Легалізація хакінгу державних сайтів
22:46 18.06.2009Нещодавно я написав статтю про легальність секюріті досліджень та хакінгу, яку опублікував на Web Security Mailing List. І найближчим часом, як я перекладу її з англійської на українську, я опублікую її на сайті.
Так от, Jeremiah опублікував запис Legalize It (Hacking GOV and MIL website), судячи з якого, його явно також зацікавила тема, яку я підняв в своїй вищезгаданій статті. В своєму записи Джеремія розповідає про легалізацію хакінгу державних (.gov та .mil) сайтів.
Як він зазначає, лише на 10% державних сайтів був проведений професіональний аудит безпеки. В Україні, на мій погляд, ситуація з цим ще гірша, про що говорить хоча б той факт, що в першій половині цього року було похакано три українські державні сайти, про що я писав в своїх дослідженнях, а також писав на цю тему в статті Взломи державних сайтів України в 2009.
Так от Джеремія радить створити легальні умови (зокрема в законодавстві), які б дозволяли хорошим хлопцям легально шукати уразливості на державних веб сайтах, без жодних юридичних претензій до них. Про знайдені уразливості вони б повідомляли власників державних сайтів, які б їх виправляли і від цього країна тільки б виграла, бо піднявся рівень безпеки її державних сайтів.
На протязі останніх трьох років я займаюся подібною діяльностю, коли знаходжу уразливості на державних сайтах України і повідомляю про це їх адмінів. Про що я багато різів писав в новинах. Я то не переживаю за свою діяльність 
, а ось секюріті дослідники в тих же США за це переживають (і намагаються не мати справи з gov-сектором у випадку безкоштовної перевірки сайтів). Тому наявність легального механізму для пошуку уразливостей на державних сайтах і повідомлення про них адмінів даних сайтів, може зняти наявні обмеження, що призведе лише до покращення рівня безпеки державних сайтів.
До того ж, легальні секюріті дослідження, це досвід для секюріті професіоналів. Бо жодні синтетичні веб додатки не дадуть того досвіду, як реальні веб сайти та веб додатки.
П'ятниця, 00:10 19.06.2009
на всі 100% з тобою погоджуюся!
таке потрібно запровадити в україні, нам це не помішає
П'ятниця, 01:22 19.06.2009
Так, і в Україні можна подібне запровадити. Сама ідея Джеремії мені сподобалася.
Але як я казав, сам я давно займаюся подібною справою, шукаю дірки на державних сайтах, в тому числі українських державних сайтах, і повідомляю про знайдені дірки власників цих сайтів (про що я чимало писав в новинах), і при цьому не маю жодних юридичних проблем. Навіть деякі адміни державних сайтів (найбільш виховані) спасибі не забули сказати
. Але ця ситуація можлива в Україні, але вона не притаманна для США (де більш жорстке законодавство). Тим не менш, подібна легалізація не завадить і Україні.
Найближчим часом опублікую свою статтю на тему легальності секюріті досліджень в Інтернеті (що зараз опублікована на англійській мові на WASC Mailing List), де я детально висловився на цю тему.