информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медСтрашный баг в WindowsГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / law
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Сканер уязвимостей - законность применения 29.05.03 18:28  Число просмотров: 4386
Автор: Fail Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Тут один товарисч из нашей конторы засветился -
> натравил на
> > веб сервер местного банка прогу с именем Nikto.
> Вот эту - http://securitylab.ru/tools/?ID=30165, Nikto 1.23
> c1.04 ?

Ага, ага, она самая

> > Соответсвенно мне, как админу пришло письмо с жалобой
> на
> > "попытки взлома веб сайта". "Прошу предоставить
> подробную
> > информацию...." и т.д. и т.п.
> Какие-либо Факты сканирования были предоставлены или просто
> "Прошу предоставить подробную информацию"?

по моему запросу выслали куски логов апача :-/

> Вообще-то "Закон запрещает несанкционированный доступ к
> информации. Под
> несанкционированным доступом понимается копирование,
> блокирование или
> модификация информации. Сканирование портов ни к чему
> такому не приводит.
> "поиск" уязвимостей сам по себе - то же. Hо, если в

Ну так, говорю же - по крайней мере я сканирование (не это конкретное, а вообще) рассматриваю как подготовку ко взлому.
Как остальные думают?

> Если твой сотрудник сканировал и не вызвал НИКАКИХ
> нарушений в работе сайта банка,

тьфу, тьфу

> > Вот сижу и думаю - что делать? Есть какие то законы,
> > регламентирующие применение сканеров уязвимостей?

Ну так как? Кто нибудь знает прецеденты? А в нашей матушке?

> Так что перечитай ещё раз свой договор с провайдером - нет
> ли в нём пункта, гласящего чего-нибудь типа "В случае
> обнаружения попыток сканирования удалённых серверов
> Исполнитель оставляет за собой право разорвать настоящий
> договор без возмещения какого-либо ущерба."

М-да... не хотел признаваться, но я сам тогось... - провайдер

> > P.S2. По рогам товарисчу - это понятно.
> Эт правильно, особенно за то, что попался-)

Да, кстати, товарисч энтот не провайдер, он по другому направлению.
<law>
Сканер уязвимостей - законность применения 28.05.03 13:52  
Автор: Fail Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Тут один товарисч из нашей конторы засветился - натравил на веб сервер местного банка прогу с именем Nikto. Соответсвенно мне, как админу пришло письмо с жалобой на "попытки взлома веб сайта". "Прошу предоставить подробную информацию...." и т.д. и т.п.
Вот сижу и думаю - что делать? Есть какие то законы, регламентирующие применение сканеров уязвимостей? Ведь сканирование еще не взлом, и даже не попытка, а предвестник возможного взлома... Какие будут мысли?
Всем спасибо.

P.S. Отмолчаться не получится, надо дать официальный ответ.
P.S2. По рогам товарисчу - это понятно.
Сканер уязвимостей - законность применения 28.05.03 20:16  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
> Тут один товарисч из нашей конторы засветился - натравил на
> веб сервер местного банка прогу с именем Nikto.
Вот эту - http://securitylab.ru/tools/?ID=30165, Nikto 1.23 c1.04 ?
"Nikto – perl сканер уязвимостей Web сервера, с поддержкой SSL. Программа включает поддержку прокси, аутентификацию хоста и SSL. Nikto проверяет (и по возможности эксплуатирует) удаленный Web сервер на наличие известных уязвимостей и неправильной конфигурации. "

> Соответсвенно мне, как админу пришло письмо с жалобой на
> "попытки взлома веб сайта". "Прошу предоставить подробную
> информацию...." и т.д. и т.п.
Какие-либо Факты сканирования были предоставлены или просто "Прошу предоставить подробную информацию"?
Вообще-то "Закон запрещает несанкционированный доступ к информации. Под
несанкционированным доступом понимается копирование, блокирование или
модификация информации. Сканирование портов ни к чему такому не приводит.
"поиск" уязвимостей сам по себе - то же. Hо, если в процессе поиска
произошло, например, несанкционированное копирование (например, ты нашел
SNMP-community или подобрав пароль вошел на сервер), то это уже наказуемо."
(с) 3APA3A http://www.security.nnov.ru

Если твой сотрудник сканировал и не вызвал НИКАКИХ нарушений в работе сайта банка, имхо, приноси извинения, сообщи о том, что юзер отключен и т.д. и настучи сотруднику по самое нехочу. Фамилию сотрудника и его домашний адрес называть в письме необязательно-)
Если последствия имели место и админы сайта предоставят доказательства - это уже серьёзней.

> Вот сижу и думаю - что делать? Есть какие то законы,
> регламентирующие применение сканеров уязвимостей? Ведь
> сканирование еще не взлом, и даже не попытка, а предвестник
> возможного взлома... Какие будут мысли?
> Всем спасибо.
Вопрос интересный и обсуждался не раз и не два, глянь хотя-бы архивы RU.NETHACK.
Кроме того создатели Nikto предупреждают:
"Disclaimer : Nikto should not be used against machines you do not own or administer, or have prior permission to run attack tools against. CIRT.net takes no responsibility for any problems related to running Nikto on or against local or remote machines."
http://www.cirt.net/code/nikto.shtml
Аналогичные предупреждения содержатся и во многих других сканерах.

Ну и кроме того существуют "Нормы пользования Сетью" - ofisp-008
http://www.ofisp.org/documents/ofisp-008.html,
о котором 23.09.02 сообщал здесь dl:
http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=59039
Процитирую : "Этот местами спорный и не имеющий формального юридического значения документ, тем не менее, реализовывался путем включения его основных положений в договоры о предоставлении услуг многих российских интернет-провайдеров. Так что нет сомнений, что и новая его редакция не останется забытой Ofisp-008 отличается некоторым уточнением формулировок и расширением ранее озвученных позиций. Так, видимо, отчаявшись доказывать, что сканирование сетей имеет что-то общее с нарушением деятельности сети, авторы внесли запрет сканирования отдельным пунктом 2.4, оговорив, правда, его возможность "в пределах, минимально необходимых для проведения штатных технических мероприятий".
А это тот самый пункт 2.4:
"Не допускается осуществление попыток несанкционированного доступа к ресурсам Сети, проведение сетевых атак и сетевого взлома и участие в них, за исключением случаев, когда атака на сетевой ресурс проводится с явного разрешения владельца или администратора этого ресурса. В том числе запрещены:
<skipped>
2.4. Целенаправленные действия по сканированию узлов сетей с целью выявления внутренней структуры сетей, списков открытых портов и т.п., иначе как в пределах, минимально необходимых для проведения штатных технических мероприятий, не ставящих своей целью нарушение пунктов 2.1 и 2.2 настоящего документа."

Так что перечитай ещё раз свой договор с провайдером - нет ли в нём пункта, гласящего чего-нибудь типа "В случае обнаружения попыток сканирования удалённых серверов Исполнитель оставляет за собой право разорвать настоящий договор без возмещения какого-либо ущерба."

> P.S. Отмолчаться не получится, надо дать официальный ответ.
> P.S2. По рогам товарисчу - это понятно.
Эт правильно, особенно за то, что попался-)
Сканер уязвимостей - законность применения 29.05.03 18:28  
Автор: Fail Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Тут один товарисч из нашей конторы засветился -
> натравил на
> > веб сервер местного банка прогу с именем Nikto.
> Вот эту - http://securitylab.ru/tools/?ID=30165, Nikto 1.23
> c1.04 ?

Ага, ага, она самая

> > Соответсвенно мне, как админу пришло письмо с жалобой
> на
> > "попытки взлома веб сайта". "Прошу предоставить
> подробную
> > информацию...." и т.д. и т.п.
> Какие-либо Факты сканирования были предоставлены или просто
> "Прошу предоставить подробную информацию"?

по моему запросу выслали куски логов апача :-/

> Вообще-то "Закон запрещает несанкционированный доступ к
> информации. Под
> несанкционированным доступом понимается копирование,
> блокирование или
> модификация информации. Сканирование портов ни к чему
> такому не приводит.
> "поиск" уязвимостей сам по себе - то же. Hо, если в

Ну так, говорю же - по крайней мере я сканирование (не это конкретное, а вообще) рассматриваю как подготовку ко взлому.
Как остальные думают?

> Если твой сотрудник сканировал и не вызвал НИКАКИХ
> нарушений в работе сайта банка,

тьфу, тьфу

> > Вот сижу и думаю - что делать? Есть какие то законы,
> > регламентирующие применение сканеров уязвимостей?

Ну так как? Кто нибудь знает прецеденты? А в нашей матушке?

> Так что перечитай ещё раз свой договор с провайдером - нет
> ли в нём пункта, гласящего чего-нибудь типа "В случае
> обнаружения попыток сканирования удалённых серверов
> Исполнитель оставляет за собой право разорвать настоящий
> договор без возмещения какого-либо ущерба."

М-да... не хотел признаваться, но я сам тогось... - провайдер

> > P.S2. По рогам товарисчу - это понятно.
> Эт правильно, особенно за то, что попался-)

Да, кстати, товарисч энтот не провайдер, он по другому направлению.
Сканер уязвимостей - законность применения 30.05.03 00:10  
Автор: JINN <Sergey> Статус: Elderman
Отредактировано 30.05.03 00:13  Количество правок: 1
<"чистая" ссылка>
> > > Соответсвенно мне, как админу пришло письмо с
> жалобой
> > на
> > > "попытки взлома веб сайта". "Прошу предоставить
> > подробную
> > > информацию...." и т.д. и т.п.
> > Какие-либо Факты сканирования были предоставлены или
> просто
> > "Прошу предоставить подробную информацию"?
>
> по моему запросу выслали куски логов апача :-/
Так КАКУЮ именно "подробную информацию" они хотят получить? И на каком основании? В конце концов, можешь отписАться "Дескать, да, я просмотрел и свои логи, было дело, юзер отключен, его аккаунт закрыт."

> Ну так, говорю же - по крайней мере я сканирование (не это
> конкретное, а вообще) рассматриваю как подготовку ко
> взлому.
> Как остальные думают?
Не всегда, но вообщем аналогично-) И в случае обнаружения следов скана тоже отпишусь админу, (как и в случае спама), но настаивать на "дайте все координаты или сами ему паяльник засуньте в }|{.." не стану.

> > Если твой сотрудник сканировал и не вызвал НИКАКИХ
> > нарушений в работе сайта банка,
> тьфу, тьфу
В таком случае можно не переживать.

> > > Вот сижу и думаю - что делать? Есть какие то
> законы,
> > > регламентирующие применение сканеров уязвимостей?
Естественно нет - нет такой статьи в УК. Ущерба тоже нет. Помнится, когда-то прозвучал подобный пример "Запрещает ли УК ходить по подъезду и смотреть на двери квартир?"

> Ну так как? Кто нибудь знает прецеденты? А в нашей матушке?
Снова НЕТ - чтобы за сканирование сажали ещё не доводилось слышать. Единственное, что может произойти - у банка "ОЧЕНЬ крепкая крыша". Тогда возможна стиуация, подобная описанной на http://www.securitylab.ru/?ID=37057

> > Так что перечитай ещё раз свой договор с провайдером -
> нет
> > ли в нём пункта, гласящего чего-нибудь типа "В случае
> > обнаружения попыток сканирования удалённых серверов
> > Исполнитель оставляет за собой право разорвать
> настоящий
> > договор без возмещения какого-либо ущерба."
>
> М-да... не хотел признаваться, но я сам тогось... -
> провайдер
Тогда на всякий случай внеси такой пункт в договора-) В случае повторения - ты ну никак не причастен. Тем более, что завтра точно также могут начать сканить тебя и уже ты будешь писАть письма с требованиями "урезонить расшалившегося юзера".
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach