Богданов Игорь Олегович (bogdan_63) wrote,
Богданов Игорь Олегович
bogdan_63

Category:

Ваши документики

Хакеры бываю разные. Есть киберпреступники (так называемые Black Hat), а есть специалисты по безопасности (White Hat), которые проводят взлом или анализ систем заказчика под заказ. Первые нарушают закон сознательно, поэтому никакие разрешения на взлом им не нужны, а вторые каждый свой шаг оформляют договором, чтобы обезопасить себя от ответственности за формально противозаконные действия.

Чтобы избежать возможных претензий со стороны правоохранительных органов и третьих лиц, перед началом работ мы должны оформить разрешение, в котором будут указаны конкретные объекты и время проведения тестирования.

В договоре будут указаны все существенные условия нашего соглашения с заказчиком:

  • Цели тестирования.
  • Критерии достижения результата.
  • Порядок приёмки работ.

Источник

Перед проведением тестирования уязвимостей необходимо получить письменное согласие от руководства компании! Это защитит от судебного преследования тестировщика, выполняющего эту работу, и исключит любое недопонимание, т. к. все требования будут предоставлены в письменном виде и в них будет указано, что разрешается делать тестировщику, а что – нет.

Специалисты по безопасности перед проведением тестирования на проникновение должны получить официальный документ (письмо) от руководства компании, в котором указаны, в частности, разрешенные границы тестирования. Этот документ должен быть доступен всем членам команды, участвующим в процессе проведения тестирования. Этот документ часто называют «пропуском на выход из тюрьмы» (Get Out of Jail Free Card).

Участникам тестирования должна быть доступна контактная информация ключевого персонала компании и «дерево вызовов» на случай, если что-то пойдет не по плану и потребуется восстановить систему.

«Пропуск на выход из тюрьмы» – это документ, который вы можете предъявить любому, кто сочтет, что вы осуществляете незаконную деятельность, когда на самом деле вы проводите разрешенное тестирование. Нередко случались ситуации, когда эксперт (или группа экспертов) проводили тест на проникновение, а к ним подходили ничего не знающие об этом охранники, которые считали, что он оказался в неправильном месте в неправильное время.

Источник

Причина, по которой «белые шапки» хотят защитить себя от преследования по закону, очевидна:

Дело Scott Moulton, президента компании "Network Installation Computer Services, Inc.", которого обвиняли в нарушении целого перечня законодательных актов:

  • Georgia Unfair Trade Practices Act, O.C.G.A
  • Section 10-1-372, Section 43(a) of the Lanham Act,
  • U.S.C. Section 1125(a), the Georgia Computer Systems Protection Act,
  • O.C.G.A. Section 16-6-90 et seq.,
  • Computer Fraud and Abuse Act, 18 U.S.C. Section 1030.

Суть обвинения – это проведение сканирования портов подрядчика, которое задело сервера сторонней фирмы.

Итог – многолетние судебные разбирательства, по итогам которых местные суды штата Джорджия признали Scott Moulton виновным, но Верховный суд в последующем полностью оправдал его.

Источник

Причем регламентировать работу законопослушного хакера может даже не один, а несколько документов.

#drweb

  • Договор о проведении пентеста (Pentest agreement)
  • Договор о неразглашении (non-Disclosure agreement)
  • Договор об отказе от претензий (Cancellation agreement)

Источник

Назначение документов понятно из названий.

Но есть еще одна категория хакеров – скажем так, активно любопытствующие.

Grey Hat

Обычно это молодые люди, которые ещё верят в справедливость в этом мире и готовы безвозмездно помогать другим. С неподдельным любопытством изучают исследуемую IT-систему.

В случае обнаружения какой-то уязвимости, которой могут воспользоваться злоумышленники, пытаются повлиять на её дальнейшее развитие:

  • Кто-то об этой баге сообщает владельцу IT-системы
  • Кто-то пытается её исправить самостоятельно
  • Кто-то на общественном ресурсе публикует описание этого бага.

Источник

Именно с примером такой деятельности мы столкнулись и решили обсудить это с нашими читателями.

RM: Здравствуйте, этот сервер уже offline. Так что, если там что-то и было, то уже не представляет никакой проблемы. Я ценю, что вы пытаетесь помочь, но эта машина больше не угроза

Я: Хм… Что вы скажете на счет этого?
приложенное фото, где я успешно подключился к серверу

RM: Вы ведь знаете, что совершили незаконное деяние? Это несанкционированный доступ

Источник

Изучая подозрительный трафик, я наткнулся на IP-адрес маршрутизатора.... спустя некоторое время мне удалось зайти на этот злополучный IP по ssh, используя один из стандартных логинов и паролей.

Источник

В обоих случаях никакого злого умысла не было. И молодой человек действительно хотел доказать наличие проблемы. Но, как ему правильно написали, «Вы ведь знаете, что совершили незаконное деяние». Несанкционированный доступ есть несанкционированный доступ: за него полагается уголовная ответственность, и не только в России.

В Великобритании ответственность за компьютерные преступления установлена в статутах, принятых Парламентом. К основным актам, устанавливающим ответственность за компьютерные преступления, можно отнести:

  • Закон о злоупотреблениях компьютерами 1990 г.,
  • Закон о телекоммуникациях (обмане) 1997 г.,
  • Закон о защите данных 1998 г.,
  • Закон об электронных коммуникациях 2000 г.
  • и др.

Первый параграф Акта о компьютерных злоупотреблениях касается «неуполномоченного доступа к компьютерным данным». Им установлено, что лицо совершает преступление, когда оно использует компьютер для выполнения любой функции с намерением обеспечить доступ к любой программе или данным, содержащимся в любом компьютере, если этот доступ заведомо неправомочен.

В Великобритании ответственность за компьютерные преступления может наступить за распространение, использование и даже владение «инструментами взлома», т. е. и инструментами, используемыми для исследования безопасности.

Источник

И тут каждый самодеятельный исследователь уязвимостей должен задать себе два вопроса:

  • если имеется контакт с лицом в компании, в которой найдена уязвимость, – нужно ли получать документ, подтверждающий право на демонстрацию уязвимости;
  • если такого контакта нет (уязвимое устройство есть, а кому оно принадлежит – неизвестно), то нужно ли на него проникать, чтобы оставить, например, сообщение о найденной уязвимости.

https://www.drweb.ru/pravda/issue/?number=903

Tags: it, законодательство, криминал, хакинг
Subscribe
promo bogdan_63 december 1, 2021 13:42 964
Buy for 200 tokens
Очень рад, что вы заглянули в мой блог! Надеюсь, вам будут интересны мои записи. Предлагаю для начала посмотреть разделы: Мой сайт СССР Россия Медицина Медицинские байки Юмор Образование История Культура Буду рад всем новым друзьям. Присоединяйтесь, пообщаемся!…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 6 comments