Как стать автором
Обновить

Как создавался бекенд хакерской игры про уничтожение сервера

Время на прочтение 6 мин
Количество просмотров 7.7K
Всего голосов 39: ↑38 и ↓1 +37
Комментарии 11

Комментарии 11

Стоит сказать, что VPS с честью выдержала всё.

Не считая инцидента в первый вечер, когда после продолжительно «DDoSa» все страницы стали отдавать ошибку spring'a, а затем и вовсе сервер стал недоступен и через пару минут возродился уже полностью под Cloudflare, включая все поддомены :)

Москва не сразу строилась!

Не подскажите, с юридической точки зрения, насколько законной была данная акция? Разве не получается, что победитель де-юре получает возможность познакомиться с российской фемидой?
Нет, все было законно.
Не вполне поняла ваш вопрос, вы не могли подробнее раскрыть его?
Допустим, кто-то гениальный пользовался не вашими подсказками, а уязвимостями в вашем по, cloudflare, os и т.п. В рамках конкурса все отлично, вам реклама, победителю деньги. Но как на такое отреагирует тов майор, имея в кармане статью 272 УК РФ? Ведь уголовное дело заводится даже при отсутствии пострадавших. Сразу говорю, я не юрист и никогда не занимался пентестингом.
Попросить перевод в Monero.

Так получается, что пентест тоже незаконен, пострадавших нет, всё с согласия владельца...

1. Допустим, вас побили на улице, но вы на самом деле были не против. Какое наказание вам грозит за отказ описать нападавшего? Между тем в сфере айти без логов жертвы шансы найти преступника нулевые. Яровая не поможет, так как легитимные запросы к серверу тоже шли, а какие запросы привели к взлому может понять только владелец сервиса.

2. В случае с законом неприкосновенности жилища первичным является желание владельца жилища пускать кого-то или не пускать. Иначе бы можно было бы подставить любого, просто открыв замок, но заставив своими руками открыть дверь. Ведь прецеденты, когда судили людей, вломившихся в незапертую чужую дверь были. Не вижу причин, почему проникновение в информационную систему принципиально отличается. Закон не знает разницы между «отсутствием пароля», «пароль приходит по СМС», «пароль содержится в общедоступном словаре», «в пароле нужно угадать последнюю букву». Лёгкость/сложность доступа к системе является чисто субъективным понятием и само по себе ничего не говорит.
Если вы видите незапертую дверь в чужую квартиру и заходите в неё, то это потенциальное нарушение неприкосновенности жилища с уголовной ответственностью. Если вы приходите в гости к другу и он после звонка в домофон открывает замок на входной двери, но не дожидается вас и вы своими руками открываете дверь, то нарушения закона нет. Технические детали закону совершенно не важны — закрыта ли дверь, какого класса защиты на ней замок, его техническое состояние и т. д. Единственное, что важно — хотел ли видеть владелец жилища гостей или нет.

Я думаю, тут всё то же самое. Если владелец ресурса на самом деле хотел видеть гостей, то совершенно не важно, что технически доступ был затруднён. Ведь «затруднение» доступа очень субъективное понятие. В законе нет чёткой позиции, что «пароль высланный на почту/СМС» это ещё ок, а «пароль, последние две буквы которого нужно угадать» — уже не ок.

Плюс дела в сфере информационной безопасности невозможно расследовать без активного содействия потерпевшего (предоставления логов, IP-адресов атакующих и т. д.). Я сомневаюсь, что есть закон, который бы обязывал потерпевшего содействовать следствию. Могут быть вопросы, если потерпевший недееспособен, но в случае юрлица это неприменимо.
Хорошая подготовка backend'a. Спасибо за интересную игру)
Спасибо!
Зарегистрируйтесь на Хабре , чтобы оставить комментарий