Хакінг веб сайтів, секюріті дослідження, оприлюднення та законодавство
Зміст.
1. Передмова.
2. Знаходження уразливостей.
3. Хакінг веб сайтів.
4. Оприлюднення уразливостей.
5. Приклади законів даної тематики.
6. Рекомендації по легальним секюріті дослідженням.
7. Інші цікаві аспекти веб безпеки та законодавства.
1. Передмова.
Я розумію позицію RSnake (яку він висловив в своїй статті “Hacking Without All the Jailtime”), Stephan Wehner, Thrynn та Steven M. Christey (яку вони висловили під час дискусії в The Web Security Mailing List) стосовно нюансів пов’язаних з легальністю знаходження уразливостей та їх оприлюднення, але не повнісю згоден з ними. Я важаю, що згадані випадки є рідкими і в основному подібні дії не є нелегальними. Так що в більшості випадків знаходження уразливостей на веб сайтах та їх оприлюднення є легальними і я напишу про це детально.
В даній статті я спробую відповісти на багато запитань стосовно легальності різних аспектів секюріті досліджень в Інтернете (знаходження уразливостей на веб сайтах, оприлюднення уразливостей та хакінг веб сайтів) і покажу вам повну картину поточної ситуації з секюріті-орієнтованами законами в нашому світі. Я сподіваюся вона буде корисною для секюріті спільноти та для тих людей, хто працює над законодавством.
Спочатку декілька слів про статтю “The Chilling Effect”, яка торкається даної теми.
В статті був лише згаданий один випадок Dr. Meunier (та його студента), коли знаходження уразливості та її оприлюдення привело до проблем з законом. Автор статті в основному акцентує увагу на даному випадку. Також були згадані випадки хакерьских інцедентів, коли люди не просто знаходили ураливості, але використовували їх для взому і були спіймані (зокрема McCarty, який взломав Університет Південної Каліфорнії, був визнаний винним в неавторизованому доступі). Тому перед тим як казати про нелегальність знаходження уразливостей та їх оприлюднення, спочатку вам потрібно більше випадків.
Також в статті є цікаве речення: “No one knows for sure yet if it is, but how the law develops will determine whether vulnerability research will get back on track or devolve into the unorganized bazaar” (”Ніхто не знає напевно чи це так, але від того як буде розроблятися закон залежить чи дослідження уразливостей стане розвиватися, чи перетвориться на неорганізований базар”). Люди, спочатку будьте впевнені (тобто зробіть чіткий закон), а тоді кажіть, що це легально чи нелегально (не треба поширювати цей страх в секюріті спільноті).
2. Знаходження уразливостей.
Чи знаходження уразливостей на веб сайтах (чи інші секюріті дослідження, що пов’язані з сайтами в Інтернеті) нелегальні або легальні, це повністю залежить від законодавства країни дослідника. Що означає, що людина, яка зробила секюріті дослідження, може бути признана винною лише якщо його робота підпадає під законодавство його країни (тобто законодавства інших країн не можуть бути застосовані до даної людини). Це відноситься як до знаходження уразливостей, так і до хакінга веб сайтів (про хакінг я розповім далі в статті).
Так що якщо дослідник знайшов уразливість на сайті і по закону власника сайта він порушив закон, але по закону його країни він не порушив закон, то він не є винним. Тому що закони деякої країни застосовуються на жителів даної країни та тих, хто знаходиться в даній країні, але тому що дослідник знаходиться в своїй власній країні, закони інших країн на нього не розповсюджуються. Так що досліднику варто взяти до уваги цю ситуацію, щоб не знаходитися в тій країні, що має подібне законодавство, де знаходиться сайт (сервер сайта), який він перевіряє.
Також є ще один аспект інтернаціональних відносин в сфері секюріті досліджень і кіберзлочинності. Якщо людина з одної країни зробила деяку дію (знаходження уразливості чи хак веб сайту), що порушила закон іншої країни, і ця дія призвела до великих збитків, і друга країна хоче піймати цю людину, вони можуть попросити першу країну про екстрадицію (тільки у випадку, якщо є відповідний договір між цими країнами). Це можливе лише у серйозних випадках, як серйозні взломи веб сайті (як у випадку Gary McKinnon, який взломав численні комп’ютерні мережі США, в тому числі мережу Пентагону), але не у випадку секюріті досліджень, таких як знаходження уразливостей на сайтах.
Також є географічний аспект. Навіть якщо людина з однієї країни (де ці дії є нелегальними по закону) зробила секюріті орієнтовані дії на сайті в іншій країні (де ці дії є нелегальними по закону), тоді він може бути невинним, тому що закон іншої країни відноситься тільки до громадян тієї країни (і людей що знаходяться в тій країні) і закон може застосовуватися лише до сайтів тієї країни. В свою чергу закони першої країни, громадянином якої є дана людина (чи де він знаходиться), можуть відноситися лише до сайтів цієї країни, тому роблячи дії (навіть нелегальні) проти сайтів іншої країни він не стає винним. Так, власник веб сайта, що отримав дії від даної людини, може спробувати довести його вину (у випадку коли в обох країнах дані дії є незаконними), але це буде важко зробити. І як я згадав раніше, тільки в серйозних випадках, таких як серйозні взломи веб сайтів (як у випадку Gary McKinnon) це буде можливо, і в даному випадку не тільки екстрадиція може бути застосована, але також судовий процес в рідний країні даної людини.
Люди часто забувають (або не знають) про ці аспекти. І тому іноді люди говорять мені, що я порушую закон якоїсь іншої країни (наприклад, закон США) при знаходженні і оприлюднені дірок. Як у випадку коментарів до мого анонсу проекту Month of Search Engines Bugs.
Ці люди повинні зрозуміти, що мене не турбують закони США і я не повинен враховувати їх. Тому що я громадянин України і я знаходжуся в законодавчому полі своєї власної країни (тому обмеження законів інших держав до розповсюджуються на мене). Люди повинні поважати закони своїх власних країн (або країн де вони знаходяться). В даному випадку я говорю про хороших хлопців та дівчат, бо погані хлопці взагалі не поважають жодних законів.
При цьому маємо два наслідки:
1. Для секюріті дослідників (хакерів).
Використовуючи ці аспекти законодавства хороші хлопці можуть робити їхні секюріті дослідження без переживань і без жодних законодавчих проблем до них. Лише дотримуйтесь законів вашої країни і не хакайте Пентагон, і все буде добре.
2. Для поганих хлопців (злочинців).
Використовуючи ці аспекти законодавства погані хлопці можуть робити погані речі (наприклад, взломи веб сайтів для зловмисних цілей) без жодного страху перед законом. Дана ситуація призводить до проблем в області кіберзлочинності (й Інтернет спільнота постійно має справу з подібними випадками). Тому законодавцям потрібно покращувати міжнародне законодавство в цій сфері, але тільки в контексті кіберзлочинності, не в контексті секюріті досліджень (знаходження уразливостей та їх оприлюднення має залишатися легальним).
Завжди є хороша і погана сторони медалі.
3. Хакінг веб сайтів.
Хакінг веб сайтів може призвести до збитків (в більшості випадків), тому він буде визнаним нелегальним у всіх країнах які мають відповідне законодавство. Подібне є в Україні, США та інших країнах.
Тільки зауважу, що не тільки поганий хакінг веб сайтів існує, але також і хороший. Який я називаю добрий хак. Коли ніякої шкоди сайту не наноситься, так що він не підпадає під закон. Наприклад, іноді я хакаю сайти, адміни яких повністю ігнорують попередження (про уразливості), і роблю новини на цих сайтах, де я пишу про дірки в цих сайтах (чи у веб додатках). Це приклад доброго хака (який я почав використовувати з початку 2005) і він призначений для інформування адмінів, розробників та користувачів (та відвідувачів) цих сайтів чи веб додатків про небезпеки уразливостей в них.
Є багато інших варіантів доброго хаку (які я використовую), але всі вони нешкідливі, не роблять жодних збитків, і тому легальні по замислу. Але законодавство може не зрозуміти цієї різниці між добрим і поганим хаком. Я називаю це недостатністю законодавства. Тому кожен хто вирішить похакати який-небудь сайт (з добрими намірами) повинен бути обережним і вивчити законодавство (в цій сфері) своєї країни та взяти його до уваги.
При взлому веб сайтів маємо ту саму ситуацію, як при знаходженні уразливостей (про що я написав детально вище).
1) Людина, що зробила взлом веб сайту може бути визнана винною тільки якщо її робота підпадає під законодавство її країни (тобто законодавства інших країн не можуть бути застосовані до даної людини).
2) Аспект міжнародних відносин (екстрадиція).
3) Географічний аспект (важко визнати винною людину з іншої країни).
При цьому маємо наслідки подібні до вищезгаданих стосовно знаходження уразливостей:
Хороші хлопці можуть взламувати сайти, що розміщені в інших країнах, з добрими намірами (тобто добрий хак) без жодних (в більшості випадків) легальних наслідків. Погані хлопці можуть робити все, що вони захочуть також майже без жодних легальних наслідків (буде важко піймати їх і буде важко визнати їх винними).
Ось один приклад з реального життя: турецькі хакери, які взламують українські сайти.
В моїх дослідження хакерської активності в Уанеті (які я роблю з 2006 і публікую звіти), я пишу про всі атаки на веб сайти (взломи і DDoS) які я знаходжу в українській частині Інтернету. В 2008 була 151 атака (в основному взломи), як ви можете побачити з моєї статті з графіками за 2006-2008, і багато сайтів було взломано за 5 місяців 2009. Більшість українських сайтів в 2008 і за 5 місяців 2009 були взломані турецькими хакерами.
Український уряд нічого не робить з цього приводу (їм байдуже), спецслужби також нічого не роблять з цього приводу (вони не можуть і/або їм байдуже), а власники веб сайтів в Україні в 99% не слідкують за безпекою (або зовсім, або не слідкують достатньо). Тому веб сайти взламуються (все більше з кожним роком), в тому числі турецькими хакерами. Зі своєї сторони Туреччина також нічого не робить з цього приводу.
Тут я повинен зауважити, що коли Туреччина деякий час тому заарештувала українського хакера Максима Ястремського вони засудили його (це було в березні 2009), а коли справа торкається їхніх власних хакерів, то вони просто ігнорують існування проблеми і дозволяють їм робити їхні атаки на українські сайти (що несерйозно). Тому, як ви бачите, існують проблеми з визнанням винними і навіть з пійманням поганих хлопців, коли вони з іншої країни (і навіть деякі країни можуть потурати поганим хлопцям в їхніх справах).
4. Оприлюднення уразливостей.
Оприлюднення уразливостей на веб сайтах (як і у веб додатках) не є злочином, навіть якщо по закону даної країни знаходження уразливостей є нелегальним. Тому що оприлюднення це не те саме, що знаходження уразливостей (і ці дії можуть бути зроблені різними людьми). І я не чув про жодну країну, де саме оприлюднення було б нелегальним.
Тому секюріті дослідник може оприлюднювати уразливості знайдені іншими людьми без жодних хвилювань з цього приводу. І якщо в його країні знаходження уразливостей є легальним, то він може оприлюднювати його власні уразливості, тобто він може знаходити і оприлюднювати уразливості на веб сайтах.
У випадку якщо оприлюднення уразливостей є нелегальним у вашій країні і ви все рівно хочете оприлюднити деяку уразливість знайдену на деякому веб сайті (щоб покращити його безпеку), то ви можете використати захисні техніки, що я описав в розділі 6 даної статті (дивитися рекомендації 5.2.1 - 5.2.4 по знаходженню уразливостей на веб сайтах).
Існують наступні варіанти оприлюднення: responsible disclosure (відповідальне оприлюднення), full disclosure (повне оприлюднення) та advanced responsible disclosure (просунуте відповідальне оприлюднення). Існують також інші модифікації responsible disclosure (подібні до мого advanced responsible disclosure), один з яких був згаданий в статті “The Chilling Effect”, про яку я розповідав раніше.
Responsible disclosure (відповідальне оприлюднення) - це таке оприлюднення, де жодні деталі не робляться публічними (деталі уразливостей приватно повідомляються розробнику чи власнику сайта). Даний тип оприлюднення часто використовується для настільного програмного забезпечення та веб додатків, і також може бути використаний для веб сайтів (але, як показує мій досвід, він не підходить для веб сайтів).
Full disclosure (повне оприлюднення) - це таке оприлюднення, коли всі деталі робляться публічними. Даний тип оприлюднення часто використовується для настільного програмного забезпечення та веб додатків, і також може бути використаними для веб сайтів (і в останні роки воно є дуже популярним при оприлюдненні уразливостей на веб сайтах). Я рекомендую використовувати його не для всіх веб сайтів (веб додатків), але тільки для тих, власники (розробники) яких тривалий час ігнорують повідомлення про дірки на їхніх веб сайтах (веб додатках).
Є також цікава версія full disclosure (яку я використовую і з кожним роком я використовую її все більше) - responsible full disclosure (це суміш перших двох типів оприлюднення). В даному випадку всі деталі робляться публічними, але після цього дані деталі також надсилаються власнику веб сайта (розробнику веб додатку). На відміну від стандартного full disclosure, де всі деталі робляться публічними без інформування власника веб сайта (розробника веб додатка).
Advanced responsible disclosure (просунуте відповідальне оприлюднення) - це моя версія оприлюднення, яка поєднує всі переваги responsible disclosure і full disclosure. Я створив її 18 липня 2006, коли відкрив мій веб сайт. Концепція advanced responsible disclosure (який я використовую вже майже три роки з часу створення) полягає в наступному:
1) Спочатку я роблю анонс на моєму веб сайті про уразливість на веб сайті (веб додатку) без деталей.
2) Потім я посилаю листа з деталями власнику веб сайта (розробнику веб додатка) і даю йому деякий час для виправлення.
3) Після закінчення часу, я оприлюднюю всі деталі уразливості в записі на моєму сайті (під анонсом).
4) Я завжди даю достатньо часу для виправлення, але якщо для розробника часу недостатньо і він просить про додатковий час, тоді я дам йому додатковий час, щоб дозволити йому виправити уразливість перед оприлюдненням.
5) Анонс та час для виправлення (перед оприлюдненням деталей) є стимулами для власників веб сайтів (розробників веб додатків) для виправлення дірок. Це головна причина, чому я створив даний тип оприлюднення.
Після того як я почав працювати в сфері веб безпеки в 2005 і почав інформувати власників веб сайтів про дірки на їхніх сайтах, я виявив, що responsible disclosure не працює. В зв’язку з ігноруванням (чи не подякують і не виправлять, чи подякують, але не виправлять, бо їм байдуже) власниками веб сайтів. Вони не слідкують за безпекою їхніх сайтів і якщо ви скажете їм про дірки використовуючи відповідальне оприлюднення, вони продовжать робити те саме (продовжать ламерити). На початку 2006 я бачив ту саму ситуацію і я вирішив, що потрібен інший метод оприлюднення (який буде використовувати сайт для розміщення публічних оприлюднень, щоб зробити стимули для власників сайтів виправляти дірки). І після того як я відкрив мій сайт 18 липня 2006 року, я почав використовувати цей новий метод оприлюднення уразливостей на веб сайтах. Ось так народився advanced responsible disclosure. І я назвав дану роботу по знаходженню уразливостей на веб сайтах та інформуванню їхніх адмінів як соціальний секюріті аудит.
Чи він працює? Ця стаття не про соціальний секюріті аудит та advanced responsible disclosure (окрема стаття про них потрібна і я запланував зробити подібну статтю ще в 2006, а також іншу статтю про їхні соціальні аспекти), так що я не буду багато розповідати про це. Тільки скажу, що це працює, не завжди, але все ж працює. Є деякі позитивні ефекти моєї роботи, на яку я витратив чимало часу з середини 2006 (і також деякий час з початку 2005 і до середини 2006).
Так що є сенс в advanced responsible disclosure і я рекомендую використовувати його при оприлюдненні дірок на веб сайтах та у веб додатках. І у випадку коли адмін веб сайту (розробник веб додатку) дуже ламерить, тоді responsible full disclosure може бути використаний, про який я розповідав раніше (або у випадку, якщо уразливість дуже маленька). Стандартний full disclosure краще використовувати тільки в рідких і тяжких випадках.
5. Приклади законів даної тематики.
Давайте подивимося на українські та американські комп’ютерно-орієнтовані закони. Закони (комп’ютерно-орієнтовані) інших країн можуть бути схожими на дані.
В українському кримінальному кодексі є стаття 361, яка описує злочини по даній темі. Дана стаття та інші статті кримінального кодексу про комп’ютерні злочини ви можете знайти на веб сайті.
Стаття 361. Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку
Я не буду перекладати весь текст статті, лише скажу, що головний її сенс полягає в тому, що тільки таке несанкціоноване втручання є злочином, коли є збитки (перелік таких збитків наданий в даній статті, такі як витік інформації, втрата інформації та інші). І тому, що знаходження уразливостей та їх оприлюднення не призведуть до збитків сайту (чи серверу), тому це не є злочином, так що ці дії легальні.
Що стосовно законів в США. Ось цитата з повідомлення Thrynn.
The truth is, several states have laws that make it illegal to perform certain acts on computers, programs or network that you do not own. For example, in Georgia, USA (as found by this interesting resource: http://www.irongeek.com/i.php?page=computerlaws/state-hacking-laws):
По-перше, стосовно даного абзацу. Закон про “Altering, damaging…” є тільки в Джорджія, США (як повідомляється на даному ресурсі), так що це тільки один штат з подібним законом (можливо є й інші подібні закони в інших штатах - на даному ресурсі наводиться чимало законів). І ще більш важливо, що в США немає загального (міжштатного) комп’ютерно-орієнтованого законодавства і як сказав Thrynn, тільки деякі штати мають подібні закони.
Ця ситуація веде до таких випадків, коли взлом сайту (чи інша секюріті-орієнтована діяльність в Інтернеті) буде злочином в одному штаті, але не буде в іншому штаті. Так що люди можуть поїхати в інший штат, де ці дії легальні, і зробити їх там . Що робить регіональний аспект (про який я розповідав раніше) застосовуваним тільки для США (внутрішній регіональний аспект). Це як Abuse of Functionality дірка в законі (закони також мають дірки).
Так що краще мати подібні закони в усіх штатах США і я рекомендую мати загальне (міжштатне) комп’ютерно-орієнтоване законодавство (єдине для всієї країни).
А тепер про конкретний закон США (штату Джорджія).
(3) Altering, damaging, or in any way causing the malfunction of a computer, computer network, or computer program, regardless of how long the alteration, damage, or malfunction persists shall be guilty of the crime of computer trespass.
Ключові слова даного закону наступні: модифікація (altering), пошкодження (damaging), порушення роботи (malfunction). Якщо ви не будете робити даних дій під час ваших секюріті досліджень, тоді ви не будете винними. Так що не робіть цих речей і ваші дії будуть легальними.
Тому що знаходження уразливостей (в більшості випадків, не потрібно робити DoS атаки, зокрема через SQL Injection) і їх оприлюднення не зроблять жодних модифікацій, пошкоджень, порушень роботи, тому ці дії є виключно легальними. Наприклад, XSS (зокрема reflected) не зробить таких речей, він тільки зробить деякі дії в браузері дослідника (як показ вікна повідомлення), так що це буде легальною дією.
6. Рекомендації по легальним секюріті дослідженням.
Дані рекомендації можуть бути корисними для секюріті дослідників.
Перед проведення секюріті досліджень (таких як знаходження уразливостей на веб сайтах та їх оприлюднення), щоб бути впевненими, що ви працюєте в легальному полі, вам потрібно дотримуватися даних рекомендацій.
1) Ви завжди можете перевірити безпеку ваших власних веб сайтів (веб додатків)
2) Вивчіть комп’ютерно-орієнтовані закони вашої країни.
3) Прочитайте дану мою статтю, щоб знати про всі аспекти даної теми.
4) Якщо ви повністю впевнені, що ваші дії є легальними тоді зробіть їх (наприклад, знайдіть уразливість на веб сайті та оприлюдніть її).
5) Якщо ви не впевнені повністю (або бачите, що це нелегально) ви можете зробити наступне:
5.1) Не робіть цих дій і краще підіть перевірте безпеку ваших власних веб сайтів (веб додатків).
5.2) Якщо ви все ж бажаєте перевірити даний веб сайт (веб додаток), тобто хочете допомогти адміну з його безпекою, тоді:
5.2.1) Ви можете використати проксі для зменшення можливості вашого знайдення та піймання.
5.2.2) Ви можете використати псевдонім для приховання своєї особистості (для зменшення можливості вашого знайдення та піймання).
5.2.3) Ви можете використати анонімну емайл адресу для зв’язку з адміном веб сайта.
5.2.4) Краще використовуйте разом проксі, псевдонім та анонімний ємайл.
5.2.5) Ви також можете використовувати “тихий підхід”: знайдіть уразливість і йдіть далі (без контактування з адміном і/або оприлюднення уразливості). Коли ніхто не буде знати про ваші дії (дуже мирні), тоді ніхто вам нічого не скаже (особливо пре легальні аспекти). Зокрема даний підхід може бути використаним коли ви лише хочете перевірити ваші навички.
5.3) Також не забувайте про движки. Якщо ви знайшли, що деякий сайт використовує деякий движок, ви можете встановити даний движок на localhost і знайти уразливості там. І дані дірки дуже вірогідно будуть на даному конкретному сайті. Після чого ви можете повідомити адміну сайта, що ви знайшли дірки в движку, який він використовує на його сайті.
6) Зазначу, що оприлюднення уразливостей на веб сайтах не є злочином, навіть якщо в даній країні знаходження уразливостей є нелегальним. Так що якщо ви лише оприлюднюєте уразливість знайдену іншою людиною, тоді вам не варто хвилюватися про це.
У випадку якщо ви вирішили похакати деякий сайт (тільки добрий хак, про який я писав раніше), вам потрібно дотримуватися даних рекомендацій.
1) Ви завжди можете похакати ваші власні сайти.
2) Прочитайте дану мою статтю, щоб знати про всі аспекти даної теми.
3) Якщо ви все ж хочете похакати деякий сайт, тобто хочете допомогти адміну з його безпекою, тоді:
3.1) Краще хакайте закордонні веб сайти (не з вашої країни).
3.2) Ви можете використати проксі для зменшення можливості вашого знайдення та піймання.
3.3) Ви можете використати псевдонім для приховання своєї особистості (для зменшення можливості вашого знайдення та піймання).
3.4) Краще використовуйте разом проксі та псевдонім (особливо якщо ви хакаєте веб сайт з вашої країни).
3.5) Ви також можете використовувати “тихий підхід”: взломайте сайт (наприклад зайдіть в адмінській акаунт) і йдіть далі (без залишання жодних ознак взлому). Коли ніхто не буде знати про ваші дії (дуже мирні), тоді ніхто вам нічого не скаже (особливо пре легальні аспекти). Зокрема даний підхід може бути використаним коли ви лише хочете перевірити ваші навички.
7. Інші цікаві аспекти веб безпеки та законодавства.
Є цікаві аспекти про безпеку секюріті сканерів та пошукових систем пов’язаних з відповідністю з законодавством.
Існують різні секюріті сканери, декстопні та онлайнові, які використовуються для перевірки безпеки веб сайтів. І як використання цих сканерів співвідноситься з законодавством? Коли ви скануєте ваш власний сайт, чи сайт на сканування якого ви маєте дозвіл, тоді немає жодних проблем. Але коли ви скануєте не ваш власний веб сайт на сканування якого ви не маєте дозволу, тоді це може бути нелегальним, якщо є відповідний закон у вашій країні.
І навіть використання секюріті сканерів може призвести до реальних атак на сайт, таких як Insufficient Anti-automation та DoS атак, коли сканер зробить багато подібних дій. Це може призвести до великої кількості автоматичних запитів які створять такі проблеми для сайта, як спам чи навіть DoS (в зв’язку зі споживанням ресурсів сервера).
Я маю власний досвід, коли веселі персонажі використовували веселі секюріті сканери (я це знаю зі слідів сканерів) щоб перевірити безпеку моїх сайтів (потенційно щоб знайти дірки для подальших атак). Я сам роблю аудит безпеки моїх сайтів, тому ці хлопці не можуть нічого знайти, але вони заважають мені подібними ламерськими діями (через ламерську поведінку сканерів). Тому що ці дії сильно засмічують мої логи (в тому числі секюріті орієнтовані логи), а також роблять багато спама в тих формах, де не використовується капча (на деяких сайтах я не використовую капчу - це відома поведінка даних сайтів). Також не забувайте про завантаження сервера в зв’язку з цими ламерськими сканувальними діями. З цих причин, навіть якщо законодавство не є суровим, і саме сканування не заборонене в даній країні, але в зв’язку з нанесенням збитків веб сайту (серверу) даними діями, вони є нелегальними (це відноситься до законів які я навів в частині 5 даної статті).
І ось тут є питання. Чи ви чули яку-небудь жалобу стосовно нелегальності секюріті сканерів? Я таких не чув, але вже на протязі багатьох років є незадоволення стосовно знаходження уразливостей (та їх оприлюднення), що вони є нелегальними (я говорю про секюріті дослідження без використання жодних секюріті сканерів). І як ви можете побачити з того, що я навів вище, секюріті сканери можуть бути використані для нелегальних цілей (ламерами чи поганими хлопцями). Так що подумайте про це.
Іншим цікавим випадком є пошукові системи. Які можуть знайти шкідливе програмне забезпечення (malware) на веб сайтах.
Є декілька таких пошуковців: Google, Yahoo та Yandex (з травня він також показує інфікований статус сайтів на сторінці результатів). І в контексті жорсткого законодавства, де знаходження уразливостей є нелегальним, дії цих пошуковців можуть також бути нелегальними, тому що якщо вони шукають malware, тоді вони опосередковано шукають дірки (тому що malware було розміщене після взлому веб сайта в зв’язку з дірками в ньому). Так що дані пошукові системи роблять нелегальні дії у випадку подібного жорсткого законодавства.
Окрім того, навіть для не жорсткого законодавства, враховуючи витік інформації та нанесення шкоди, дані пошукові системи створюють витік інформації (про приватний статус даних сайтів, що вони мають віруси - це їхня приватна інформація). А також вони наносять шкоду для сайтів, коли вони блокують доступ до них зі сторінок результатів (сайти втрачають своїх відвідувачів). Так що пошукові системи також роблять багато нелегальних дій . І ви ніколи не чули про жодні жалоби стосовно даних проблем до будь-якої з цих пошукових систем. Так що подумайте про це.
Hacking of web sites, security researches, disclosure and legislation (на англійській мові).