«It seemed that when people entered the computer center they left their ethics at the door»
Donn Parker, «Rules of Ethics in Information Processing», 1968
«Кажется, что, когда люди вошли в компьютерный центр, они оставили свою этику у двери»
Донн Паркер, «Правила этики в обработке информации», 1968
Слабости есть во всем: в наших телах перед вирусами и течением времени, в нашей памяти и разуме. Программное обеспечение, создаваемое нами тоже несовершенно.
В данном материале попробую рассмотреть вопрос этики поиска и исследования уязвимостей.
Вирус Petya/NotPetya/ExPetr в 2017 году был «хорошим» примером насколько крупный бизнес может пострадать от такого рода атаки, например, Maersk оценила ущерб от «Пети»:
“We expect the cyber-attack will impact results negatively by USD 200–300m.”
Мы ожидаем, что кибер-атака негативно повлияет на результаты в размере 200-300 млн долларов США
Вы помните, что в середине 2017 был опубликован Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и этот закон вступил в силу с 1 января 2018 года, а вместе с ним вступили в силу изменения в Уголовный кодекс РФ.
Думаю, вопрос ответственности за нарушение уголовного законодательства РФ является актуальным для тех, чья работа связана с критической информационной инфраструктурой (далее — КИИ).
Внимание: в статье 2 картинки (одну вы видели) и много текста
Некоторое время назад я решил актуализировать свои знания в пентесте (pentest).
Составил план, который включал, как теоретический аспект, так и практический: применение полученных знаний на практике и закрепление их. С теоретической частью было все понятно: книги, курсы и т.д., в интернете масса материалов и ресурсов – читай не хочу.
Практическая часть должна быть в виде пентест лаборатории с блэк-джеком и непотребствами из нескольких машин с различными уязвимостями.