Если багхантер нашел уязвимость у какого-то заказчика, не эксплуатировал ее, то с чего вдруг возникнут претензии со стороны правоохранительных органов? Как они вообще об этом узнают? Заказчик сам заявление напишет? Для чего? Чтобы похоронить свою репутацию и весь рынок багбаунти в России? Звучит не очень разумно. Хотя если взять, как вы выразились, правохоронительные органы, то все может быть, но это уже будет натуральный беспредел, и так можно посадить кого угодно и за что угодно.
Второе. Хоть договора между багхантером и закзачиком нет, но зато есть договор между заказчиком и площадкой багбаунти. Вот там как раз и прописывается и про привлечение исследователей, и про область действия программы и про вознаграждение. Кроме того, заказчик сам, своими руками описывает в программе что, где и как надо ломать. Никаких неустановленных лиц здесь нет. В случае чего, заказчик и площадка сами пойдут как организаторы/подстрекатели (статья 33 УК РФ). И это еще одна причина, почему никто этим заниматься не будет.
Я согласен, что пробелы в правовом поле существуют, и уже вроде как несколько лет пытаются как-то легализовать "белых хакеров". Посмотрим, что из этого выйдет. Но даже в текущий условиях никто не будет сажать легальных багхантеров, действующих в соответствии с правилами программы.
Здесь двоякие чувства возникают. С одной стороны вас понять можно. Но с другой стороны, я сам и миллионы других являются пользователями сервисов Минцифры, например Госуслуг. И я сдавал там достаточно чувствительные вещи, начиная от раскрытия паспортных данных и заканчивая угонами аккаунтов. Можно расценивать это как помощь Минцифре, а можно как предотвращение очередного слива персональных данных и мошенничества.
Вы можете яснее изъясняться? Если нет договора, то за участие в багбаунти надо сажать людей в тюрьму или что? Что сказать то хотели? Продолжайте мысль.
Директор Чжао Тунъян явно никакими единоборствами никогда не занимался. Кто же фронт кик в такой стойке принимает? Нужно было как минимум одну ногу вперед выставить, ну и подсесть на ногах слегка. Тогда бы максимум назад отшагнул и все. А так конечно на 2 метра отлетел))
Пардон, но мне кажется, что мы с вами на разных языках говорим. У вас коммерческий опыт в багхантинге имеется? Сданные отчёты с уязвимостями? Просто хочется понимать, имеете ли вы представление о том как выглядит типичная программа поиска уязвимостей, что такое скоуп, какие бывают ограничения и т.д.
Абстрагируясь от нынешней ситуации, представьте себе такое - программа бб по поиску уязвимостей в форме авторизации на сайте, а вы заходите в систему под дефолтными кредами admin/admin. Угроза - да, безусловно. Должны ли вам выплатить вознаграждение за нахождение бага в форме?
Подтверждается видео, где я в консоли выгружаю конфиг. Можно зайти на устройство, выполнить аналогичную команду и сравнить вывод. Ну и еще есть такая штука как логирование - при желание можно найти все. Но нужно желание.
Товарищ выше ответил совершенно верно. Аттестат соответствия выдается на конкретную конфигурацию и состав технических средств. В технический паспорт записывается все вплоть до серийных номеров устройств. Внесение любых изменений в состав или конфигурацию должны быть согласованы с организацией-лицензиатом ФСТЭК, выдавшей аттестат соответствия. В случае внесения изменений без согласования аттестат аннулируется.
Смысла скрывать ip нет, т.к. для получения выплат багхантер оставляет свои паспортные данные. Кроме этого, ко всем запросам багхантер должен добавлять специальный идентификационный заголовок.
У меня такое же мнение сложилось. Т.к. это была ГИС (государсвтенная информационная система), то она 99% была аттестована согласно требованияем ФСТЭК. Аттестат соответствия говорит о том, что система соответствует требованиям по защите информации. А когда любой может попасть в консоль коммутатора данной ГИС, получается что или подрядчик схалтурил (а это может быть кого надо подрядчик), или это местный админ внес изменения в конфигурацию устройства, а департамент ИБ ни сном, ни духом. В любом случае с кого-то должен быть спрос, но разбирательства никому не нужны. Поэтому идеальное решение - это исправить по-быстрому, а потом сделать вид, что ничего такого не было.
Про ковровые бомбардировки верно подмечено. Меня вчера даже на Хабр без квн не пускало несколько часов.
Всем любителям бесплатных “vpn” и прокси расширений посвящается
Я думаю, что данные могут литься как изнутри, так и снаружи. Но означает ли это то, что внешний периметр защищать не требуется?
Если багхантер нашел уязвимость у какого-то заказчика, не эксплуатировал ее, то с чего вдруг возникнут претензии со стороны правоохранительных органов? Как они вообще об этом узнают? Заказчик сам заявление напишет? Для чего? Чтобы похоронить свою репутацию и весь рынок багбаунти в России? Звучит не очень разумно.
Хотя если взять, как вы выразились, правохоронительные органы, то все может быть, но это уже будет натуральный беспредел, и так можно посадить кого угодно и за что угодно.
Второе. Хоть договора между багхантером и закзачиком нет, но зато есть договор между заказчиком и площадкой багбаунти. Вот там как раз и прописывается и про привлечение исследователей, и про область действия программы и про вознаграждение. Кроме того, заказчик сам, своими руками описывает в программе что, где и как надо ломать. Никаких неустановленных лиц здесь нет. В случае чего, заказчик и площадка сами пойдут как организаторы/подстрекатели (статья 33 УК РФ). И это еще одна причина, почему никто этим заниматься не будет.
Я согласен, что пробелы в правовом поле существуют, и уже вроде как несколько лет пытаются как-то легализовать "белых хакеров". Посмотрим, что из этого выйдет. Но даже в текущий условиях никто не будет сажать легальных багхантеров, действующих в соответствии с правилами программы.
Здесь двоякие чувства возникают. С одной стороны вас понять можно. Но с другой стороны, я сам и миллионы других являются пользователями сервисов Минцифры, например Госуслуг. И я сдавал там достаточно чувствительные вещи, начиная от раскрытия паспортных данных и заканчивая угонами аккаунтов. Можно расценивать это как помощь Минцифре, а можно как предотвращение очередного слива персональных данных и мошенничества.
Вы можете яснее изъясняться? Если нет договора, то за участие в багбаунти надо сажать людей в тюрьму или что? Что сказать то хотели? Продолжайте мысль.
Что именно вас смущает?
При чем здесь недопустимое событие?
Директор Чжао Тунъян явно никакими единоборствами никогда не занимался. Кто же фронт кик в такой стойке принимает? Нужно было как минимум одну ногу вперед выставить, ну и подсесть на ногах слегка. Тогда бы максимум назад отшагнул и все. А так конечно на 2 метра отлетел))
А если оно ещё и картины пишет, точнее изображения генерирует..
Пардон, но мне кажется, что мы с вами на разных языках говорим.
У вас коммерческий опыт в багхантинге имеется? Сданные отчёты с уязвимостями? Просто хочется понимать, имеете ли вы представление о том как выглядит типичная программа поиска уязвимостей, что такое скоуп, какие бывают ограничения и т.д.
А за такое платят. Использование дефолтных кредов это широко известная и распространенная уязвимость.
Умные люди даже соответствующие идентификаторы присвоили:
https://cwe.mitre.org/data/definitions/1392.html
https://cwe.mitre.org/data/definitions/1393.html
Примеры отчетов:
https://hackerone.com/reports/954818
https://hackerone.com/reports/2160178
Абстрагируясь от нынешней ситуации, представьте себе такое - программа бб по поиску уязвимостей в форме авторизации на сайте, а вы заходите в систему под дефолтными кредами admin/admin. Угроза - да, безусловно. Должны ли вам выплатить вознаграждение за нахождение бага в форме?
Ну а как без этого? Все для нашей, так сказать, "безопасности" - для защиты от проводных дронов.
Этот хост еще как минимум полгода был в сети (а может и больше), с этим же закрытым портом 2067. И этот ip, согласно правилам программы, был в скоупе.
Подтверждается видео, где я в консоли выгружаю конфиг. Можно зайти на устройство, выполнить аналогичную команду и сравнить вывод.
Ну и еще есть такая штука как логирование - при желание можно найти все. Но нужно желание.
Товарищ выше ответил совершенно верно. Аттестат соответствия выдается на конкретную конфигурацию и состав технических средств. В технический паспорт записывается все вплоть до серийных номеров устройств. Внесение любых изменений в состав или конфигурацию должны быть согласованы с организацией-лицензиатом ФСТЭК, выдавшей аттестат соответствия.
В случае внесения изменений без согласования аттестат аннулируется.
Смысла скрывать ip нет, т.к. для получения выплат багхантер оставляет свои паспортные данные.
Кроме этого, ко всем запросам багхантер должен добавлять специальный идентификационный заголовок.
Если вкратце, то был настроен VLAN. И еще как-минимум 5 хостов с внутренними ip адресами 172.16.xxx.xxx были подключены к устройству.
У меня такое же мнение сложилось. Т.к. это была ГИС (государсвтенная информационная система), то она 99% была аттестована согласно требованияем ФСТЭК. Аттестат соответствия говорит о том, что система соответствует требованиям по защите информации. А когда любой может попасть в консоль коммутатора данной ГИС, получается что или подрядчик схалтурил (а это может быть кого надо подрядчик), или это местный админ внес изменения в конфигурацию устройства, а департамент ИБ ни сном, ни духом. В любом случае с кого-то должен быть спрос, но разбирательства никому не нужны. Поэтому идеальное решение - это исправить по-быстрому, а потом сделать вид, что ничего такого не было.