problemas como la imposibilidad de iniciar sesión en el juego, la desconexión frecuente de los usuarios y la falla del juego para ejecutarse normalmente.

Debido a su ataque, una empresa de Internet pagó más de 110 000 yuanes a los usuarios del juego y, para restaurar el funcionamiento normal del servidor, organizó personal para reparar el servidor y pagó más de 40 000 yuanes por esto.

Los órganos de seguridad pública arrestaron sucesivamente a 11 sospechosos. La investigación encontró que los miembros del "Equipo de la Noche Oscura" se habían coludido entre sí después de cometer el crimen y destruyeron o encriptaron sus teléfonos móviles, computadoras portátiles y otras herramientas criminales para evitar el ataque.

(Ataque DDoS: se refiere a un ataque de red en el que los piratas informáticos lanzan solicitudes de servicio de alta frecuencia al objetivo mediante el control remoto de recursos como servidores o computadoras, de modo que el servidor objetivo se paraliza porque es demasiado tarde para procesar solicitudes masivas). ;

Decisión

De acuerdo con la sentencia penal (2018) Guangdong 0305 Xingchu No. 418:

Yao Moumou y otros establecieron el delito de sabotaje del sistema informático informático.

Entre ellos, Yao Moumou fue condenado a 2 años de prisión, los 10 acusados ​​restantes fueron condenados a 1 o 2 años de prisión.

Después de que se pronunció el veredicto, ninguno de los 11 acusados ​​apeló y el veredicto ha entrado en vigor.

Estudio de caso

En este caso, hay dos cuestiones importantes para condenar a Yao y otros:

La primera pregunta es:

Yao Moumou y otros destruyeron la computadora y otros soportes de datos utilizados en el crimen, ¿cómo probar la conexión entre el comportamiento y la terminal de datos? ¿Cómo probar que existe una relación de causalidad entre su ataque y el daño causado?

BCH cayó por debajo de la marca de $ 470 con una caída intradiaria del 13,98 %: según datos de Huobi Global, BCH cayó a corto plazo y cayó por debajo de la marca de $ 470. Ahora está en $ 469,97, con una caída intradiaria del 13,98 %. El mercado fluctúa en gran medida, por favor haga un buen trabajo en el control de riesgos. [2021/2/26 17:56:05]

En los hechos de este caso, aunque el equipo de seguridad de la red de una empresa de Internet detectó múltiples ataques DDoS de alto tráfico y pico contra los servidores en la nube de la empresa, no bloquearon la dirección IP de origen del ataque.

Al mismo tiempo, para evitar el ataque, los miembros del "Grupo Noche Oscura" se coludieron entre sí después de cometer el crimen y destruyeron o encriptaron sus teléfonos móviles, computadoras portátiles y otras herramientas criminales; no se extrajo evidencia directa de las computadoras antes mencionadas. y otras herramientas para probar que el ataque fue iniciado por el dispositivo.

En este caso, los investigadores probaron que el perpetrador cometió el crimen desde los siguientes tres aspectos:

En primer lugar, existe una correlación entre el comportamiento y los terminales de datos.

A través de los datos del sistema proporcionados por la empresa víctima, la IP atacada y casi 200 000 IP de origen del ataque se examinaron y analizaron más, y se filtraron las direcciones IP de las principales fuentes de ataque. Descubrimiento: 198 de estas direcciones IP son hosts controlados en la botnet y estos hosts están controlados por 14 servidores finales de control.

En segundo lugar, existe una conexión entre el terminal de datos y el perpetrador.

A través del contenido del chat en línea de Yao XX y otros y los registros de transacciones bancarias y otras pruebas, se descubrió que Yao XX y otros del "Dark Night Group" compraron los derechos de control de los 14 servidores finales de control mencionados anteriormente de Ding. XX y otros. .

En tercer lugar, existe una correlación entre el comportamiento y los resultados del daño.

A través del tiempo de ataque determinado en el primer paso, el tiempo de daño del servidor, la escala del ataque y el evento de que el "Dark Night Team" envió correos electrónicos a la empresa víctima después del ataque, se puede encontrar: el tipo de ataque, características de forma de onda y protocolo de red de la fuente de ataque principal, que es el mismo que las características de recursos de ataque del servidor atacante vendido por Ding Moumou y otros y controlado de hecho por Yao Moumou et al.; el ataque ocurrió al mismo tiempo que el daño ocurrió. También se encontró que cuando ocurrió el ataque, no había otros ataques de la misma escala en la red.

Por lo tanto, se puede determinar que el ataque principal proviene del servidor de control controlado por Yao y otros y vendido por Ding y otros.

En este caso, la prueba de que el presunto delincuente envió correos electrónicos a la víctima para extorsionarla después de realizar el ciberataque es una prueba importante para determinar la relación causal entre el hecho del ataque y el resultado del daño.

La segunda pregunta es:

¿Cómo se debe determinar el monto de las pérdidas de las empresas de Internet?

En este caso, la empresa víctima planteó que debido al ataque no se podía realizar el servicio y reembolsó al cliente 114.358 RMB; los salarios del personal pagados por la reparación de datos y funciones del sistema fueron de 47.170 RMB. ¿Pueden todas estas pérdidas contarse como pérdidas criminales?

El monto de las pérdidas causadas por daños a los sistemas informáticos de información es un tipo de "consecuencias graves" estipuladas en el artículo 286 de la Ley Penal. De acuerdo con este artículo:

“Si las consecuencias son graves, serán sancionados con pena privativa de libertad no mayor de cinco años o prisión criminal; si las consecuencias son particularmente graves, serán sancionados con pena privativa de libertad no menor de cinco años.”

En la práctica, el tamaño de las consecuencias dañinas a menudo se juzga por la cantidad de ganancias ilegales y las pérdidas económicas resultantes.

El estándar de pérdida económica no refleja necesariamente de forma completa y precisa el daño causado por actos delictivos. En algunos casos, la cantidad de ganancias ilegales o pérdidas económicas no es grande, pero la cantidad de usuarios afectados por ataques cibernéticos es particularmente grande, o por otras consecuencias, ha causado impactos sociales adversos.

Sin embargo, en este caso, la evidencia del número de sistemas informáticos y usuarios afectados ya no está disponible, y las consecuencias perjudiciales de la conducta solo pueden determinarse en función de las pérdidas económicas causadas.

De acuerdo con el artículo 11 de las Interpretaciones del Tribunal Popular Supremo y la Fiscalía Popular Suprema sobre varias cuestiones relativas a la aplicación de la ley en el manejo de casos penales que ponen en peligro la seguridad de los sistemas informáticos, la "pérdida económica" incluye:

“Las pérdidas económicas causadas directamente a los usuarios por actos delictivos que pongan en peligro los sistemas informáticos de información y los gastos necesarios pagados por los usuarios para restaurar datos y funciones”.

En este caso, además de la pérdida económica causada directamente por la imposibilidad de prestar el servicio, los salarios de los empleados pagados por la empresa perjudicada para reparar los datos y funciones del sistema también son gastos necesarios derivados del delito; también deben reconocerse como pérdidas económicas en este caso.

En la sentencia, se reembolsaron al cliente 114.358 RMB por la falla del servicio causada por el ataque; teóricamente, se puede determinar como la pérdida económica de este caso. Sin embargo, debido a que la empresa lesionada no presentó suficientes documentos de respaldo sobre los estándares de gasto y la base de los gastos, el tribunal no reconoció esta parte de los gastos como pérdidas económicas en este caso.

Además, se gastaron 47 170 RMB en salarios de empleados para reparar funciones y datos del sistema; el tribunal determinó que este gasto era un gasto necesario incurrido por el delito y fue la base para determinar la pérdida económica en este caso.

Finalmente, para la situación de que el costo de la restauración se mezcle en parte con el salario de los empleados de la empresa, el tribunal utilizó esto como base para dictar sentencia y le dio al autor una pena más leve según corresponda.

Escribir al final

En este caso, el perpetrador implementó métodos contra la investigación, como alquilar un servidor de terceros, destruir herramientas criminales y eliminar registros de chat, pero estos métodos no afectaron la adquisición de evidencia relevante y la determinación de causalidad. Skynet es extenso y es escaso pero no falta; me gustaría recordarles a todos los viejos amigos que los métodos de investigación son mucho más profundos de lo que creen, ¡así que no usen su cerebro!

Además, en caso de ataques relacionados, ¡es muy importante preservar la evidencia! Si la IP atacante puede bloquearse en primer lugar, los registros de datos electrónicos relevantes pueden convertirse en una evidencia poderosa para concluir el caso. Además de guardar los datos electrónicos relevantes que fueron atacados la primera vez, también es muy importante guardar la evidencia de la pérdida directa causada por el ataque y la prueba de reparación, mantenimiento, compensación y otros gastos debido al ataque. .

En el proceso penal, la norma probatoria exigida para la condena es diferente de la norma probatoria civil. El hecho de que se conserve suficiente evidencia no solo determina si puede obtener una compensación, sino también si puede condenar al perpetrador de acuerdo con el monto de la pérdida. Solo preservando la evidencia en su totalidad de acuerdo con la ley podemos ser "invencibles" en diferentes escenarios de litigio.

Apéndice: Base de especificaciones

"Derecho Penal de la República Popular China":

Artículo 286: Delito de sabotear los sistemas informáticos de información

El que, en violación de las normas estatales, suprima, modifique, añada o interfiera en las funciones de un sistema de información computarizado, causando que el sistema de información computarizado no funcione normalmente, con consecuencias graves, será sancionado con pena de prisión de más de cinco años o detención penal;

En cuanto a las "graves consecuencias" estipuladas en el artículo 286 de la "Ley Penal", la "Interpretación del Tribunal Popular Supremo y la Fiscalía Popular Suprema sobre varias cuestiones relativas a la aplicación de la ley en el manejo de casos penales que ponen en peligro la seguridad de los sistemas informáticos de información". estipula claramente:

 Artículo 4 Se reputará "consecuencias graves" a quien destruya funciones de sistemas informáticos, datos o programas de aplicación en cualquiera de las siguientes circunstancias, según lo dispuesto en los incisos 1 y 2 del artículo 286 de la Ley Penal:

(1) Hacer que el software o hardware principal de más de diez sistemas informáticos deje de funcionar normalmente;

(2) Eliminar, modificar o agregar datos almacenados, procesados ​​o transmitidos en más de 20 sistemas de información computarizados;

(3) Tener ganancias ilegales de más de 5.000 yuanes o causar pérdidas económicas de más de 10.000 yuanes;

(4) Causar que servicios básicos tales como resolución de nombres de dominio, autenticación de identidad y facturación para más de 100 sistemas de información computarizados, o sistemas de información computarizados que brindan servicios a más de 10,000 usuarios, dejen de operar normalmente por más de una hora;

(5) Causando otras consecuencias graves.

Artículo 6 La producción y difusión intencional de programas destructivos, tales como virus informáticos, que afecten el normal funcionamiento del sistema informático, en cualquiera de las siguientes circunstancias, se determinará como "consecuencias graves" según lo previsto en el tercer párrafo del artículo 286 de la Ley Penal. Ley:

(1) Hacer, proporcionar o transmitir el programa especificado en el Punto (1) del Artículo 5, haciendo que el programa sea difundido a través de redes, medios de almacenamiento, archivos y otros medios;

(2) hacer implantar más de 20 sistemas informáticos con los programas especificados en los incisos (2) y (3) del artículo 5;

(3) proporcionar virus informáticos y otros programas destructivos a más de diez personas;

(4) Tener ganancias ilegales de más de 5.000 yuanes o causar pérdidas económicas de más de 10.000 yuanes;

Artículo 11 El "sistema de información computarizado" y el "sistema computarizado" mencionados en esta Interpretación se refieren a sistemas con funciones de procesamiento automático de datos, incluyendo computadoras, equipos de red, equipos de comunicación, equipos de control de automatización, etc.

La "información de autenticación de identidad" a que se refiere esta Interpretación se refiere a los datos utilizados para confirmar la autoridad de operación del usuario en el sistema de información de la computadora, incluidos números de cuenta, contraseñas, contraseñas, certificados digitales, etc.

El término “pérdida económica” mencionado en esta Interpretación incluye las pérdidas económicas causadas directamente a los usuarios por actos delictivos que pongan en peligro los sistemas informáticos informáticos, así como los gastos necesarios en que incurran los usuarios para restaurar datos y funciones.

Lo anterior es el intercambio de hoy, ¡gracias lectores!

Tags：

Binance Download