В РФ хотят легализовать поиск уязвимостей в ПО
Цитата:Российские власти намерены легализовать деятельность «белых» хакеров, взламывающих системы по заказу их владельцев с целью поиска уязвимостей. В настоящее время их деятельность в России не упоминается в законодательстве, что повышает их риск попасть под действие уголовного кодекса и лишиться свободы на семь лет.

В России может быть легализована деятельность киберпреступников, пишут «Ведомости» со ссылкой на представителя неназванной российской компании из сферы информационной безопасности. По их словам, в этом направлении в настоящее время работает Минцифры.

Согласно предоставленной информации, министерство прорабатывает возможности введения понятия bug bounty в правовое поле. Это общее название программ вознаграждения хакеров за поиск уязвимостей. Другими словами, власти работают над легализацией лишь так называемых «белых» хакеров – другие представители компьютерного андеграунда, взламывающие ПК и сети ради собственной выгоды, в обозримом будущем из-под действия УК РФ выводиться не будут.

«Белые» или «этичные» хакеры – это кибервзломщики, использующие свое мастерство во благо. Они помогают разработчикам искать бреши в их продуктах, но отнюдь не на бесплатной основе. Символом этого движения является белая шляпа, откуда и пошло название «белые хакеры».

К моменту выхода материала представители Минцифры не подтверждали и не опровергали информацию о новой инициативе. Со слов источников издания, власти хотят «легитимизировать рынок». Связано это с тем, что понятие bug bounty не фигирует в действующем российском законодательстве, то есть белые хакеры могут в любой момент протестировать на себе качество исполнения в России наказаний, предусмотренных уголовным кодексом.

Подробнее
Ответ
(18.07.2022 09:Jul)doesnm Написал: А что раньше нельзя было взламывать для теста?

Можно. А потом штраф или срок.
Ответ
Вообще, слово «хакер» очернили. Это не взлом, тем более не взлом чужого, и тем более не для того чтобы навредить.

Вот взять "вирус" на Mac OS X, который "разрушает" десктоп и его куски (иконки, куски панели) перекатываются если наклонить ноутбук. Это демонстрация того, что ребята нашли как воспользоваться гиро в ноутбуке, нашли как аккуратно нарезать иконки с надписями на тайлы… то есть они знали Mac OS X не хуже инженеров/программистов, которые её разрабатывали, смогли продемонстрировать возможности, которые не смогли применить авторы, и… при этом без вреда. Вот это настоящие хакеры. Или демо-сцена: уложить аудиовизуал в несколько килобайт (а иногда даже байт!) на несколько часов — это нужно не только знать как устроена операционная система, но и уметь это грамотно применять. Таких ребят правильно считать хакерами.
Правила форума
[Новичкам] Как правильно задавать вопросы, чтобы Вам помогли

«Буду бить аккуратно, но сильно!» © Лёлик, х/ф «Бриллиантовая рука»
Ответ
(18.07.2022 09:Jul)mord0d Написал: Вообще, слово «хакер» очернили. Это не взлом, тем более не взлом чужого, и тем более не для того чтобы навредить.

Я уже устал об этом твердить, но против журнализдов не попрешь. Для них хакер == взломщик.
Ответ
Проблема в том, что ранее - не нужно было доказывать факт вредоносного использования уязвимости, что порождало множество проблем. После принятия законопроекта - если ты нашёл дыру и даже что-то узнал, но не распространял, не ломал и т.п., а просто уведомил хозяев дырки -> тебе ничего не грозит. В идеале. На практике, просто, были случаи (опять же из-за дураков-менеджеров), когда кто-то сообщал об уязвимости, а его потом пытались засудить, даже если этот кто-то просто хотел либо попасть в баг баунти, либо просто по доброте душевной сообщал "а у вас ширинка расстегнулась".
Ответ
(18.07.2022 07:Jul)Zhbert Написал: законодательстве, что повышает их риск попасть под действие уголовного кодекса и лишиться свободы на семь лет.

Зря давать такие привилегии пользователям. Эта деятельность всегда была сомнительной, поэтому ее запретили. Если в руках ребёнка компьютер - это интересная игрушка, то в руках психа, он уже -- оружие. Дабы направить глубокие познания и профессиональные способности в нужное русло, я призываю всех перейти с информационных технологий на бумажную литературу. Хотя с другой стороны, можно устроить тестирование на психические отклонения перед использованием такого рода технологий. Тем не менее, все эти способности - страшная сила, не зависимо от того, какого цвета у вас шляпа. А как нам известно из прошлого обсуждения: нет силы - нет и проблем. = )
Ответ
Ну, во всяком случае, это не многое меняет. Зато запрещает вести себя плохо недобросовестным организациям, которые объявляют баг-баунти, а потом за эти баги угрожают уголовным преследованием, чтобы не платить за уязвимости.
Ответ
(18.07.2022 10:Jul)Clockwork Написал:
(18.07.2022 07:Jul)Zhbert Написал: законодательстве, что повышает их риск попасть под действие уголовного кодекса и лишиться свободы на семь лет.

Зря давать такие привилегии пользователям. Эта деятельность всегда была сомнительной, поэтому ее запретили. Если в руках ребёнка компьютер - это интересная игрушка, то в руках психа, он уже -- оружие. Дабы направить глубокие познания и профессиональные способности в нужное русло, я призываю всех перейти с информационных технологий на бумажную литературу. Хотя с другой стороны, можно устроить тестирование на психические отклонения перед использованием такого рода технологий. Тем не менее, все эти способности - страшная сила, не зависимо от того, какого цвета у вас шляпа. А как нам известно из прошлого обсуждения: нет силы - нет и проблем. = )

Ну раньше не важно как ты используешь уязвимость: ты о ней знаешь, значит тебя посадят. Сейчас же это можно будет поставить на профессиональные рельсы — если ты разбираешься в этом, тебя наймут и ты за зарплату будешь пытаться взломать нанимателя. Это правильное начинание. А если ты используешь уязвимость во вред, тебя всё равно посадят. Но зато если ты о ней честно сообщил, тебя не будут таскать по судам (читай пост вульфа выше).
Правила форума
[Новичкам] Как правильно задавать вопросы, чтобы Вам помогли

«Буду бить аккуратно, но сильно!» © Лёлик, х/ф «Бриллиантовая рука»
Ответ
(18.07.2022 10:Jul)Clockwork Написал:
(18.07.2022 07:Jul)Zhbert Написал: законодательстве, что повышает их риск попасть под действие уголовного кодекса и лишиться свободы на семь лет.

Зря давать такие привилегии пользователям. Эта деятельность всегда была сомнительной, поэтому ее запретили. Если в руках ребёнка компьютер - это интересная игрушка, то в руках психа, он уже -- оружие. Дабы направить глубокие познания и профессиональные способности в нужное русло, я призываю всех перейти с информационных технологий на бумажную литературу. Хотя с другой стороны, можно устроить тестирование на психические отклонения перед использованием такого рода технологий. Тем не менее, все эти способности - страшная сила, не зависимо от того, какого цвета у вас шляпа. А как нам известно из прошлого обсуждения: нет силы - нет и проблем. = )

Так всегда были есть и будут различные гики, которые просто сидят ночами с красными глазами и ковыряются с железками.
Ответ
(18.07.2022 10:Jul)Zhbert Написал:
(18.07.2022 09:Jul)mord0d Написал: Вообще, слово «хакер» очернили. Это не взлом, тем более не взлом чужого, и тем более не для того чтобы навредить.

Я уже устал об этом твердить, но против журнализдов не попрешь. Для них хакер == взломщик.

Ну… формально хакер == взломщик, да. Но взлом взлому — рознь! Ты можешь кого-то взломать (ну вот любопытно тебе стало) и сообщить о такой возможности тому кого взломал, или расковырять честно купленную операционную систему и заставить её делать то, что не предусмотрели разработчики. А можешь писать блокировщики-вымогатели, стилеры или просто вредоносы. Формально и те и те — хакеры. Вот только в среде первых вторых совсем не любят. Более того, честные хакеры даже нередко вычисляли похваставшихся нечестных и сами сдавали их полиции. Но случилось так что честные хакеры остались в тени, а нечестные, гордо называя себя хакерами, очернили честных.
Правила форума
[Новичкам] Как правильно задавать вопросы, чтобы Вам помогли

«Буду бить аккуратно, но сильно!» © Лёлик, х/ф «Бриллиантовая рука»
Ответ
(18.07.2022 10:Jul)mord0d Написал: Ну… формально хакер == взломщик, да.

У меня была в детсве книжка, «Компьютер глазами Хакера» называлась, Михаила Фленова. Он там прямо в самом начале поясняет (со ссылками вроде на что-то), что изначальное значение этого слова — хорошо разбирающийся в компьютерных технологиях специалист, способной залезть гораздо глубже, чем обычный пользователь. Потом то же самое нам на учебе говорили, а учился я на 230101, то есть чисто компухтерщик. 

Хакеры — это такие задроты типа нас, я бы сказал так. Которые при желании могут разобрать ОС или программу до байта и собрать обратно. А вот всякие взломщики и скрипт-кидди — это уже вовсе не какеры, но я на 100% уверен, что всякие журналисты под этим словом понимают именно вторых.
Ответ
(18.07.2022 10:Jul)mord0d Написал: Ну раньше не важно как ты используешь уязвимость: ты о ней знаешь, значит тебя посадят. Сейчас же это можно будет поставить на профессиональные рельсы — если ты разбираешься в этом, тебя наймут и ты за зарплату будешь пытаться взломать нанимателя. Это правильное начинание. А если ты используешь уязвимость во вред, тебя всё равно посадят. Но зато если ты о ней честно сообщил, тебя не будут таскать по судам (читай пост вульфа выше).

Между взломать нанимателя "по его просьбе" есть небольшая черта с тем. чтобы его взломать "без его просьбы". Поэтому на меня, пушистого маминого взломщика, взваливается не только ответственность, но и подозрения на любой негативный результат в его работе. Причем как на время работы, так и после его увольнения.

Ну и если я использую уязвимость во вред, будучи грамотным профессионалом в этом вопросе, как я позволю, чтобы меня еще и посадили?
Ответ
(18.07.2022 10:Jul)lonelywoolf Написал: Ну то есть оказались перепутаны понятия "Hack" и "Crack". Подгрузить сюда библию Хэкера, чтоли для истории...

Крякеры, точно!



(18.07.2022 10:Jul)Clockwork Написал: Ну и если я использую уязвимость во вред, будучи грамотным профессионалом в этом вопросе, как я позволю чтобы меня еще и посадили?

Сообщишь, например, работодателю, что нашел дырку Smile
Ответ
(18.07.2022 10:Jul)Clockwork Написал: как я позволю, чтобы меня еще и посадили?
Ой, здесь профакапиться можно много где. Профессионалов тоже периодически отлавливают - другое дело, что долго, нудно...
Ответ
(18.07.2022 11:Jul)lonelywoolf Написал:
(18.07.2022 10:Jul)Clockwork Написал: как я позволю, чтобы меня еще и посадили?
Ой, здесь профакапиться можно много где. Профессионалов тоже периодически отлавливают - другое дело, что долго, нудно...

Я бы даже согласился.

Осталось только придумать зачем нужны профессионалы, которые могут много где "профакапиться".
Ответ
Я не сказал "могут", я сказал "можно". И таки да, профессионал - это не значит, что неуловимый. Жизнь слегка сложнее и разнообразнее..
Ответ
(18.07.2022 10:Jul)lonelywoolf Написал: Ну то есть оказались перепутаны понятия "Hack" и "Crack".
Именно так.

(18.07.2022 10:Jul)lonelywoolf Написал: Подгрузить сюда библию Хэкера, чтоли для истории...
Почему бы и да?





(18.07.2022 10:Jul)Zhbert Написал: Хакеры — это такие задроты типа нас, я бы сказал так. Которые при желании могут разобрать ОС или программу до байта и собрать обратно. А вот всякие взломщики и скрипт-кидди — это уже вовсе не какеры
Ну не обязательно до байта, но да. Причём хакер чаще всего специализируется в какой-то отдельной области, и он в ней разбирается действительно хорошо.

Вторые формально тоже хакеры (чтобы написать зловред нужно понимать как работает система).

(18.07.2022 10:Jul)Zhbert Написал: но я на 100% уверен, что всякие журналисты под этим словом понимают именно вторых.
Так и есть.





(18.07.2022 10:Jul)Clockwork Написал: как я позволю, чтобы меня еще и посадили?
Ничего не делается бесследно, любое действие (и бездействие) оставляет следы. Одни всегда на виду, другие придётся искать, но если задаться целью, их несложно найти.
Правила форума
[Новичкам] Как правильно задавать вопросы, чтобы Вам помогли

«Буду бить аккуратно, но сильно!» © Лёлик, х/ф «Бриллиантовая рука»
Ответ
(18.07.2022 13:Jul)mord0d Написал:
(18.07.2022 10:Jul)Clockwork Написал: как я позволю, чтобы меня еще и посадили?
Ничего не делается бесследно, любое действие (и бездействие) оставляет следы. Одни всегда на виду, другие придётся искать, но если задаться целью, их несложно найти.

Тогда я повторюсь, зачем нужны хакеры, следы которых несложно найти?
Ответ
(18.07.2022 13:Jul)Clockwork Написал: зачем нужны хакеры, следы которых несложно найти?
"Не сложно" и "возможно" понятия немножко вдоль. Информация никуда не исчезает - это впринципе так устроено, вселенная такая. Другой момент, что идеальных исполнителей нет. Кроме того, системы защиты бывают разными, очень разными. И то, что кто-то там сидит через три прокси в условном Зимбабве - не панацея. Нет ни одного человека, который бы ни разу не ошибся. Понятно, что ловят далеко не всех, здесь всё очень-очень специфично.
Ответ
(18.07.2022 13:Jul)Clockwork Написал: Тогда я повторюсь, зачем нужны хакеры, следы которых несложно найти?

Но ведь ты же понимаешь, что всегда есть так называемые человеческий фактор?
Ответ
(18.07.2022 14:Jul)Zhbert Написал: Но ведь ты же понимаешь, что всегда есть так называемые человеческий фактор?

Это не отменяет того факта, что хакеры ненужны!

А вот волчок верно подметил, что отлавливают всех, не зависимо от профессионализма.
Ответ
(18.07.2022 15:Jul)Clockwork Написал: Это не отменяет того факта, что хакеры ненужны!

Весь состав Bell Labs, благодаря которым им имеет UNIX, был именно что «хакерами».
Ответ