Ваши документики
payshanba, 5-dekabr, 2019
Хакеры бываю разные. Есть киберпреступники (так называемые Black Hat), а есть специалисты по безопасности (White Hat), которые проводят взлом или анализ систем заказчика под заказ. Первые нарушают закон сознательно, поэтому никакие разрешения на взлом им не нужны, а вторые каждый свой шаг оформляют договором, чтобы обезопасить себя от ответственности за формально противозаконные действия.
Чтобы избежать возможных претензий со стороны правоохранительных органов и третьих лиц, перед началом работ мы должны оформить разрешение, в котором будут указаны конкретные объекты и время проведения тестирования.
В договоре будут указаны все существенные условия нашего соглашения с заказчиком:
- Цели тестирования.
- Критерии достижения результата.
- Порядок приёмки работ.
Перед проведением тестирования уязвимостей необходимо получить письменное согласие от руководства компании! Это защитит от судебного преследования тестировщика, выполняющего эту работу, и исключит любое недопонимание, т. к. все требования будут предоставлены в письменном виде и в них будет указано, что разрешается делать тестировщику, а что – нет.
Специалисты по безопасности перед проведением тестирования на проникновение должны получить официальный документ (письмо) от руководства компании, в котором указаны, в частности, разрешенные границы тестирования. Этот документ должен быть доступен всем членам команды, участвующим в процессе проведения тестирования. Этот документ часто называют «пропуском на выход из тюрьмы» (Get Out of Jail Free Card).
Участникам тестирования должна быть доступна контактная информация ключевого персонала компании и «дерево вызовов» на случай, если что-то пойдет не по плану и потребуется восстановить систему.
«Пропуск на выход из тюрьмы» – это документ, который вы можете предъявить любому, кто сочтет, что вы осуществляете незаконную деятельность, когда на самом деле вы проводите разрешенное тестирование. Нередко случались ситуации, когда эксперт (или группа экспертов) проводили тест на проникновение, а к ним подходили ничего не знающие об этом охранники, которые считали, что он оказался в неправильном месте в неправильное время.
Причина, по которой «белые шапки» хотят защитить себя от преследования по закону, очевидна:
Дело Scott Moulton, президента компании "Network Installation Computer Services, Inc.", которого обвиняли в нарушении целого перечня законодательных актов:
- Georgia Unfair Trade Practices Act, O.C.G.A
- Section 10-1-372, Section 43(a) of the Lanham Act,
- U.S.C. Section 1125(a), the Georgia Computer Systems Protection Act,
- O.C.G.A. Section 16-6-90 et seq.,
- Computer Fraud and Abuse Act, 18 U.S.C. Section 1030.
Суть обвинения – это проведение сканирования портов подрядчика, которое задело сервера сторонней фирмы.
Итог – многолетние судебные разбирательства, по итогам которых местные суды штата Джорджия признали Scott Moulton виновным, но Верховный суд в последующем полностью оправдал его.
Причем регламентировать работу законопослушного хакера может даже не один, а несколько документов.
- Договор о проведении пентеста (Pentest agreement)
- Договор о неразглашении (non-Disclosure agreement)
- Договор об отказе от претензий (Cancellation agreement)
Назначение документов понятно из названий.
Но есть еще одна категория хакеров – скажем так, активно любопытствующие.
Grey Hat
Обычно это молодые люди, которые ещё верят в справедливость в этом мире и готовы безвозмездно помогать другим. С неподдельным любопытством изучают исследуемую IT-систему.
В случае обнаружения какой-то уязвимости, которой могут воспользоваться злоумышленники, пытаются повлиять на её дальнейшее развитие:
- Кто-то об этой баге сообщает владельцу IT-системы
- Кто-то пытается её исправить самостоятельно
- Кто-то на общественном ресурсе публикует описание этого бага.
Именно с примером такой деятельности мы столкнулись и решили обсудить это с нашими читателями.
RM: Здравствуйте, этот сервер уже offline. Так что, если там что-то и было, то уже не представляет никакой проблемы. Я ценю, что вы пытаетесь помочь, но эта машина больше не угроза
Я: Хм… Что вы скажете на счет этого?
приложенное фото, где я успешно подключился к серверу
RM: Вы ведь знаете, что совершили незаконное деяние? Это несанкционированный доступ
Изучая подозрительный трафик, я наткнулся на IP-адрес маршрутизатора.... спустя некоторое время мне удалось зайти на этот злополучный IP по ssh, используя один из стандартных логинов и паролей.
В обоих случаях никакого злого умысла не было. И молодой человек действительно хотел доказать наличие проблемы. Но, как ему правильно написали, «Вы ведь знаете, что совершили незаконное деяние». Несанкционированный доступ есть несанкционированный доступ: за него полагается уголовная ответственность, и не только в России.
В Великобритании ответственность за компьютерные преступления установлена в статутах, принятых Парламентом. К основным актам, устанавливающим ответственность за компьютерные преступления, можно отнести:
- Закон о злоупотреблениях компьютерами 1990 г.,
- Закон о телекоммуникациях (обмане) 1997 г.,
- Закон о защите данных 1998 г.,
- Закон об электронных коммуникациях 2000 г.
- и др.
Первый параграф Акта о компьютерных злоупотреблениях касается «неуполномоченного доступа к компьютерным данным». Им установлено, что лицо совершает преступление, когда оно использует компьютер для выполнения любой функции с намерением обеспечить доступ к любой программе или данным, содержащимся в любом компьютере, если этот доступ заведомо неправомочен.
В Великобритании ответственность за компьютерные преступления может наступить за распространение, использование и даже владение «инструментами взлома», т. е. и инструментами, используемыми для исследования безопасности.
И тут каждый самодеятельный исследователь уязвимостей должен задать себе два вопроса:
- если имеется контакт с лицом в компании, в которой найдена уязвимость, – нужно ли получать документ, подтверждающий право на демонстрацию уязвимости;
- если такого контакта нет (уязвимое устройство есть, а кому оно принадлежит – неизвестно), то нужно ли на него проникать, чтобы оставить, например, сообщение о найденной уязвимости.
#хакер #киберпреступление #законодательство #ответственность #взлом
Антивирусная правДА! рекомендует
Мы однозначно против того, чтобы проникать без разрешения на компьютеры или устройства – это незаконно. В то же время мы понимаем, что получение полноценных договоров требует времени и соблюдения бюрократических процедур. Поэтому если у тестера есть контакт с лицом в компании, в которой найдена уязвимость, – нужно обязательно получить от них разрешение в письменном виде – хотя бы в ходе переписки. Причем не просто на демонстрацию уязвимости, а на демонстрацию на конкретном компьютере и в конкретное время.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
zitkss
09:22:09 2020-06-03
Альфа
19:39:09 2020-01-17
tigra
01:41:02 2019-12-06
razgen
23:08:13 2019-12-05
А официальное разрешение вряд ли кто даст.
Кому это надо?
Геральт
22:01:32 2019-12-05
Шалтай Александр Болтай
21:26:29 2019-12-05
— Да. Два паспорта.
— Российский и загран?
— Нет, от холодильника и пылесоса.
Татьяна
21:11:27 2019-12-05
anatol
21:00:31 2019-12-05
orw_mikle
20:35:11 2019-12-05
Korney
19:23:21 2019-12-05
L1t1um
19:19:03 2019-12-05
I23
18:07:42 2019-12-05
admin_29
18:01:27 2019-12-05
eaglebuk
16:30:09 2019-12-05
Денисенко Павел Андреевич
16:06:30 2019-12-05
DrKV
16:02:33 2019-12-05
Lenba
15:55:29 2019-12-05
Toma
15:12:09 2019-12-05
Zserg
15:09:50 2019-12-05
I46
14:32:35 2019-12-05
vinnetou
14:16:03 2019-12-05
SGES
13:03:49 2019-12-05
Xamanaptr
13:00:28 2019-12-05
Masha
12:22:51 2019-12-05
gebrakk
11:47:52 2019-12-05
duduka
11:42:33 2019-12-05
Alexander
11:27:07 2019-12-05
Спасибо за статью. Конкретно, информационно и понятно. "Доброе" дело не имеет презумпции невиновности. Этот статус требует доказательств документального свойства.
В наше время тысячу раз надо подумать, прежде чем выскочить из ванны с криком Эврика!
dyadya_Sasha
11:05:03 2019-12-05
"Все, что сделал предъявитель сего, сделано по моему приказанию и для
блага государства."
DoctorW
10:28:44 2019-12-05
Dmur
10:24:53 2019-12-05
ClassiC
10:09:51 2019-12-05
И так по жизни , по жизни , все жизни прожиты впустую.....
Tanya086
09:49:38 2019-12-05
vkor
09:43:00 2019-12-05
Если это верно, значит, что-то не так в обществе.
Петрашкуль
08:45:18 2019-12-05
Неуёмный Обыватель
08:18:50 2019-12-05
Vlad X
08:01:50 2019-12-05
Вот и думай,что лучше,промолчать или рассказать.
maestro431
07:53:34 2019-12-05
cruise
07:30:29 2019-12-05
P.S. Еще очень понравилась фраза в выпуске - «Пропуск на выход из тюрьмы», возьму на вооружение в свой лексикон.
ka_s
07:30:26 2019-12-05
Саня
07:26:15 2019-12-05
Пaвeл
07:11:58 2019-12-05
Любитель пляжного футбола
07:04:54 2019-12-05
Милиционер остановил джип, проверяет документы водителя:
- А ведь машина-то не Ваша!
- А вот доверенность.
- Ясно. А почему в салоне автомат Калашникова лежит?
- Пожалуйста, вот разрешение!
- Ясно. Откройте багажник. Да у Вас здесь труп!
- Это мой сосед, везу хоронить. Вот все справки.
- Ясно. А почему из трупа торчит паяльник?
- Вы не поверите! Вот завещание!
Любитель пляжного футбола
06:59:33 2019-12-05
Также ссылка на несуществующую страницу в википедии "пропуск на выход из тюрьмы» (Get Out of Jail Free Card)". Понятно, что ссылка была в копируемом из источника тексте, но поскольку она недействующая, то, по-моему, гиперссылку лучше удалить, оставив простой текст.
EvgenyZ
06:08:27 2019-12-05
Lex
05:48:50 2019-12-05
Nadyalex
05:00:39 2019-12-05
Morpheus
04:45:18 2019-12-05
achemolganskiy
04:31:17 2019-12-05
Sasha50
03:45:27 2019-12-05