Комментарии 21
Требовать деньги или ставить любые условия перед тем как раскрыть уязвимость — это шантаж.
Спрашивать о денежном вознаграждении перед раскрытием уязвимости — это не white hat hacking
Смахивает на коммунизм и ровно по этой же причине и провалится. Мотивированный долларом черный/серый хакер найдёт баг раньше. И продаст тому, кто заплатит больше.
Ну да. Но я о тем правилах, которые позволяют остаться рамках законности.
Буду рад если кто предложит более эффективные правила и не менее «белые».
А какие изысканые способы серых хакеров торговаться и получать деньги за найденные уязвимости знаете вы?
Буду рад если кто предложит более эффективные правила и не менее «белые».
А какие изысканые способы серых хакеров торговаться и получать деньги за найденные уязвимости знаете вы?
Ну тут можно перефразировать в духе: «продаю отсрочку публикации результатов моих исследований на проникновение/эксклюзивный доступ к исследованиям. Цена — ХХХХ$». Тогда это «вроде как» не шантаж. Продаю любому же, рынок, не хотите — не покупайте.
А что незаконного в том, чтоб не сообщать постороннему о его проблемах?
Вот скажем, если врач увидит у прохожего симптом серьёзной болезни, должен ли он сразу сообщить диагноз и предложить лечение или может сказать: «вы серьёзно больны, обратитесь к врачу, можно ко мне, вот визитка».
Самое страшное что можно пришить отказывающемуся сообщить проблему бесплатно, это что-то типа «оставление в опасности», но это скорее относится к клиентам бизнеса, и чтоб этого избежать нужно требовать от хакера немедленной публикации информации о наличии уязвимости, чтоб клиенты смогли свалить, но тогда это реально будет похоже на шантаж, типа «или вы сейчас же мне платите за демонстрацию уязвимости, или завтра я, по зову долга, предупрежу всех ваших клиентов о том, что ваш сервис — решето».
Так что, «у вас есть уязвимость, позволяющая украсть такие и такие данные всех клиентов. Платите мне $N и я объясню, иначе ищите сами» — это, пожалуй, самое этичное, что может предложить хакер.
Вот скажем, если врач увидит у прохожего симптом серьёзной болезни, должен ли он сразу сообщить диагноз и предложить лечение или может сказать: «вы серьёзно больны, обратитесь к врачу, можно ко мне, вот визитка».
Самое страшное что можно пришить отказывающемуся сообщить проблему бесплатно, это что-то типа «оставление в опасности», но это скорее относится к клиентам бизнеса, и чтоб этого избежать нужно требовать от хакера немедленной публикации информации о наличии уязвимости, чтоб клиенты смогли свалить, но тогда это реально будет похоже на шантаж, типа «или вы сейчас же мне платите за демонстрацию уязвимости, или завтра я, по зову долга, предупрежу всех ваших клиентов о том, что ваш сервис — решето».
Так что, «у вас есть уязвимость, позволяющая украсть такие и такие данные всех клиентов. Платите мне $N и я объясню, иначе ищите сами» — это, пожалуй, самое этичное, что может предложить хакер.
Чтобы знать наверняка, что можно украсть данные, нужно хотя бы это попробовать сделать, хоть на пол шишечки, хоть одним глазиком — это вы уже сами будете придумывать отмазку следователю. Потому что это подпадает под статью:
Статья 361. Незаконное вмешательство в работу электронно-вычислительных машин (компьютеров), систем и компьютерных сетей
Поэтому я и пишу о законности.
Понятное дело, можно использовать ВПН и писать анонимно, чтобы уклонится от возможной юридической ответственности. Но теперь вы понимаете как постепенно превращаетесь в шантажиста и вымогателя? :)
P.S. Врач может видеть симптомы и догадываться о болезни. Но чтобы ему сформировать Proof of Concept, вероятней всего, ему надо вскрыть вас или отправить на анализы. И то это может быть ошибочный диагноз. Медицина еще большая продажа воздуха чем IT :D
Статья 361. Незаконное вмешательство в работу электронно-вычислительных машин (компьютеров), систем и компьютерных сетей
Поэтому я и пишу о законности.
Понятное дело, можно использовать ВПН и писать анонимно, чтобы уклонится от возможной юридической ответственности. Но теперь вы понимаете как постепенно превращаетесь в шантажиста и вымогателя? :)
P.S. Врач может видеть симптомы и догадываться о болезни. Но чтобы ему сформировать Proof of Concept, вероятней всего, ему надо вскрыть вас или отправить на анализы. И то это может быть ошибочный диагноз. Медицина еще большая продажа воздуха чем IT :D
К сожалению (или к счастью, как посмотреть) рано или поздно у достаточно известных/продвинутых белых хакеров появляются контакты, которые готовы покупать серьезные уязвимости. И тогда начинается борьба с совестью: отдать данные компании (особенно сомнительно, если нет bugBounty с вознаграждениями), продать на сторону или забить. Каждый решает для себя.
Интересное дополнение! Зачастую, агрегаторы и платформы bug bounty программ утверждают обратное, что white hackers с репутацией и опытом работы можно больше доверять, потому что они профессионалы. Но тяжело поспорить с тем что больше и соблазнов и влияния на них со стороны.
Давление и влияние действительно есть. Иногда даже со стороны программистов заказчика (!), которые не хотят исправления или раскрытия существования части уязвимостей (хотя это больше относится к закрытым Bug Bounty и аудитам).
Во многом вопрос в том, насколько конкретному хакеру нужны деньги и не хочется идти на тёмную сторону. Я не обеднею от отсутствия выплат за несколько багов (и не хочу идти на тёмную сторону), а кто-то готов торговаться за каждый, потому что ему это важно. Знаю как минимум одного исследователя, который просто писал компаниям, что «за дыру в вашем сервисе мне предложили столько-то. Заплатите больше — отдам вам.». Такой подход тоже иногда работает, хотя он очень грязный.
Во многом вопрос в том, насколько конкретному хакеру нужны деньги и не хочется идти на тёмную сторону. Я не обеднею от отсутствия выплат за несколько багов (и не хочу идти на тёмную сторону), а кто-то готов торговаться за каждый, потому что ему это важно. Знаю как минимум одного исследователя, который просто писал компаниям, что «за дыру в вашем сервисе мне предложили столько-то. Заплатите больше — отдам вам.». Такой подход тоже иногда работает, хотя он очень грязный.
А как вообще с юридической точки зрения выглядит продажа информации об уязвимостях? А третьему лицу?
Это может быть законно в рамках Coordinated Vulnerability Disclosure
ИМХО, Это как медвежатник взломал замок, получил за это денежки и ушел, оставив квартиру на расхищение заказчику.
Совсем не юридический язык, но аналогия, как мне кажется, подходящая.
Совсем не юридический язык, но аналогия, как мне кажется, подходящая.
без подписания договора на пен-тест — Статья 361. Незаконное вмешательство в работу электронно-вычислительных машин (компьютеров), систем и компьютерных сетей
Если я правильно нашёл и понял эту статью, то ключевой момент — не факт вмешательства, а факт причинения ущерба или распространения вируса. Получается, что ничего не мешает искать уязвимости, если их не использовать (хотя не всегда это возможно)?
andreykp К тому же, в уголовном кодексе есть еще понятие умысел, который нужно доказать
К сожалению у меня был опыт общения с судебной системой.
На практике приходится доказывать отсутствие умысла, а не его наличие.
На практике приходится доказывать отсутствие умысла, а не его наличие.
И опять, к сожалению, не в этом случае. Тут мы скорее будем говорить об умысле самого факта вмешательства (тыкать в кнопки в браузере можно, запускать Burpsuit и смотреть «специальную техническую информацию» результатов этого тыканья — уже умысел). Про умысел причинения ущерба тут речь не идет.
прошу прощения, я нашел более детальное описание нарушений и притягивание их к законодательству
Есть очень интересный пункт
«Незаконный доступ в компьютерную систему или сети».
Или вот здесь, коментарии от юристов (обрезал «воду»):
«4. Втручання у роботу… систем… Відсутність наслідків у вигляді… знищення інформації… може кваліфікуватися: 1) як замах на вчинення злочину… 2)… незаконне ознайомлення з інформацією… 3)… незаконному втручанні в роботу… розкрадання майна ...»
т.е. как только ты получил доступ, или даже попытался — сразу считаешся нарушителем.
Момент порчи/искажения информации или другое нанесение ущерба носит отягощающий характер, нарушением является уже получение доступа.
Есть очень интересный пункт
«Незаконный доступ в компьютерную систему или сети».
Или вот здесь, коментарии от юристов (обрезал «воду»):
«4. Втручання у роботу… систем… Відсутність наслідків у вигляді… знищення інформації… може кваліфікуватися: 1) як замах на вчинення злочину… 2)… незаконне ознайомлення з інформацією… 3)… незаконному втручанні в роботу… розкрадання майна ...»
т.е. как только ты получил доступ, или даже попытался — сразу считаешся нарушителем.
Момент порчи/искажения информации или другое нанесение ущерба носит отягощающий характер, нарушением является уже получение доступа.
К сожалению, нет. 361я не требует наличия исчисляемого ущерба. В данном случае (по мнению законодателя) она защищает право владельцев систем и сетей на неприкосновенность, а не их имущественные права.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Особенности национальной охоты на баги или Bug Bounty по-славянски