Безобидная игрушка или шпионское устройство?

Эксперты Центра кибербезопасности рассказали ONESEC о правовом регулировании использования различных гаджетов в Узбекистане, объяснив, как избежать нарушений и возможного наказания.

С появлением новых устройств и технологий возникает необходимость в тщательном изучении их воздействия и регулирования. Компания ONESEC, стремится к обеспечению максимальной защиты информации и оборудования своих клиентов. Для этого компания обратилась к экспертам Центра кибербезопасности, чтобы обсудить актуальные вопросы, связанные с законодательством и безопасностью новых технологических устройств.

В последнее время устройства, подобные Flipper Zero, набирают популярность благодаря своим широким возможностям взаимодействия с различными системами. Как Центр кибербезопасности оценивает подобные гаджеты с точки зрения их соответствия нормам и стандартам?

В мире технологий мы часто сталкиваемся с множеством интересных и полезных инструментов, таких как книги по программированию, например, написанные Джейсоном Бриггсом. Однако такие устройства, как Flipper Zero, разработанные командой Павла Жовнера, могут привлекать особое внимание благодаря своим необычным возможностям и широкому спектру применения.

Устройство Flipper Zero представляет собой универсальный считыватель для различных устройств, работающих на радиочастотах. Например, оно может считывать RFІD-метки, используемые в ключах доступа к домофонам. С его помощью можно скопировать RFID-метку и сохранить ключ в устройстве, что даст возможность открыть дверь без использования физического ключа. Также возможно перезаписать метку на чистый RFID-чип для использования в аналогичных ситуациях.

Можно использовать функцию BadUSB и загрузить на чей-либо ноутбук произвольный код. Возможности Flipper Zero предусматривают использование интерфейса GPIO, благодаря которому устройство может выступать в роли периферийного устройства для компьютера. Это может включать запуск ВІОЅ — меню в ситуациях, когда оно необходимо, например, если у вас есть только беспроводная клавиатура, пролистывание плейлистов на YouTube или TikTok. Более того, устройство может отслеживать сессии Wі-Fі-подключений в доме или офисе.

Необходимо отметить, словами самого разработчика этого инструмента для работы с радиочастотами, Павла Жовнера, что «устройство не имеет возможности фиксации аудиовизуальной информации, не замаскирован под предметы обихода. В заводской прошивке не будет функций джемминга, брутфорса и прочих потенциально вредоносных функций».

Если кто-то получил в свои руки такой гаджет — нужно быть предусмотрительным в его использовании, и помнить, что изготовление с целью сбыта, либо сбыт и распространение специальных средств для получения незаконного доступа к компьютерной системе, а также к сетям телекоммуникаций может привести к административной, либо уголовной ответственности. Статьи об этом есть как в Кодексе об административной ответственности (статья 155), так и в Уголовном кодексе (статья 278) республики Узбекистан.

Существуют ли особые требования или ограничения для продажи и покупки таких устройств в Узбекистане?

Согласно таможенному законодательству Узбекистана, имеются ограничения на ввоз в республику радиоэлектронных средств и высокочастотных устройств без разрешения уполномоченного органа в сфере связи. Вот основные частоты, на которых работает устройство:

• субгигагерцовый диапазон для работы с различными устройствами такими как гаражные ворота, радиокнопки, домофоны и другие системы;
• NFC взаимодействия с бесконтактными картами, метками и другими NFС-устройствами;
• RFID позволяет считывать и эмулировать метки, используемые, например, в системах контроля доступа.

Flipper Zero оснащен модулем Bluetooth Low Energy (BLE), работающим на частоте 2,4 ГГц, что дает возможность ему взаимодействовать с устройствами по Bluetooth. Эти частоты позволяют устройству работать с множеством беспроводных технологий и интерфейсов.

Какие могут быть законодательные последствия для пользователей Flipper Zero и прочих аналогичных устройств?

Использование Flipper Zero, в комплексе действий по несанкционированному доступу к компьютерной информации, станет причиной уголовной ответственности, в соответствии с требованиями законодательства Узбекистана.

Законом Республики Узбекистан «Об информатизации» определены требования к обеспечению информационной безопасности и защите персональных данных. Использование Flipper Zero для несанкционированного доступа к персональной информации или нарушение информационной безопасности может привести к ответственности по этому закону.

В других странах, например, в США, нарушение законов о радиочастотах и использование устройств, не сертифицированных FCC, может привести к штрафам и конфискации. Закон о мошенничестве и злоупотреблениях с компьютерами (CFAA) запрещает несанкционированный доступ к системам, а использование Flipper Zero для взлома может повлечь уголовную ответственность. В Европейском Союзе аналогичные правила регулируются через директивы, такие как Radio Equipment Directive, а нарушение DPR, связанное с персональными данными, может привести к штрафам. Нарушение этих законов в любой стране может повлечь за собой серьезные последствия, включая штрафы, уголовную ответственность и конфискацию оборудования, поэтому пользователям таких устройств, как Flipper Zero, рекомендуется тщательно изучать местные законы перед их использованием.

Можно ли использовать хакерские гаджеты исключительно в собственных исследовательских целях?

В мире кибербезопасности существует множество гаджетов, которые могут быть использованы как для исследований, так и для взлома систем. Вот несколько популярных хакерских гаджетов, помимо Flipper Zero: устройства для проведения атак типа «man-in-the-middle» на сетях Wi-Fi, миникомпьютер на базе UЅВ-флешки для автоматизации атак с помощью скриптов, высокомощная антенна для проведения тестов на проникновение и атак типа «деаутентификация», наконец, Kali Linux на Raspberry Pi, и все они могут использоваться как в легитимных целях, для исследования безопасности и тестирования на проникновение, так и, потенциально, для незаконных деяний.

Использование подобных гаджетов и инструментов по их прямому назначению и без нарушений законодательства возможно исключительно в стенах образовательных учреждений и исследовательских лабораторий, для тестирования и последующего устранения уязвимостей. Любое другое их применение, ставящее под угрозу требования о соблюдении законодательства, или целостность и конфиденциальность чьих-либо персональных данных, а также вообще этических норм — недопустимо и будет преследоваться в строгом соответствии с законодательством Узбекистана.

Эксперты Центра кибербезопасности подчеркнули важность ответственного использования хакерских гаджетов. Соблюдение законодательства и осознание рисков даст возможность специалистам применять свои навыки на благо общества. Технологии и законы постоянно меняются, поэтому важно быть в курсе последних новостей для безопасного и законного использования гаджетов в Узбекистане.

Активное участие в специализированных сообществах и форумах по кибербезопасности, таких как Kiberxavfsizlik markazi и Cyber Community от ONESEC, дает возможность быть в курсе последних новостей, изменений в законодательстве и актуальных угроз, чтобы обеспечить надежную защиту и соблюдение всех норм кибербезопасности.