渗透行为的法律定性【T00ls法律讲堂第二十期】
依照刑法第二百八十五条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
对于黑客来说,正如许多论坛里蠢蠢欲动追求积分的白帽子们,渗透应该是最能展示其能力的武功之一了。这里对该行为向大伙做个简单的法律分析,本文只针对未经授权的行为。为了方便了解,就拿圈内经常传的日卫星来做例子吧。
案例(纯属虚构):小道15岁,热衷于网络黑客技术,经常在谷歌搜索目标练习武艺,希望小有所成后能够报效祖国,某日小道正常googlehack,无意又找到了一个好下手的目标,于是施展了一套广播体操,注入、种马、提权、漫游内网一气呵成,但进去后小道懵逼了,首先全英文不说,反正都看不懂,但是小道玩过红警,里面有许多类似红警的卫星图片,此时小道才知道他进入了A国军事服务器,当时出于害怕,观摩了一会便离开下线了。
行为法律解析:通过googlehack这样的查询语句,可以简单发现网站存在的漏洞,这样的行为,可以定性为犯罪预备,即为犯罪准备工具、制造条件的行为。依照我国刑法规定,对于预备犯,可以比照既遂犯从轻、减轻处罚或者免除处罚。在实务中,如果不是案发后对本机做取证工作,单纯googlehack行为很难被发现,如果没有后续的违法动作,仅针对此行为一般也不予处罚。
关于SQL注入和上传ASP这样的行为,可以认定为非法侵入计算机信息系统的手段,对于主观上是出于好奇、逞能、报复等都不影响对该罪的法律定性。但是本罪侵犯的客体是国家重要领域和要害部门的计算机信息系统安全,本案中,小道入侵的可能是军事,是否属于犯罪客体应当由省级以上负责计算机信息系统安全保护管理工作的部门检验确认(对此很多办案机关也存在主观臆断,不做检验确认说明),如果是则可以被认定为非法侵入计算机信息系统罪,依照刑法第二百八十五条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
对于侵入后在内网浏览服务器的数据库或源码等内容,这样的行为在法律上可以证实小道非法侵入行为的既遂,可以依照计算机信息系统内容的重要程度和小道浏览的具体情况来判断最终的量刑。
很多时候,行为人使用各种武艺,都不能渗透成功,这样的行为如何定性呢,首先法律规定本罪为行为犯,即只要实施这样的行为即可构成犯罪,但是因为武艺不够或者其它客观因素,不能侵入成功,则应当构成未遂,对于未遂犯,可以比照既遂犯从轻或者减轻处罚。这里要提醒大家的是,没有可以免除处罚这么一法律规定(所以NO ZUO NO DIE)。
最后,小道案发时只有15周岁,只对刑法规定的强奸、故意杀人等八类案件负刑事责任,所以小道未达到本案中应负刑事责任的年龄,因此小道完全不用担心被查水表。
延生一下,如果小道入侵的是其它计算机信息系统,比如某公司,且仅有入侵行为,则不能构成本罪。是否构成犯罪或者构成其它犯罪,应当分析小道入侵后的行为或结果,具体下文再释。
案例(纯属虚构):小道15岁,热衷于网络黑客技术,经常在谷歌搜索目标练习武艺,希望小有所成后能够报效祖国,某日小道正常googlehack,无意又找到了一个好下手的目标,于是施展了一套广播体操,注入、种马、提权、漫游内网一气呵成,但进去后小道懵逼了,首先全英文不说,反正都看不懂,但是小道玩过红警,里面有许多类似红警的卫星图片,此时小道才知道他进入了A国军事服务器,当时出于害怕,观摩了一会便离开下线了。
行为法律解析:通过googlehack这样的查询语句,可以简单发现网站存在的漏洞,这样的行为,可以定性为犯罪预备,即为犯罪准备工具、制造条件的行为。依照我国刑法规定,对于预备犯,可以比照既遂犯从轻、减轻处罚或者免除处罚。在实务中,如果不是案发后对本机做取证工作,单纯googlehack行为很难被发现,如果没有后续的违法动作,仅针对此行为一般也不予处罚。
关于SQL注入和上传ASP这样的行为,可以认定为非法侵入计算机信息系统的手段,对于主观上是出于好奇、逞能、报复等都不影响对该罪的法律定性。但是本罪侵犯的客体是国家重要领域和要害部门的计算机信息系统安全,本案中,小道入侵的可能是军事,是否属于犯罪客体应当由省级以上负责计算机信息系统安全保护管理工作的部门检验确认(对此很多办案机关也存在主观臆断,不做检验确认说明),如果是则可以被认定为非法侵入计算机信息系统罪,依照刑法第二百八十五条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
对于侵入后在内网浏览服务器的数据库或源码等内容,这样的行为在法律上可以证实小道非法侵入行为的既遂,可以依照计算机信息系统内容的重要程度和小道浏览的具体情况来判断最终的量刑。
很多时候,行为人使用各种武艺,都不能渗透成功,这样的行为如何定性呢,首先法律规定本罪为行为犯,即只要实施这样的行为即可构成犯罪,但是因为武艺不够或者其它客观因素,不能侵入成功,则应当构成未遂,对于未遂犯,可以比照既遂犯从轻或者减轻处罚。这里要提醒大家的是,没有可以免除处罚这么一法律规定(所以NO ZUO NO DIE)。
最后,小道案发时只有15周岁,只对刑法规定的强奸、故意杀人等八类案件负刑事责任,所以小道未达到本案中应负刑事责任的年龄,因此小道完全不用担心被查水表。
延生一下,如果小道入侵的是其它计算机信息系统,比如某公司,且仅有入侵行为,则不能构成本罪。是否构成犯罪或者构成其它犯罪,应当分析小道入侵后的行为或结果,具体下文再释。
关于作者
评论73次
然而司法实践流程却是 先抓人后批捕然后再找口袋罪(视是否触及秘密或利益而定)除了国家军事尖端,定损为0没有任何危害犯罪未遂的情况最多大部分情况下免得跨省都是电话警告+当地派出所报道警告
很简单的道理有没有证据都一样不管是哪种行为触犯的属于刑法内容,网站的旁路监控电信的联动报警一旦攻击ip自动溯源隔天就上门抓捕"嫌疑人"24小时后转移看守所 现场往往还带着几个公司的"技术人员"破坏计算机xi统信息罪(ddos) 非法入侵计算机罪(后台弱口令) 非法获取计算机信息xi统数据罪(sql注入)非法控制计算机信息xi统罪(菜刀取证)提供非法入侵计算机工具罪(电脑取证到的入侵脚本翻墙工具)能定下3年以上的先抓人都是很正常的就看用哪个口袋装 当然这是认真的情况正常一般都不会这么做法律应该有绝对的警示作用,宣传法律作为科普其实不太得当可以多引用www.ajxxgk.jcy.cn 真实案例其中有部分文书逻辑性泄漏了人员信息有必要其实还可以做一定的采访
如果是国外的如何判定呢
如果是入侵后提交SRC、hackerone、或类似之前乌云这样的网站,出现损失,法律如何判断,这种中间机构的责任?
你太天真了。
招你惹你了?我请教律师问题,管你啥事?
如果是入侵后提交SRC、hackerone、或类似之前乌云这样的网站,出现损失,法律如何判断,这种中间机构的责任?
你太天真了。
招你惹你了?我请教律师问题,管你啥事?
如果是入侵后提交SRC、hackerone、或类似之前乌云这样的网站,出现损失,法律如何判断,这种中间机构的责任?
你太天真了。
看的我胆战心惊,还是搞国外好了
那可不可以这样,在日站的时候带个未成年小表弟,如果被查了就说是表弟干的,哈哈哈
有点意思,做人要低调
get到新的知识点了。。(其实如果真要15岁破解了军事层面的,我觉得无论是否定罪都会被拘捕吧。)
像MT那种怎说呢
现在的网络,早已不是允许独狼逍遥的世界了。对技术好奇,也并不是一定要以侵犯他人的权利为基础的。
越来越严格喽. 安安心心本本分分做好一个白帽子
等保2.0要发布了。
楼主,可以标明出处,排版一番转发到学校社团公众号嘛
可以,加我微信,我的文章都会给你公众号设置白名单
楼楼,我私信问你微信了
leo056625
不负刑事责任还是会被查水表的,就是事后可能批评教育,但是民事责任还在的。
楼主,可以标明出处,排版一番转发到学校社团公众号嘛
可以,加我微信,我的文章都会给你公众号设置白名单
楼楼,我私信问你微信了
果然,清楚多了,以后不瞎搞了
果然是一个专家一个解读模式啊,严重总结就是莫伸手
然而司法实践流程却是 先抓人后批捕然后再找口袋罪(视是否触及秘密或利益而定)除了国家军事尖端,定损为0没有任何危害犯罪未遂的情况最多大部分情况下免得跨省都是电话警告+当地派出所报道警告
没那么夸张哦,一点证据都没有的情况下,是没法抓人的
很简单的道理有没有证据都一样不管是哪种行为触犯的属于刑法内容,网站的旁路监控电信的联动报警一旦攻击ip自动溯源隔天就上门抓捕"嫌疑人"24小时后转移看守所 现场往往还带着几个公司的"技术人员"破坏计算机xi统信息罪(ddos) 非法入侵计算机罪(后台弱口令) 非法获取计算机信息xi统数据罪(sql注入)非法控制计算机信息xi统罪(菜刀取证)提供非法入侵计算机工具罪(电脑取证到的入侵脚本翻墙工具)能定下3年以上的先抓人都是很正常的就看用哪个口袋装 当然这是认真的情况正常一般都不会这么做法律应该有绝对的警示作用,宣传法律作为科普其实不太得当可以多引用www.ajxxgk.jcy.cn 真实案例其中有部分文书逻辑性泄漏了人员信息有必要其实还可以做一定的采访
真实案例可以上裁判文书网,官方可靠,这里诙谐的阐述,娱乐普法
楼主,可以标明出处,排版一番转发到学校社团公众号嘛
可以,加我微信,我的文章都会给你公众号设置白名单
原来在一本书上看到过在网站上输入" ‘ " 单引号就会被判定为入侵行为(除非你的用户名有单引号这种特殊字符)
那不至于,索引行为最多表明意图的可能性