← Инструменты безопасности: о…Легальные пути: CTF, bug bo… →

Ответственность и согласие на тестирование

Знание уязвимостей — это инструмент, и применять его к чужим системам без разрешения нельзя.

Авторизованное тестирование — проверка защищённости системы, на которую получено явное письменное разрешение её владельца. Без такого разрешения это правонарушение.

Главный принцип этого курса: всё, что вы узнали, предназначено для защиты — своих систем или систем, которые вам доверили проверить официально. Тот же навык, применённый к чужой системе без согласия, — это уже преступление, независимо от намерений.

Что говорит закон

В России неправомерные действия с компьютерной информацией наказуемы. Ключевые статьи Уголовного кодекса:

СтатьяО чём
ст. 272 УК РФнеправомерный доступ к компьютерной информации
ст. 273 УК РФсоздание, использование и распространение вредоносных программ
ст. 274 УК РФнарушение правил эксплуатации средств хранения и обработки информации

Это не теория: ответственность реальна, и «я просто учился» или «хотел показать, что у них дыра» не является оправданием. Аналогичные законы есть в большинстве стран.

Согласие — это документ

«Разрешение» — это не устное «да» в чате, а официальный документ: договор на тестирование, программа bug bounty с публичными правилами, рамки (scope) разрешённых целей. Что вне scope — трогать нельзя. Даже найдя уязвимость случайно, не используйте её и не «проверяйте глубже» — сообщите владельцу.

Ответственное раскрытие

Ответственное раскрытие (responsible disclosure) — этичный путь: если вы нашли уязвимость, вы сообщаете о ней владельцу приватно, даёте время на исправление и не публикуете детали до устранения. Это помогает защитить пользователей, а не навредить им.

Как поступать правильно

  • Тестируйте только свои системы или те, где есть письменное разрешение и чёткий scope.
  • Не выходите за рамки разрешённого даже из любопытства.
  • Найдя уязвимость в чужой системе случайно — сообщите владельцу, не эксплуатируйте.
  • Не храните и не распространяйте чужие данные, полученные при тестировании.

Частые заблуждения

  • «Если дыра очевидна, проверить её — не взлом» — взлом; неправомерный доступ есть неправомерный доступ.
  • «Я ничего не испортил, значит, ничего не нарушил» — сам факт доступа уже наказуем.
  • «Меня не найдут» — логи, провайдеры и экспертиза существуют; риск реален.

Итог

  • Применять навыки можно только к своим системам или с письменного разрешения.
  • В РФ ответственность установлена ст. 272-274 УК РФ.
  • Этичный путь при находке — ответственное раскрытие владельцу.
Проверьте себя
1. Можно ли тестировать чужой сайт на уязвимости «в учебных целях» без разрешения?
AДа, если ничего не сломать
BНет, это неправомерный доступ и наказуемо по закону
CДа, если найдёшь дыру и сообщишь
DДа, если сайт небольшой
2. Какая статья УК РФ касается неправомерного доступа к компьютерной информации?
Aст. 158
Bст. 272
Cст. 105
Dст. 228
3. Что такое ответственное раскрытие (responsible disclosure)?
AПубликация уязвимости сразу всем
BПриватное уведомление владельца с временем на исправление до публикации
CПродажа уязвимости
DЭксплуатация дыры для доказательства