Детали обвинения, предъявленного Маркусу Хатчинсу на прошлой неделе и гласящего, что герой, остановивший в мае Wannacry, три года назад создал банковский троянец, породили раздор среди исследователей безопасности.

Пока одни эксперты на выходных проводили кампанию и собирали деньги, чтобы освободить Маркуса под залог, или писали в суд рекомендательные письма, другие напротив «нажали на тормоза» и предупредили, что Хатчинс, также известный под псевдонимом MalwareTech, возможно все же перешел границу дозволенного.

Фактически, мы не можем утверждать ни то, ни другое. Заключение крайне мало раскрывает претензии, которые перечислены в шести пунктах обвинения Хатчинсу и его неназванному сообщнику. Хатчинс обвиняется в создании банковского троянца Kronos в июле 2014 года, а его сообщник якобы пытался продавать вредоноса на подпольных хакерских форумах, включая недавно отключенный полицией AlphaBay, и как минимум однократно успешно продал троянца за 2000 долларов.

Эта ситуация вновь обострила дискуссию среди «белых шляп», то есть этичных исследователей – является ли написание потенциально вредоносного кода преступлением, основано ли преследование Маркуса Хатчинса на расширительных трактовках закона (особенно с учетом дополнительного обвинения в незаконной прослушке), а также какой эффект окажет все это на будущем взаимодействии security-компаний с американским правительством.

«Это явный сигнал сообществу экспертов – делать  такое сразу после DEF CON», – сказал адвокат Тор Экеланд (Tor Ekeland), который специализируется на компьютерных преступлениях. «Это создаст негативный эффект в индустрии, по сути ей отправлено сообщение – если ты помогаешь американскому правительству, в награду тебя арестуют. Нужно быть идиотом, чтобы помогать правительству в чем-либо».

Хатчинс, который не признал вины, был арестован на прошлой неделе и снят с самолета в Лас-Вегасе при попытке вернуться домой в Великобританию. Обвинение было подписано 11 июля, тем не менее Хатчинса беспрепятственно впустили в США и он свободно перемещался по Black Hat и DEF CON (на которые, впрочем, не ходил, судя по имеющимся публикациям). Он провел выходные в тюрьме, но может быть выпущен под залог 30000 долларов. Затем ему придется предстать перед судом в Висконсине.

Экеланд назвал обвинение крайне шатким и проблематичным, а обвиняемому не предоставлено достаточно сведений чтобы подготовиться к защите. Он также отметил, что общественность имеет право видеть, как применяются «компьютерные» законы в сложных случаях вроде этого.

Шесть пунктов обвинения не содержат ни перечисления жертв, ни оценки ущерба, и Экеланд сказал, что два пункта обвинения в рамках Закона о компьютерных преступлениях (Computer Fraud and Abuse Act, CFAA) очень сомнительны, поскольку трактуют создание компьютерного кода, якобы написанного Хатчинсом, как его общее согласие на участие в преступлении.

«Он не обвиняется в причинении конкретного ущерба, и ущерб не указан вовсе. Это очень шатко. Если это преступление в рамках CFAA, которое тянет на 40 лет в тюрьме, я опускаю руки», – прокомментировал Экеланд.

Экеланд также сказал, что Минюст может трактовать этот закон слишком широко, настолько что под него попадает легальное ПО, применяемое для пентестинга или анализа вредоносного кода в лабораторных условиях.

«Они подразумевают, что написание вредоноса – это свидетельство преступных замыслов. Это плохо написанное, опасное обвинительное заключение. И непонятно, зачем работать по нему с такими драматическими эффектами. Ордер был подписан 11 июля, а затем они ждут, пока он не сядет в самолет домой, и только тогда проводят арест. Тут так много странностей, что трудно сказать, это специально или от неуклюжести».

Бывший прокурор Эд МакЭндрю из Вашингтона согласился, что написание компьютерного кода как таковое не является свидетельством преступления, пока не установлены намерения автора. А вот их может подтвердить реклама на криминальных форумах или распространение троянца – тогда все это превращается в преступление. «Когда вы создали вредоносный код и собираетесь применять его для кражи паролей или мошенничества, тут вы и переходите границу дозволенного», — сказал МакЭндрю.

Другие открытые вопросы – это личность сообщника и почему слушание дела перенесено в Висконсин. Возможно, там находится сообщник, или серверы, задействованные в распространении троянца, находились в Висконсине. В любом случае, дело разбирается в рамках федерального законодательства.

Лучшей характеристикой Хатчинса, впрочем, могут быть его действия по сокращению эпидемии WannaCry. Глобальная эпидемия сильней всего поразила Европу, в том числе больницы Великобритании, где WannaCry привел к задержкам в лечении пациентов. Забавно, что именно действия Хатчинса, скорее всего, смягчили удар WannaCry по США, поскольку к моменту, когда Америка проснулась, домен, останавливающий червя, уже работал. «Это правда, что именно Хатчинс перекрыл воздух WannaCry. Если бы я был его адвокатом, это было бы одним из ключевых аргументов защиты», — сказал МакЭндрю. «Возможно, он спас человеческие жизни», — прокомментировал Экеланд.

Категории: Хакеры