Комментарии 17
Может они так тестируют, нет ли какой уязвимости, чтобы задержанные смогли избежать приговора.
Скорее всего у компании должны быть внутренние документы, где прописаны меры, которые компания будет проводить для нахождения уязвимостей и они должны быть согласованы на высшем уровне.
поскольку представители суда и предположить не могли
Они и не должны предполагать ничего.
Если они будут предполагать возможные и не возможные способы тестирования — самое тестирование теряет смысл. И в целом практика физического проникновения неразрывно связана с примерами киберпреступлений.
Нет документов — сами виноваты. Всегда пентестеры требуют расписку, что фирма заказала конкретно такой взлом и снимает с пентестеров ответственность. А «различными методами» это пустая формулировка, они б ещё заложников захватили, тоже метод.
Тем не менее эту пустую формулировку подписали, причём не абы кто, а сам суд.
Так что либо суд расформировывать за проф непригодность, либо тестеров отпускать.
Пока неизвестно, что им конкретно «подписали». Есть только заявление суда:
Более того, охраной здания занимается полиция, так что чиновники суда при всём желании не могли подписать согласие на физический взлом. Кроме того, перевод неточен: полиция выдвинула также отдельным пунктом обвинение в хранение незаконных орудий взлома, что хоть с бумажкой, хоть без бумажки, похоже — статья, даже если пункт про взлом удастся снять.
И ещё раз хочу пояснить — расписка (waiver) это конкретный документ, где юридическим языком описано в деталях, что конкретно будет тестироваться, и за что заказчик снимает ответственность с тестеров. Это не контракт, который с ними заключили с размытой формулировкой, это отдельный документ. И любые размытые формулировки в нём будут считаться null and void, а не трактоваться в пользу тестеров.
The company was asked to attempt unauthorized access to court records through various means to learn of any potential vulnerabilities. SCA did not intend, or anticipate, those efforts to include the forced entry into a building.
Более того, охраной здания занимается полиция, так что чиновники суда при всём желании не могли подписать согласие на физический взлом. Кроме того, перевод неточен: полиция выдвинула также отдельным пунктом обвинение в хранение незаконных орудий взлома, что хоть с бумажкой, хоть без бумажки, похоже — статья, даже если пункт про взлом удастся снять.
И ещё раз хочу пояснить — расписка (waiver) это конкретный документ, где юридическим языком описано в деталях, что конкретно будет тестироваться, и за что заказчик снимает ответственность с тестеров. Это не контракт, который с ними заключили с размытой формулировкой, это отдельный документ. И любые размытые формулировки в нём будут считаться null and void, а не трактоваться в пользу тестеров.
Этот процесс будет иметь ещё большее значение для программ Bug Bounty.
Сейчас в их правилах прописано, что багхантер освобождается от ответственности за взлом или попытку взлома, если в итоге расскажет фирме о найденной уязвимости.
Для взломщиков это означает, что если попался — то можно сказать, что собирался всё расссказать, и остаться на свободе. А если не попался, то можно ничего не рассказывать :)
И вот если физическое проникновение в офис гугла или фб можно подвести под формулировку их Bug Bounty, то их охранников ждёт много весёлых ночей…
Сейчас в их правилах прописано, что багхантер освобождается от ответственности за взлом или попытку взлома, если в итоге расскажет фирме о найденной уязвимости.
Для взломщиков это означает, что если попался — то можно сказать, что собирался всё расссказать, и остаться на свободе. А если не попался, то можно ничего не рассказывать :)
И вот если физическое проникновение в офис гугла или фб можно подвести под формулировку их Bug Bounty, то их охранников ждёт много весёлых ночей…
В описаниях Bug Bounty явно пишут, что чем считается. Никаких там «различными способами» нет. И платить кучу денег за «взлом» посредством применения паяльно-ректального криптоанализа к сотруднику никто в здравом уме не будет.
Другое дело, что пыонэров, читающих новости вмето условий Bug Bounty и законов, может и прибавиться, да.
Другое дело, что пыонэров, читающих новости вмето условий Bug Bounty и законов, может и прибавиться, да.
Ну например, в условиях BB от эпла написано, буквально: «Unauthorized access to iCloud account data on Apple servers: $50,000»
Никаких ограничений на способ получения доступа я не вижу: о)
Никаких ограничений на способ получения доступа я не вижу: о)
А где вы это вообще нашли?
Вот тут написано, что делать нельзя — нарушать работу сервисов, получать доступ к чужим данным (к своим на соседнем аккаунте можно), получать доступ к внутренним (non-customer-facing) системам, нарушать законы.
Это накладывает некоторые ограничения. Например, исследователь не сможет взломать один сервис, через него проникнуть во внутренние системы и внести в них такие изменения, чтобы стал возможен взлом другого сервиса. Физическое проникновение в здание Apple наверняка считается нарушением закона, так что тоже отпадает.
Это накладывает некоторые ограничения. Например, исследователь не сможет взломать один сервис, через него проникнуть во внутренние системы и внести в них такие изменения, чтобы стал возможен взлом другого сервиса. Физическое проникновение в здание Apple наверняка считается нарушением закона, так что тоже отпадает.
Вероятнее всего, "процесс" не состоится, на первом же слушании, когда защита представит motion to dismiss, всё и закончится.
Помоему, в данном случае две структуры одной организации действовали отдельно, одна проверила другую, вторая отработала хорошо. Договор есть, всё будет хорошо с судом.
Просто кликбейт и хайп.
Просто кликбейт и хайп.
Второй этап тестирования безопасности-проникнуть в систему и поменять решение на оправдательное
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Тестировщиков, нанятых американским судом для проверки систем защиты, арестовали за взлом