Вы пользуетесь уязвимым софтом, но я вам не могу об этом рассказать

    Я нашел несколько уязвимостей в сервисах, которыми вы, скорее всего, пользуетесь. Возможно, вы даже считаете, что эти сервисы хорошо защищены. Но всего лишь несколько команд — и ваша приватность больше не ваша.

    Хотите узнать, какие именно уязвимости я нашёл? Но я не смогу вам об этом рассказать, даже если захочу. Без согласия вендора публично говорить о найденных уязвимостях мне не позволяет закон.


    Примечание:

    Эта статья является только моим личным мнением. Её цель — попытаться разобраться в теме и расставить все точки над «ё» публично.

    Я не юрист, но консультировался с юристами во время написания статьи. Если среди вас есть профессионалы в этой области, буду рад услышать дополнения.

    Мы слишком зависим от многих сервисов. Они упрощают нашу жизнь и решают многие проблемы. Даже если какой-то популярный сервис взломают или если окажется, что он содержит явные ошибки и пробелы в безопасности, нам будет сложно отказаться от его использования. Мы вынуждены становиться толерантнее к «небезопасности», привыкать жить в мире, полном багов, пользоваться «дырявыми» сервисами. Каждый день мы читаем новости про уязвимости, взломы, утечки и уже ничему не удивляемся.

    Владельцы сервисов прекрасно понимают нашу зависимость, поэтому беспокоятся о безопасности наших данных в последнюю очередь. Это приводит к тому, что мы пользуемся кучей «дырявых» сервисов. А наши доступы и данные в это время продаются вовсю в даркнете. Доступ к личной переписке может получить любой желающий, а видео с умной камеры наблюдения может начать транслироваться на весь интернет. Должен ли владелец сервиса устранять уязвимости, которые к этому привели? Это остаётся на его усмотрение.

    Нужно ли пользователям отказываться от «дырявого» сервиса? Этот выбор каждый делает для себя сам. Но как узнать об уязвимостях и понять, насколько они опасны? Рассказать об этом могут независимые исследователи — специалисты по информационной безопасности (они же пентестеры, whitehat и т.п.). Но они не всегда могут предать публичной огласке то, что знают, не попав при этом под юридические риски.

    Давайте рассмотрим конкретную ситуацию:

    Ситуация: вы исследуете устройство из своего набора «умного дома», изучили код мобильного приложения, трафик между тремя компонентами: устройство, сервер, мобильное приложение.

    Вы дополнительно извлекли и провели reverse-инжиниринг прошивки, нашли критичные уязвимости:

    1. наличие включенного telnet-сервера и пароля по умолчанию для "root"-пользователя;

    2. отсутствие авторизации на устройстве для сервиса получения видеопотока и управления;

    3. отсутствие шифрования видеопотока и мультимедийных данных между устройством и мобильным клиентом;

    4. отсутствие защиты от спуфинга DNS и NTP;

    5. хранение пароля Wi-Fi в открытом виде;

    Каждый недостаток по-своему критичен. А если в двух словах, то пользоваться устройством здесь и сейчас небезопасно. Нет гарантий ни целостности данных, ни конфиденциальности, ни доступности.

    Предположим, что модель вашего устройства — самая популярная на рынке, и у неё тысячи пользователей. Вы быстро пишете вендору письмо, чтобы тот всё поправил. А ему все равно. Устройство по-прежнему продаётся, а уязвимости не исправлены. Ничего не меняется даже спустя 6 месяцев. А кто знает, сколько еще людей в курсе данных уязвимостей? И кто знает, сколько из них злоупотребили своими знаниями?

    Вам остается только сделать публичное оглашение, но, увы, в России этого делать не стоит.

    Потенциальные юридические риски

    Изначально законодательство вообще не на стороне независимых исследователей уязвимости сервисов. По-хорошему, ничего нельзя даже трогать. А если кто-то решит опубликовать своё исследование уязвимостей, правообладатель сервиса может предъявить ему гражданские иски, могут быть инициированы проверки наличия состава преступления, возбуждены дела об административном правонарушении и, возможно, даже придётся понести уголовное наказание. Звучит невесело?

    Пройдемся по возможным категориям и статьям, которые могут предъявить исследователю.

    1. Гражданское право

    1.1 Нарушение исключительных прав правообладателя, ущерб деловой репутации и гражданско-правовая ответственность.

    Подробнее:

    По общему правилу запрещено совершение любых действий с объектом авторских прав, кроме прямо разрешенных в лицензионном соглашении с правообладателем и в законе.

    Согласно п.п. 1, 2 ст. 1280 ГК РФ лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия правообладателя и без выплаты дополнительного вознаграждения изучать, исследовать или испытывать функционирование такой программы в целях определения идей и принципов, лежащих в основе любого элемента программы для ЭВМ путем осуществления:

    • действий, необходимых для функционирования программы для ЭВМ или базы данных;

    • внесения в программу для ЭВМ или базу данных изменений исключительно в целях их функционирования на технических средствах пользователя, исправления явных ошибок.

    Это общее правило, но необходимо учитывать, что иное может быть предусмотрено договором с правообладателем (то есть лицензионными условиями / условиями использования прикладного ПО и устройства).

    Также без согласия правообладателя разрешается воспроизвести и преобразовать объектный код в исходный текст (декомпилировать программу для ЭВМ), если такие действия необходимы для достижения способности к взаимодействию независимо разработанной этим лицом программы для ЭВМ с другими программами, которые могут взаимодействовать с декомпилируемой программой, при соблюдении следующих условий:

    • информация, необходимая для достижения способности к взаимодействию, ранее не была доступна этому лицу из других источников;

    • указанные действия осуществляются в отношении только тех частей декомпилируемой программы для ЭВМ, которые необходимы для достижения способности к взаимодействию (п. 3 ст. 1280 ГК РФ).

    Важно понимать, что упомянутое исследование, преобразование, воспроизведение ПО не должно противоречить обычному использованию программы для ЭВМ или базы данных и не должно ущемлять необоснованным образом законные интересы автора или иного правообладателя (п. 4 ст. 1280 ГК РФ).

    1.2: Вендор устройства может расценить публикацию такого исследования порочащим его деловую репутацию.

    Подробнее:

    Вендор рассматриваемого устройства вправе требовать по суду опровержения порочащих деловую репутацию опубликованных сведений и возмещения убытков, если распространивший такие сведения не докажет, что они соответствуют действительности (ст. 152 ГК РФ).

    2 Уголовная ответственность:

    2.1: Потенциально: ст. 272 УК РФ за неправомерный доступ к компьютерной информации в случае, если среди полученных данных есть такие, правами доступа к которым исследователь не наделен.

    Подробнее:

    Уголовным преступлением по ст. 272 УК РФ признается неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации.

    Более подробно о терминах, используемых в ст. 272 УК РФ (как чаще они понимаются в судебной практике и правовой доктрине):

    Неправомерным является доступ к компьютерной информации лица, не обладающего правами на получение и работу с данной информацией либо компьютерной системой, в отношении которых приняты специальные меры защиты, ограничивающие круг лиц, имеющих к ней доступ.

    Под охраняемой законом информацией в судебной практике понимается информация, для которой установлен специальный режим ее правовой защиты, например, государственная, служебная и коммерческая тайна, персональные данные, объекты авторского права и смежных прав. Вместе с тем существует мнение, что информация является охраняемой законом постольку, поскольку лицо не обладает правами доступа к данной информации, а ее охрана законодательством не имеет значения.

    Копирование информации — создание копии имеющейся информации на другом носителе, то есть перенос информации на другой обособленный от ЭВМ носитель при сохранении неизменной первоначальной информации, воспроизведение информации в любой материальной форме.

    Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

    2.2. Потенциально: ст. 273 УК РФ за использование скриптов\экплойтов для автоматизации атаки.

    Подробнее:

    Использование специальных скриптов для воздействия на компьютерные сети может расцениваться как использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации (состав преступления ст. 273 УК РФ).

    Подробнее:

    Примечание к уголовной ответственности: возможно, что в случае судебных споров удастся доказать правомерность совершенных действий и отсутствие их общественной опасности, однако заранее оценить исход таких дел не представляется возможным.

    3. Административная ответственность

    Существует риск признания рассматриваемых действий:

    3.1 незаконной деятельностью в области защиты информации без получения соответствующей лицензии — ст. 13.13 КоАП РФ;

    3.2 в случае совершения действий от имени компании — нарушением лицензионных требований, предъявляемых к лицензиату при осуществлении лицензируемого вида деятельности (ст. 13.12 КоАП).

    Подробнее:

    Примечание:

    Например, согласно п. 6. Положения о лицензировании деятельности по технической защите конфиденциальной информации (утв. постановлением Правительства РФ от 3 февраля 2012 г. № 79), требованиями, предъявляемыми к лицензиату при осуществлении лицензируемого вида деятельности, являются выполнение работ и (или) оказание услуг лицензиатом. То есть для осуществления законной деятельности подразумевается наличие договорных отношений с заказчиком.

    Не исключено, что проведение исследований в области защиты информации без соответствующего договора с заказчиком может быть расценено как нарушение правил лицензирования.

    Законные возможности и их ограничения

    Как же специалисты по информационной безопасности и сами пользователи могут законно искать уязвимости в публичном ПО и сервисах? Есть следующие возможности:

    • заключить договор на анализ ПО, организации, сервиса;

    • принять участие в одной из программ Bug Bounty (программы, по которым любой может получить признание и вознаграждение за нахождение ошибок и уязвимостей);

    • получить прямое разрешение в лицензионном соглашении на тестирование;

    • искать уязвимости в программах и сервисах Open Source;

    Пройдемся по каждому из пунктов и рассмотрим его ограничения.

    Заключение договора на анализ

    Независимому исследователю (мы здесь не говорим про традиционный пентест) будет сложно заключить договор на анализ с крупной компанией. Даже со средней или мелкой компанией может возникнуть множество организационных проблем. Решение таких проблем ляжет тяжким грузом на самого исследователя или руководство компании.

    Программы Bug Bounty

    Некоторые веб-сайты и разработчики программного обеспечения предлагают программы Bug Bounty.

    Минусы таких программ:

    • В Bug Bounty обычно чётко прописано то, что вы можете анализировать и с какими ограничениями. В списке программы может не оказаться того, что вы хотели бы исследовать и того, каким образом вы планировали это делать.

    • Если вы найдёте уязвимость, программа Bug Bounty может обязать вендора выплатить вам вознаграждение. А вот устранять эту уязвимость вендор не обязан. Известно множество случаев, когда даже в таких программах баги висят годами, а новые исследователи получают только статус «Дубликат» за них.

     На текущий момент в РФ меньше 20 компаний участвуют в Bug Bounty, а возможно, даже меньше десяти.

    Прямое разрешение в лицензионном соглашении на возможность тестирования

    На текущий момент на глаза ни разу что-то подобное не попадалось.

    Анализ Open Source программ

    С этим пунктом нет никаких проблем, кроме того, что:

    • далеко не весь софт попадает в эту категорию;

    • также не всегда очевидно, кто будет исправлять уязвимость, которую вы нашли, так как ответственного за ИБ как такового может не быть.

    В сумме

    Таким образом получается, что большая часть возможностей тестирования остается непокрытой.

    По моим субъективным ощущениям:

    Мечты об идеальном процессе

    Оптимально выстроить механизмы отправки отчета об уязвимости безопасности можно следующим образом:

    1. В случае обнаружения недостатка в безопасности ПО\сервиса\устройства с аудиторией более X человек должен быть ясный механизм отправки отчета об уязвимости вендору, лучше — унифицированный для всех вендоров сразу.

    2. Вендор должен оценить риски и в течение Y недель сказать, собирается он это устранять или нет.

    3. Должна быть простая (а лучше автоматизированная) возможность сообщить каждому клиенту информацию о риске (само собой, в виде, не пригодном для эксплуатации, чтобы не было лавинного эффекта).

    4. По истечении Z дней исследователь имеет право опубликовать полные технические детали.

    Данные формулировки и значения X, Y, Z должны быть закреплены юридически и распространяться на всех.

    Опытный читатель может заявить, что часть этих шагов уже реализована:

    Шаги 1-2 — решаются с помощью:

    • Bug Bounty — однако, как говорил ранее, далеко не у всех он есть, и далеко не всё попадает в разрешенные границы;

    • баз (CVE, БДУ, OSV и т.п.) — однако это далеко не самый очевидный и быстрый процесс, некоторые оформляют уязвимости по 2 года;

    • писем на электронную почту компании — однако в большинстве случаев письмо даже не дойдет до технического специалиста, потому что нет ясного процесса в компании для таких случаев. Есть проекты наподобие security.txt, но, к сожалению, о них мало кто знает.

    Шаг 3 — решается с помощью:

    •  информационных рассылок самой компании — однако в реальности никто не захочет пугать свою собственную аудиторию;

    • новостей об уязвимостях в ПО — однако скорее это касается крупного ПО, а обычные пользователи могут и не прочитать такие новости;

    • баз (CVE, БДУ, OSV и т.п.) — однако маловероятно, что обычные пользователи их отслеживают.

    Пример вывода об уязвимости в ПО (с человеческим пояснением проблемы, но без раскрытия технических деталей).

    Шаг 4 — иногда можно услышать сказку, что есть возможность сделать публичный отчет об уязвимости через 90 дней с момента сообщения вендору, но этого делать не стоит, потому что это больше про этику, а по факту не имеет никакой юридической силы.

    Итого, на текущий момент имеются две крупных проблемы:

    • Очень многие исследователи не могут анализировать и тем более публиковать результаты своей работы.

    • Пользователь не в курсе, что пользуется небезопасным софтом.

    Выводы

    Сейчас специалисты ИТ и ИБ в основном действуют реактивно: заметают последствия инцидента после того, как он произошёл. Многие уязвимости давно известны, но не исправлены. И только после серьезной публичной огласки шестеренки механизма начинают крутиться. Но что пользователям с того, что сервис принес извинения или даже заплатил регулятору штраф после утечки клиентских данных, если их приватная информация стала известна всему интернету и останется в нем навсегда?

    Часто никто не стремится проанализировать ситуацию глубже, понять, почему инцидент произошел. Дали студенту настроить prod-сервер? Сэкономили на разработчиках? Не стали строить процессы ИБ? А может, кто-то из whitehat уже находил эту уязвимость и ранее сообщал о ней, а сервис проигнорировал? Что делать пользователям, если разработчику «плевать» на ИБ настолько, что легче заплатить денег за закрытие симптома раз в год, чем делать финансовые вливания в устранение причин?

    Мне бы хотелось, чтобы ситуация изменилась. Чтобы интересы общества и безопасность людей начали цениться больше, чем интересы владельца сервиса, чтобы я понимал, когда пользуюсь уязвимым сервисом и принимаю риски, что у меня был выбор. Хотелось бы, чтобы человек, нашедший недостаток ИБ, мог о нем смело рассказать и не бояться юридических рисков.

    Статья написана в соавторстве с Александром Малофеевым, юристом компании «Инфосистемы Джет».

    Инфосистемы Джет
    Системный интегратор

    Комментарии 93

      +7
      Специалисты ИБ обязаны выставлять вендору срок на исправление уязвимости, например те 90 дней, а не просто ждать. При простом ожидании вендор великолепно обмазан всеми законами из статьи.
      При этом специалист обязан не передавать вендору данные необходимые для своей идентификации. Если такие данные были переданы, то это показывает что квалификация специалиста не достаточно велика и с этого момента начинает работать весь ворох законов.
        +33

        Это почему я, как владелец устройства, не могу на всю публику заявить, что в нём крупный дефект? Заметим, никакого авторского права. Купил консервную банку и жалуюсь, что в ней черви. Купил роутер, и жалуюсь, что в нём заводятся черви.

          +2

          Например потому, что этим дефектом могут начать пользоваться злоумышленники. А пассивность вендора будет им только на руку.

            +50

            А меня, как потребителя, почему должно это волновать? Если я обнаружу, что входная дверь, которую мне продавали как "сталь 3мм" на самом деле "пенопласт 2.99мм, серебрянка 0.01мм", и я об этом громко пожалуюсь (а злоумышленники начнут за такими дверьми охотится), то в чём проблема? Мне продали дефектное (некачественное) изделие и я, как потребитель, имею право сообщать об этом всем, кому посчитаю нужным. А в софте там бага, или стали мало положили — меня, как потребителя, это не волнует.

              +16
              А вот тут Вы и попали в самую точку. Пусть будет дверь. Есть закон о защите прав потребителей. Есть требования о соответствии этой двери заявленным параметрам (в том числе и про рекламу). И если дверь вместо стальной окажется пенопластовой, то вы идёте в Роспотребнадзор (или куда там) и они производителя этой двери натягивают во все возможные и невозможные отверстия. В реальности, конечно же, не всё так гладко, но вся база и все возможности есть.

              А теперь софт и прочее… Представьте себе, что к Вашей двери прикладывается некое подобие лицензионного соглашения, в котором написано, кроме прочего, две вещи. Во-первых, что цвет, вид, комплектация и характеристики товара могут отличаться от заявленного. Во-вторых, что производитель не несёт ответственности вообще ни за что. И если в реальном мире к дверям такое соглашение никто в здравом уме не прикладывает (ибо чревато), то в мире ИТ только такие правила и действуют.

              Так вот, пока на софт и прочие околоайтишные вещи не будет распространяться закон о защите прав потребителей с вытекающей из него полной ответственностью производителя за свои поделия — кина не будет. Пока все эти лицензионные соглашения не будут приведены в соответствие с законодательством и здравым смыслом — кина не будет. Пока их драть нещадно на центральных площадях не начнут за каждый косяк — кина не будет.

              Улита едет в нужном направлении, но пока, если честно, мы только в начале этого долгого и, чего уж, вполне болезненного пути.
                +4

                … В свете перехода на saas, это, кстати, всё менее существенно. S — service, а ЗОЗПП хорошо регулирует это "S".

                +1
                А меня, как потребителя, почему должно это волновать?
                Потому что злоумышленники могут прийти к Вам намного быстрее чем кто-то заменит дверь? Вы точно потребитель, или просто за справядливость боретесь?
                Мне продали дефектное (некачественное) изделие и я, как потребитель, имею право сообщать об этом всем, кому посчитаю нужным.
                Еще имеете право ночью по бандитским районам гулять. Пойдете?
                  +11

                  Мы говорим про легальность сообщения о проблеме, а не о разумности оного.

                    +5
                    Еще имеете право ночью по бандитским районам гулять. Пойдете?

                    Щаз такие бандиты давно не актуальны. Те, что актуальны сами придут
                  +1
                  Например потому, что этим дефектом могут начать пользоваться злоумышленники. А пассивность вендора будет им только на руку.

                  Всё то же самое применимо и к банке.

                  +1
                  Заявить на публику вы можете, например, написать в соцсети, что у вас взломали камеру, поэтому вы не рекомендуете пользоваться этой моделью камеры. Но если вы уточните, что взломали через телнет — то всё, уголовка за неправомерный доступ, потому что в инструкции по эксплуатации про телнет ничего не было сказано, а вы полезли и раскопали баг.
                    +3

                    Не понимаю. У меня есть железка. Как у меня может быть неправомерный доступ к этой железке, если я являюсь её владельцем? Ну я могу сам себе выписать разрешение на проведение натурных испытаний прочности...


                    Заметим, если я оттуда упру текст, то меня можно обвинить в нарушении авторских прав. А вот "несакнционированного доступа к вычислительным системам" быть не может, потому что я их собственник.


                    Вот из консультант+: "неправомерный доступ к компьютерной информации — это незаконное либо не разрешенное собственником или иным ее законным владельцем использование возможности получения компьютерной информации"


                    А законность владения подтверждается чеком. Заметим, лицензии они могут засунуть в себе в одно место, потому что коробочка куплена? Куплена. Что хочу с ней, то и делаю. Не соглашаясь с лицензией. Конечно, есть авторские права (например, на публикацию найденного в коробочке), но сам факт тестирования законно купленного устройства не может быть несанкционированным доступом. Конечно, тут интересно было бы послушать мнение юристов, но в целом ЗОЗПП и доктрина first sale тут явно на стороне потребителя.


                    Вот с абстрактным бинарём, который дают скачать только после принятия лицензии всё интереснее, но в рамках физических устройств, мне кажется, всё однозначно.

                      +1
                      Полностью согласен, а интересно, вот если дают скачать бинарь только после принятия лицензии, то можно его скачать с другого сайта, например, где лицензию не принимать не требуется и делать с ним всё что захочешь? Ведь получается, что соглашение при скачивании не было. Думается, что тут просто победит тот, кто больше денег на юристов потратит
                        0

                        Ну, формально, это не отличается от скачивания программы/фильма/книги с торрента. Нарушение АП и всё такое.

                          0
                          формально смежное с авторским право нарушает тот сайт, распространяющий ПО с нарушением лицензии. Тот же, кто его скачал, и которому при запуске не было показано лицензионное соглашение, не имел умысла к нарушению закона, поэтому нет состава правонарушения.
                            0

                            Осталось это рассказать компаниям, которые собирают большие деньги с пользователей торрентов.

                              0
                              1) В России? Сообщите хотя бы об одном, привлечённом к суду, а тем более, осуждённом пользователе торрентов российском гражданине.
                              2) Вы перепутали адресата. Мошенники вон тоже собирают деньги с кого попало, пользуюясь неграмотностью своих жертв.

                              Я написал касательно России. В росийском праве в имущественных преступлениях, когда нет умысла, нет и правонарушения.
                        0

                        Если вы купите "опасное" устройство, то тоже можете делать с ним что угодно? Например, если купите 1000 "ртутных" ламп, имеете ли полное право их разбить? Если купите килограмм порошка tide, имеете ли право сделать из него бомбу? (Или из чего ее обычно делают)

                          0
                          Ну так незаконный оборот ядовитых или взрывчатых веществ это отдельное преступление. О нарушении прав производителя ламп или стирального порошка тут речи не идёт
                            0
                            А кем оно определяется, законный или незаконный? Взлом программ вон тоже незаконный
                              0

                              Вы делаете упор на "программа". Я же делаю упор на потребительские свойства объекта (материального объекта). Я специально говорю про ситуацию, когда никакого EULA не было.

                                0
                                А EULA прям никогда нет? Да и у товаров тоже EULA нечасто встретишь
                                  +1

                                  Если нет EULA, то у меня нет дополнительных ограничений. Дальше у нас простые дефолты: АП, патенты и торговые марки нарушать нельзя. Продажа мне изделия автоматически означает передачу мне права использования ПО, являющегося неотъемлимой частью изделия (код для процессора в микроволновке).


                                  Дальше: я не могу этот код распространять (за исключением перепродажи своей копии в составе изделия), но могу обращаться с изделием как хочу. Поливать водой, бить молотком, посылать на телнет любую фигню.


                                  После того, как молоток разбил стекло я могу написать об этом. Публично. После того, как телнет с дефолтным паролем дал мне доступ туда, куда не ожидалось никого пускать, я могу об этом написать. Показывать потрошки не могу, а вот написать (в т.ч. с указанием пароля) — могу.


                                  … Будет пароль объектом авторского права или нет — вопрос открытый. Но даже если оставить в стороне сам текст пароля, то факт наличия хардкоженного пароля в купленном изделии — это факт (если это факт), и сообщение этих фактов о законно купленном изделии никаких законом не нарушает.

                                    0
                                    Если это будет в виде научной статьи — вы можете показывать потрошки и куски исходников полученных методом реверс инженеринга. Поскольку ГК напрямую разрешает дизассемблирование для ПО которым вы законно владеете, а потрошки показываются лишь в рамках необходимого объема цитирования в научной статье — следовательно никакого нарушения авторских прав не происходит.

                                    С паролем тоже все просто — если вы его напрямую публикуете это прямая информация для взлома 100500 устройств — если вы пишите, что от там ЕСТЬ и показываете скажем 1-ю и последнюю букву а остальное замылено — это научная статья на тему «ваша защита говно» и вы ничего не нарушаете.
                                      +1
                                      показываете скажем 1-ю и последнюю букву а остальное замылено

                                      А мыло обязательно должно быть качественным?
                                0
                                А кем оно определяется, законный или незаконный?
                                Внезапно, правительством. Переработка ртутьсодержащих отходов лицензируется Росприродназором, извлечение перекиси водорода из стирального порошка (хз что из него ещё взрывающегося можно извлечь), скорее всего, Росздравнадзором.
                                Анализ безопасности информационных систем, насколько я знаю, пока не лицензируется
                              –1

                              Вы можете купить килограмм порошка тайд и съесть его. В том числе стримя это на миллионную аудиторию. Вы даже можете сказать, что у него ужасный вкус и помереть (на глазах у аудитории).

                                0
                                Не факт, что это не будет приравнено к чему-нибудь (склонение к суициду например)
                                  0

                                  Если это будет сопровождаться предупреждением, то нет.


                                  … Склонял к суициду посредством суицида. Ну, забавно будет, да.

                                0
                                «если купите 1000 „ртутных“ ламп, имеете ли полное право их разбить»

                                Имею, если на них нет надписи навроде «опасно! не разбивать».
                                +1

                                Суд над https://en.m.wikipedia.org/wiki/George_Hotz vs Sony в таком духе и проходил. Мол консоль твоя, а вот ПО на ней — нет, и ты не имел права его взламывать, реверс енжинерить и модифирова. Ну тут конечно немного другая картина, парень не расказывал об уязвимости, он ее использовал что бы поставить на ps3 linux, ну а другие уже его же методами что бы запускать игры на халяву.

                                +2
                                Это миф, который пытается навязать автор статьи. Либо вы неправильно поняли.

                                ст. 273
                                1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных

                                Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

                                В данном случае текст на форуме, хоть он и является компьютерной информацией, но не является заведомо предназначенным для «для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации». Это просто знание. Без предназначения. Учебник химии не является террористическим пособием. Террористическим пособием является информация о том, как изготовить взрывчатку.
                                То есть, если вы не публикуете алгоритм взлома, а только обзор «дыры» без эксплоита, можно спать спокойно.
                                  +1
                                  Однако между «описанием дыры» и «алгоритмом взлома» очень тонкая грань, которую можно легко переступить. То же упоминание наличия активного телнета — это фактически руководство к действию для злоумышленников, и эксплоит им не нужен, в интернете полно готовых. И вот доли процентов людей, нечаянно переступивших эту грань, создают иллюзию, будто за «обзор дыры» всех штрафуют, поскольку 99,(9)% остальных, кого не оштрафовали, не пишут об этом на всех сайтах.
                                    0

                                    С высокой вероятностью меня оштрафовали неизвестные злоумышленники кармой через давно существовавший баг "самолайк на хабре". Там кого угодно можно было и минусить, не имея законных прав на это. Но проблемы негров шерифа (хаброадминов) не волнуют.

                              +5
                              С этической стороны согласен с вами, но с юридической откуда вы взяли цифру 90 дней?
                              Квалификация и анонимность никак не связаны, закон должен работать на обе стороны и исследователи не обязаны скрывать свою личность, когда делают благое дело.
                                +6
                                Юридически? Сейчас 70% представителей совета федераций занимаются лоббированием интересов крупных компаний и различных семей. Из этого следует что закон хорошо защищает крупные компании, в том числе от таких исследователей. Закон окончательно закончился в середине января этого года. Больше он никому ничего не должен.
                                И если в таких условиях исследователь переживает за пользователей, то он должен сам позаботиться о своей безопасности.
                                0
                                9 месяцев обычно сроки. А недоношеность это плохо говорят так
                                +3
                                А есть какие-то ресурсы, где есть пентестеры, которых можно нанять потестить свой продукт? Или куда можно закинуть bug bounty конкурс?) Если наш сервис — малоизвестный, но хочется быть в тонусе, например?
                                  +1
                                  Скоро на Bug Bounty Ru, пока можете написать на info@bugbounty.ru.
                                    +1

                                    Зависит от вашей уверенности в себе. Можно нанять за деньги, тогда тихо и контролируемо. Можно выйти на какой-нибудь hackerone или аналогичный сервис, но там объемы багов и выплат не контролируемы 8)

                                      0

                                      Запустите баг баунти и они сами к вам придут

                                      +2

                                      А государственные регуляторы могут заниматься принуждением владельцев сервисов к исправлению уязвимостей? они как бы следят за персональными данными, а уязвимости способны приводить к их утечке.
                                      Должна же быть от Роскомнадзора какая-то польза? исследователь может написать туда, что существует такая-то возможность утечки персональных данных, а РКН уже требует у сервиса это исправить.

                                        0
                                        Есть одна программа, которая качает адресную книгу, а потом всем у кого стоит эта программа отображает имена из всех скачанных адресных книг по номеру телефона. В соглашении прописано, что пользователь делится своими данными. Но при этом само собой нет разрешения от тех кто записан в этой адресной книге.
                                        РКН сказал, что все ОК.
                                        Вот и скажите есть ли польза от него… Ну или может я не прав.
                                          0
                                          Ну, технически-то да, вы же когда говорите коллеге, что вас зовут Василий и ваш телефон такой-то, вы не берёте с него расписку, что он обязуется не передавать эти сведения третьим лицам. Мало того, можно представиться не своим именем и тогда программа, собирающая записи по адресным книгам, будет предоставлять противоречивые сведения (здесь мне сразу же вспоминается древний славянский обычай иметь имя и прозвище, имя сообщать только членам семьи, а малознакомым представляться прозвищем, чтобы не сглазили).

                                          А ещё, я думаю, нас ждёт ещё не одно десятилетие обсуждения и принятия или непринятия новых обычаев и законов в цифровой среде. Вот, например, недавно принятый запрет на парсинг. Мне кажется, он запрещает вышеописанную программу. Можно ли телефонную книгу считать опубликованной в интернете?
                                        +9
                                        Закон запрещает раскрывать технические подробности уязвимостей, а также проводить взлом систем без согласия владельца и, во многих случаях, обратный инженеринг. Но, судя по приведенным отрывкам из законодательства, он не запрещает заявить о возможности взлома и возможностях, которые он даёт взломщику, и продемонстрировать это на своей системе, или на любой другой с согласия владельца — не раскрывая механизма взлома. И при этом закон не обязывает раскрывать способ получения информации об этих уязвимостях. Так что, при желании, возможность огласки проблемы и доказательства её существования есть.
                                          0
                                          Спасибо за мнение, только думаю, что не все случаи взлома можно продемонстрировать не раскрывая технические детали. И никакого согласия вендора не будет, если ему это не интересно.
                                            +1

                                            Можно попасть на обвинения в том, что вы репутацию порочите. Ваше, ничем не подтверждённое слово о том, что устройство уязвимо против слова копании утверждающей, что у них всё хорошо. А в суде вам придётся «светить» детали уязвимости и то, как вы из нашли. Ну и далее по тексту из статьи. А если детали не описывать, то вы не докажете уязвимость = порочите репутацию.

                                              +1

                                              А можно номер статьи закона? Вот так, чтобы "технические подробности уязвимостей". Первый раз слышу.

                                              +7
                                              Я находил крупные уязвимости с раскрытием кредов в SDK платежных систем по всему миру. Какие-то из этих дыр в два счета находились в сотнях продакшнов в вполне юзабельном состоянии. Я пытался применять responsible disclosure, в общем все делал по уму и с двойным запасом по времени перед публикацией. Кто-то реагировал, кто-то забил. На основании этого анализа я собрал 40-минутную презентацию с демками на DEFCON — и ее не взяли. Причин особо не объясняли, но в тот год тема конференции была немного в другую сторону, и они иногда заморачиваются на эту тему. Чести ради надо сказать, что закрытая презентация в местной группе по инфобезу прошла более чем успешно, народ был в восторге.

                                              В качестве вишенки на торте — с год назад читал отчет, как одного товарища (кстати давно живущего за пределами РФ) просили помочь прикрутить к сайту платежное решение от одного крупного банка в РФ. Через 5 минут копания в их SDK он нашел абсолютно вырвиглазный косяк — по его словам, такое ощущение, что код писал интерн, а ревью не было вообще. Естественно, все было исправлено перед деплоем — а репорт так никуда и не ушел. Причина проста — если не дай бог кого-то уже вскрыли, его имя будет первым в списке, и как админам, так и тов. майору будет нас… ть, за чей счет апгрейдить свои погоны (ибо не пахнут). Какие «законы» — такие и результаты. Мира всем, и смотрите, что и куда деплоите.
                                                +7

                                                По факту ситуация приводит к тому, что законодатели сами подталкивают пентестеров к мысли, что найденные уязвимости нужно продавать на чёрном рынке, т.к. это единственный способ гарантированно не поиметь проблем с владельцем сервиса.


                                                Ведь владельцы-то разные — один просто скажет "спасибо" и устранит уязвимость, второй к "спасибо" приложит денежный бонус, а третий решит, что проблему проще всего решить через юриста запугав пентестера до полусмерти.

                                                  +1
                                                  Мир софта вообще стоит особняком в системе всех взаимоотношений. Софтописатели обычно никогда ни за что не отвечают, что порождает тотальную безнаказанность (кроме случаев, типа софта для медицины, самолетов, ракет и т.п.). С другой стороны софт очень сложен и очень бурно развивается, и если с него требовать все соответствия — это просто убьёт отрасль на корню. Сейчас никто, даже самые богатые конторы, не могут обеспечить «безбажность» своего софта, хотя в принципе они все в этом заинтересованы, ведь баги и дыры продают на черном рынке и используют против их репутации и доходов. Но вообще, по опыту у вменяемых производителей есть программы реакции на баги, потому что они ценят остатки своей репутации, просто бывает трудно донести баг до них, если он не приводит к проблемам с безопасностью, например, просто неверная работа. Обычно 90 дней (ну или сколько договориться) вытекает из желания производителя разобраться и починить что-то, даже если исследователь уже всё разжевал, на деле всё может оказаться сильно сложнее, да и даже банальная пересборка софта бывает крайне проблематична. Я уж не говорю про баги в «железе», которые затыкают софтом.
                                                    +4
                                                    Если вы найдёте уязвимость, программа Bug Bounty может обязать вендора выплатить вам вознаграждение.

                                                    Субъективно, сейчас все стало наоборот. Крупные платформы стали не только нанимать максимально неквалифицированных сотрудников для анализа отчётов (так называемые managed-программы, когда сотрудники платформы фильтруют отчеты, передавая компании только подтвердившиеся), но и угрожать блокировками исследователям, если они хотят опубликовать информацию.


                                                    Недавно на крупной платформе их сотрудник не мог два месяца прочитать отчёт и тупо повторить список из 5-7 пунктов (уровня открыть ссылку, написать Х, повторить). Потом он начал рассказывать, что не прав я, а системы вообще не так работают. В итоге из-за этого клоуна я потерял потенциально неплохое вознаграждение, а когда я обратился к более серьёзным сотрудникам платформы, мне сказали примерно «Другим деньги платят, заткнись и не публикуй, иначе забаним».

                                                      +13
                                                      Ситуация: вы исследуете устройство из своего набора «умного дома», изучили код мобильного приложения, трафик между тремя компонентами: устройство, сервер, мобильное приложение.


                                                      Просто берём и пишем пост. Мои посты подобного толка:

                                                      1. Burn-in рутовый шелл в IP-камерах Vesta и не только
                                                      2. Full disclosure: 0day vulnerability (backdoor) in firmware for Xiaongmai-based DVRs, NVRs and IP cameras


                                                      Изначально законодательство вообще не на стороне независимых исследователей уязвимости сервисов. По-хорошему, ничего нельзя даже трогать. А если кто-то решит опубликовать своё исследование уязвимостей, правообладатель сервиса может предъявить ему гражданские иски, могут быть инициированы проверки наличия состава преступления, возбуждены дела об административном правонарушении и, возможно, даже придётся понести уголовное наказание. Звучит невесело?


                                                      Вам известны такие случаи?

                                                      Согласно п.п. 1, 2 ст. 1280 ГК РФ лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия правообладателя и без выплаты дополнительного вознаграждения изучать, исследовать или испытывать функционирование такой программы в целях определения идей и принципов, лежащих в основе любого элемента программы для ЭВМ


                                                      иное может быть предусмотрено договором с правообладателем (то есть лицензионными условиями / условиями использования прикладного ПО и устройства).

                                                      В своём ToS вендор может предусматривать что угодно, над законом РФ это приоритета не имеет. В самом худшем случае вы нарушите этот самый ToS, что позволит вендору отказать вам в обслуживании и на том всё.

                                                      1.2: Вендор устройства может расценить публикацию такого исследования порочащим его деловую репутацию.

                                                      Это применимо только если Вы публикуете заведомо недостоверную информацию.

                                                      2.1: Потенциально: ст. 272 УК РФ за неправомерный доступ к компьютерной информации в случае, если среди полученных данных есть такие, правами доступа к которым исследователь не наделен.

                                                      К упомянутой Вами ситуации это отношения не имеет. Если же Вы «пентестите» чужой сервис и заполучили чьи-то данные, то, в общем-то, всё справедливо, т. к. это просто неэтично.

                                                      2.2. Потенциально: ст. 273 УК РФ за использование скриптов\экплойтов для автоматизации атаки.

                                                      По формулировке статьи PoC-exploit просто не должен быть заведомо деструктивным, вот и всё.

                                                      3.1 незаконной деятельностью в области защиты информации без получения соответствующей лицензии — ст. 13.13 КоАП РФ;

                                                      А причём тут это? Вы кому-то услуги по защите перс. данных оказываете?

                                                      3.2 в случае совершения действий от имени компании — нарушением лицензионных требований, предъявляемых к лицензиату при осуществлении лицензируемого вида деятельности (ст. 13.12 КоАП).

                                                      Не исключено, что проведение исследований в области защиты информации без соответствующего договора с заказчиком может быть расценено как нарушение правил лицензирования.

                                                      Вам известны такие случаи из судебной практики? Опять же, если правила лицензирования регулируются лицензионным соглашением, то ГК РФ имеет приоритет над любым таким соглашением и пункт соглашения при подобном разбирательстве просто признают ничтожным.

                                                      Мне кажется, Вы какую-то пугалку написали, внушающую исследователям страх и демотивирующую против внесения своего вклада. Тут бы лучше юристам судебную практику изучить. Всё, что Вами приведено — притянуто за уши.

                                                      Местным компаниям (особенно окологосударственным) открыто дорогу переходить я бы, конечно, не советовал. Но и в этом случае совершенно понятно, как обнародовать проблему, чтобы она была гарантированно решена — на Хабре и такие посты были.
                                                        +3

                                                        Согласен с Вами.
                                                        Автор, по моему мнению, преувеличил остроту проблемы. В том числе, и со статьями УК

                                                          +4

                                                          Автор еще не все сказал )


                                                          Сценарий: вендор подает на вас иск в арбитраж с упущенной выгодой 1 млн. руб. Судья назначает эксперта. Далее из собственного опыта:


                                                          Эксперт, мутный персонаж в кургузом пиджачке из фирмы с лицензией "Форензик рога и копыта", с ИТ дипломом Урюпинска и отметкой в трудовой "работал программером" дает заключение: да, истец прав.


                                                          Судья штампует заключение эксперта в своем решении, не вникая ни во что вообще.


                                                          Все.

                                                            +2

                                                            Мой комментарий был больше о уголовной и всякой прочей ответственности.


                                                            А ваш пример может быть актуален для любого публичного заявления о какой-либо компании: пишите статью о несовершенстве работы службы безопасности банка, банк подаёт в суд, прилагая заключение эксперта. И далее по сценарию.


                                                            Мне кажется, описанная вами ситуация касается больше вопросов несовершенства судебного процесса, а не конкретно сферы информационной безопасности

                                                          0
                                                          Просто берём и пишем пост. Мои посты подобного толка:

                                                          Ошибка выжившего.

                                                          По формулировке статьи PoC-exploit просто не должен быть заведомо деструктивным, вот и всё.

                                                          То есть по вашему можно разрабатывать не деструктивные эксплойты?

                                                          На вопросы про нюансы законодательства отвечать не буду, так как не юрист, но в статье я точно обозначил что есть подобные риски и далее уже придется ходить по судам и доказывать что один документ имеет приоритет над другим и тп. Мало кому захочется это сделать.

                                                          Местным компаниям (особенно окологосударственным) открыто дорогу переходить я бы, конечно, не советовал. Но и в этом случае совершенно понятно, как обнародовать проблему, чтобы она была гарантированно решена — на Хабре и такие посты были.

                                                          Заключение статьи о том, что хочется жить в обществе, где можно открыто говорить о проблеме и уведомлять пользователей, а вы тут же после своих изречений что это пугалка, сами говорите, что дорогу лучше не переходить местным компаниям. О местной компании и речь.
                                                          Предлагаю вам придерживаться какой-то одной позиции, если хотите подискутировать.

                                                            0
                                                            То есть по вашему можно разрабатывать не деструктивные эксплойты?

                                                            ЗАВЕДОМО недеструктивные — конечно можно. Получили RW примитив, поменяли им номер версии (например). Убедились что это сработало

                                                          +3
                                                          По идее публиковать рабочий эксплойт — нельзя, но описать как он мог бы работать — можно. В законах есть запрет на разработку вредоносноного ПО, но нет запрета на написание инструкций по его разработке. Написание инструкции не доказывает, что вы реально разработали эксплойт, может быть, вы просто очень умный и просимулировали всё поведение системы в голове, а за мыслепреступления наказаний официально нет.

                                                          Есть вполне ограниченный список информации, ограниченной к распространению в РФ. Например, способы суицида, способы изготовления наркотических веществ и т. д. Но «инструкции по разработке вредоносного ПО» в этот список не входит. Во всяком случае пока.
                                                            +2
                                                            А вариант с подачей в суд на вендора за намеренное игнорирование уязвимости возможен?
                                                            Вроде как законы защищают не только вендора как поставщика ПО, но и нас, как потребителей этого ПО, от потенциальных угроз персональным данным и тд. Те же РПН, РКН.
                                                              +3

                                                              При работе с персональными данными есть несколько регламентов, которые вендор обязан соблюдать. Но я пока не слышал ни об одном штрафе за утечку ПД, тем более в пользу обычных людей (в России, я имею в виду)

                                                              +1
                                                              Много интересных мыслей в статье и в комментариях.
                                                              Стоит добавить, что если даже если вендор оперативно выпустит обновление, исправляющее уязвимость, то его еще нужно установить, а это сделают далеко не все по разным причинам.
                                                              Но зато про дыру наверняка узнают злоумышленники, которым теперь бери и действуй.
                                                              И если сервис/устройство широко распространено последствия могут быть существенными, нежели эту дыру найдут разрозненные злоумышленники и проэксплуатируют ограниченное количество раз (в меру физических возможностей).
                                                              Да они также могут сообщить об этом во всеуслышание, но это уже отдельная ветка.
                                                                +2

                                                                Если просто публично описать, что в товаре Х нашел дыру, которая позволяет сделать У и не описывать как, то что тут незаконного?
                                                                Уязвимость это недостаток товара/услуги. Можно пытаться требовать устранения в рамках закона о защите прав потребителей.

                                                                  +4

                                                                  И эффекта нет.
                                                                  Точнее есть, "вы все врете у нас все работает нормально и вообще за клевету на нашу сертифицированную продукцию/услугу ответите"

                                                                  +2

                                                                  Не стоит забывать про юридические нюансы во время ответов на запросы от самой компании или други лиц (которыми могут быть они-же, но анонимно). Понравился случай, когда один человек в шутку сделал редирект с созвучного домена одной ещё не вышедшей игры на игру-конкурента, к нему обратились с просьбой продать этот домен. И после того, как он ответил «возможно», к нему обратились юристы самой компании с требованием отдать этот домен, потому что он нарушает их торговую марку в коммерческих целях. Прикол в том, что до этого у них не было особых прав это сделать.

                                                                    +1
                                                                    1) А возможно создание какого-то ресурса, в котором бы были перечислены все компании и описаны все баги, существующие в них? При этом описаны юридически безопасно. Ну например, Вконтакте — баг с базой данных, доступна личная переписка, дата обнаружения — 12.12.2017, и какой-то ключ, техническое описание, позволяющее всё же отличить разные баги с одним и тем же общим описанием.
                                                                    2) Сотни гайдов было, но всё же хотелось бы и от вас услышать: о цифровой гигиене. а) Которая в необходимом исполнении проста и доступна большинству пользователей
                                                                    б) И что-то более серьёзное, с чем надо покопаться, но в целом защищает серьёзнее (и насколько). в) Цифровая гигиена параноика, который хочет быть среднестатистическим интернет-хомяком.

                                                                    По хорошему это всё нужно разделить на прямые финансовые угрозы, личного характера и т.д.
                                                                      +1
                                                                      А возможен вариант, когда публикация будет в виде «фантастического произведения»? И прям так и указать, что все совпадения с реальностью случайны. Разве за это можно наказать?
                                                                        0
                                                                        На днях мне снился эксплоит.
                                                                        +1
                                                                        Хм, ну информацию о «наличие включенного telnet-сервера и пароля по умолчанию для «root»» и др., в позитивном ключе, типа, что б не навредить, опубликовать закон РФ позволяет же?
                                                                          +2
                                                                          Моё мнение, если делайте пентест, делайте так что бы на вас не вышли (очень актуально для стран СНГ), если нашли уязвимости, то вы можете их анонимно опубликовать, с учётом что вы оповестили вендоров, и дали им время на баг фикс, но если вы смекаете что этот баг они специально оставили, или этот баг откровенная халатность, то таких вендоров надо карать и сливать их, иначе всегда будет так! в итоге товар/услуга для (нас) клиентов, почему мы должны в тряпочку молчать?
                                                                            +3
                                                                            Мы слишком зависим от многих сервисов.

                                                                            И никто даже не пытается это исправить, наоборот, все радостно шагают в этот цифровой концлагерь.
                                                                            Но они не всегда могут предать публичной огласке то, что знают, не попав при этом под юридические риски.

                                                                            Tor вроде ещё никто не отменял.
                                                                              –1

                                                                              Telegram desktop который на windows "взламывается" за минуту, просто копируется папка с программой на другой компьютер. При этом не будет никаких оповещений что был произведен вход с другого устройства, и не придет проверочных кодов. Дуров не считает это уязвимостью кстати.
                                                                              А вообще это все не правда и мне приснилось так

                                                                                +4

                                                                                Хм, таким способом можно "взломать" почти всё).

                                                                                  0

                                                                                  Ну… Если говорить про мессенджеры, то другие так просто не "взламываются" копированием профиля


                                                                                  На самом деле я написал про это, чтобы восстановить справедливость. Принято считать что whatsapp не безопасен и там сливают данные, и что тот же telegram напротив защищает интересы пользователя. Я думаю большинство предпочтет чтобы его данные с номером телефона слили куда то для таргетированных рассылок, чем кто то сольет его переписку с любовницей или чего поинтереснее:)

                                                                                    0

                                                                                    Я написал — "почти"

                                                                                    +1

                                                                                    Ага, почти всё, кроме лицензионного софта. Ни фотошопы, ни автокады, ни десяток программ для оборудования, с которым работаем, так не взламываются. Приходится покупать лицензии по €3k

                                                                                      0
                                                                                      Это вы не умеете их готовить.
                                                                                      Полная копия HDD, такая же материнская плата, процессор и объём памяти вам помогут.
                                                                                        0
                                                                                        Так привязка может быть к серийникам материнки, проца и прочего. Толку от того, что они похожи по моделям, если серийники отличаются?
                                                                                          0

                                                                                          Эээ. Нет, у нас у всех одинаковые ноуты hp pro 650g1.

                                                                                    +3

                                                                                    Вы тут пишете, что есть законодательные ограничения, которые вас не устраивают и "звучат невесело".
                                                                                    Я бы сказал более грубо: закон, который защищает дураков и мудил.
                                                                                    Они продают бракованное ПО, а когда им на это указывают, говорят, что страдает их "деловая репутация".
                                                                                    Т.е. не от того, что их говнокод позволяет украсть личность или перевести деньги с чужого счёта, а от того, что об этом кто-то говорит.


                                                                                    Лично я считаю, что таких компаний быть не должно. А если "законные средства" против вас, надо действовать иными.


                                                                                    Продайте уязвимость на чёрном рынке. Да, пострадают люди. Но в следующий раз они будут думать, чем пользоваться.
                                                                                    На компанию упадут иски. Закон теперь будет работать против неё. И либо она сдохнет, либо изменит процесс работы.
                                                                                    По-другому — никак.
                                                                                    И да, я готов к тому, что от этого могу пострадать и я: лучше платить взломщикам, чем платить недосудьям, следующим кривому закону, за то, что они закроют специалиста.

                                                                                      +1
                                                                                      Не понял, в чем сложность. Существует масса изданий, посвященных безопасности, в том числе нероссийских, не подчиняющихся российским законам, и в том числе даже русскоязычных. Передать им информацию — они с удовольствием опубликуют без указания вашего имени. И данные ваши никому не передадут, поскольку запросы российских органов им по барабану. А чтобы исключить даже теоретическую такую возможность, можно выслать информацию с временного ящика на любом почтовом сервисе, подключаясь туда через Тор.
                                                                                        +3
                                                                                        Сложность в рисках.

                                                                                        Если такое будет проделываться с российской компанией, дело может кончиться блокировкой РКН того самого ресурса, где опубликована информация, это если не найдут автора, а то будет перспектива пойти по этапу.

                                                                                        Гораздо интереснее, когда такое случается за рубежом с зарубежными же компаниями. Если издание более-менее официальное и находится в юрисдикции заинтересованных сторон, то изданию могут вкатить иск на миллионы долларов, так что дешевле (а самоубийствами никто не хочет заниматься) сдать автора. Или ничего не публиковать. Остаются только издания, находящиеся на платформе в открытом океане, но это уж совсем дикая история с несоизмеримыми затратами.

                                                                                        В любом случае стопроцентной гарантии, что не придется сушить сухари, никто не даёт. А дать денег за проделанную работу тем более. В итоге белый хакинг сейчас занятие для маргиналов или альтруистов с ослабленным чувством самосохранения.
                                                                                          0
                                                                                          Ну, опубликовать можно и анонимно в коментариях к биткоин-транзакции (есть там коментарии?),
                                                                                          а потом на хабре стратью написать «смотрите что нашел!», если до вас другие не успеют написать.
                                                                                            0
                                                                                            Все верно, но это лишь означает, что выбирать место для публикации следует осмотрительно. Если компания российская, то западный сайт (блокировки в доступе обходятся элементарно). Если западная, то российский или в какой-нибудь далекой юрисдикции. В крайнем случае можно анонимно, через тот же Тор, разместить пост на произвольном популярном форуме, дальше само разойдется.

                                                                                            Разумеется, ничего хорошего в такой ситуации нет. Де-факто запрет публикации уязвимостей только ухудшает дело. Но для дела вполне можно действовать и обходными путями.
                                                                                          +1
                                                                                          А я вот вижу одну предпосылку к тому, чтобы ситуация поменялась. Дело в том, что можно стандартизировать процессы обращения пользовательских данных и доступа к этим данным. Что это дает? Затраты на внедрение такой системы для даже самых простых сервисов. Можно создать такой стандарт, чтобы его внедрение стало весьма накладным для мелких сервисов, а кроме того, сам стандарт довольно жестко завязать на каком-то программном решении, усложнив использование ещё и юридическими ограничениями, это как пример, направление вы, надеюсь, поняли. Таким образом гугл и прочие компании смогут отсеять огромный процент мелких конкурентов-стартапов, ну или, как минимум, сильно усложнить им жизнь. Можно, например, расширить GDPR, раздув требования до абсурда. Легко это будет проделать под какой-нибудь громкий взлом с правильной компанией в массмедиа. В общем, перспективы, как ни крути, у этой проблемы негативные.
                                                                                            0
                                                                                            С одной стороны, для того, чтобы что-то пострадало, это что-то или нечто должно быть.
                                                                                            С другой стороны, чувства, как и репутация не могу страдать никак.
                                                                                            Вне зависимости он нашего знания и понимания, желания или его отсутствия, сосед за стеной есть, просто мы о нем не догадываемся, не слышим или не видим, но однажды звук перфоратора расставляет все на свои места.
                                                                                            Пентестеры просто подтверждают изначальную постулат-байку: В любой программе есть ошибка. Если в программе нет ошибок, то она никому не нужна.
                                                                                            Огромный штат принимающих законы не может на данный момент решить данный вопрос или не хочет, но зарплату получает исправно.
                                                                                            Малограмотность как с правовой точки, отсутствие этики, я уж не говорю о совести, что продукт выпускать нужно качественный, но, даже если что-то пошло не так, то быть готовым исправить это в кратчайшие сроки.
                                                                                            Многое упирается в то пресловутое лицензионное соглашение и эти волшебные буквы AS IS, которые с одной стороны ставят все на место, с другой стороны все валят с этого места.
                                                                                            Не хочешь, сомневаешься, предполагаешь, что в ПО есть уязвимости и прочее, так не пользуйся. Силой точно никто не заставляет. Все остальные отсылки к цивилизованности, 21 век и прочее не прокатывают.
                                                                                            Нахамили, обсчитали, нагрубили, заставляют маску натягивать на нос — нет смысла больше возвращаться туда и к таким никогда, однако… тянет неведомая сила и приключения ;)
                                                                                            По одному всех перещелкают, а три прутика, как в той сказке, не сломать ;)
                                                                                              +1

                                                                                              Это просто какой-то всеобщий пофигизм, ИМХО. Когда поголовно в любом EULA написано: "разработчик не несет ответственности за причиненный вред оборудованию или данным" и т.д. по списку. Это, я считаю, раздолбайство и гонка за рынком, где лучше быстрее выпустить сырой продукт, не сделав нормальное QA, а потом забить на баги, т.к. слишком дорого исправлять. И так схавают, не бояре.
                                                                                              ЗЫ: мне на работе приходится кое-что небольшое для работы писать. Так я вылизываю код, придумываю ситуации, когда юзер может ввести вообще чушь какую-то. Да, времени больше и дольше, зато потом работает и я не напрягаюсь, когда кто-то из сотрудников пользуется моим софтом. Софт средней или ниже средней степени сложности: например, обработка SOR файлов (рефлектограммы замера оптики) и создание отчета и т.д.

                                                                                                +1
                                                                                                Извините, а если я нашел на крупном сервисе уязвимость, которая дает доступ любому человеку к МОИМ персональным данным. То есть сервис в оферте обязуется защищать мои персональные данные, но этого не делает.

                                                                                                Владелец сервиса угрожает судами, если расскажу об этом публично. При этом, закрывать уязвимость не собирается. Куда жаловаться? Что мне делать?
                                                                                                  0
                                                                                                  Отказывайтесь от использования этого сервиса, просите удаление своих данных, проверяете это, а потом сливаете уязвимость на чёрном рынке.
                                                                                                  0
                                                                                                  Может быть выбрать вообще другую стратегию — смириться, что мы живем в мире со стеклянными стенами и весь софт по определению дырявый?
                                                                                                  Тогда имеет смысл сконцентрироваться на индивидуальном контуре безопасности, а не бороться за глобальную победу здравого смысла…
                                                                                                  Не настаиваю, но просто как концепт.
                                                                                                    +1
                                                                                                    Смирится? ;)
                                                                                                    Спрос рождает предложение и предложение рождает спрос.
                                                                                                    Если будет спрос на то, чтобы софт был действительно качественным, а производитель нес ответственность, то значит такому быть, а пока эпоха впаривания с элементами мгновенного устаревания выданного на гора будет продолжаться.
                                                                                                    Все в наших руках, ну и конечно, все в наших умах ;)
                                                                                                      0
                                                                                                      Дык я ж только «за»! :)
                                                                                                      Но моя жизненная практика пока не даёт поводов к оптимистическим надеждам, скорее всего и дальше всё будет только хуже. Поэтому стратегия индивидуального выживания вполне имеет право на предметное рассмотрение.
                                                                                                    0
                                                                                                    Ну а как в этом смысле работают например антивирусные программы? Можно же создать софт, который проверяет, например, наличие уязвимостей в том или ином оборудовании и его ПО.

                                                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                    Самое читаемое