Вот решил, предположим, Вася Пупкин поискать уязвимости на наших саитах, ну в общем поискал - сделал выводы для себя, намеревался на следующий день сообщить админам об уязвимостях, но какова вероятность, что админы сайта не уловят в его действиях корыстный мотив и не станут копать глубже, дабы засадить нашего Васю на срок от 3 до 5? Что нужно сделать - кроме проксей, что бы администраторы частных сайтов не подняли бы шухер во время мирного поиска уязвимостей с дальнейшей передачей данных админам сайта?

Вот решил, предположим, Вася Пупкин поискать уязвимости на наших саитах, ну в общем поискал - сделал выводы для себя, намеревался на следующий день сообщить админам об уязвимостях, но какова вероятность, что админы сайта не уловят в его действиях корыстный мотив и не станут копать глубже, дабы засадить нашего Васю на срок от 3 до 5? Что нужно сделать - кроме проксей, что бы администраторы частных сайтов не подняли бы шухер во время мирного поиска уязвимостей с дальнейшей передачей данных админам сайта?

Об инциденте или уязвимости можно сообщить Службе UZ-CERT. Мирным поиском уязвимостей можете заниматься, если вы соответствующий орган. А вопросы взломов здесь не обсуждаются. Считайте это предупреждением. В дальнейшем последует бан.

Касательно вопросов взлома - меня здесь ничего не интересует.
Меня интересует сам метод уведомления об уязвимостях на сайтах, были случаи, когда при мирном уведомлении о уязвимостях, админ обижался на весь мир и был крайне возбужден, доходило чуть-ли не до разбирательств.

Мне надо конкретно знать, нашел я уязвимость - пишу значит вам - дальше на ваше усмотрение, или же?

Оп, а я в другой теме тот же вопрос поднимаю.

Хорошо, а можно узнать что считается взломом?
Ввод в форму: l/p:admin/123, сканирование портов, изучение веб-страниц и т.д. и т.п.???

Насколько я знаю, в мировой практике понятия взлома сильно разнятся от законодательства к законодательству.

Меня интересует сам метод уведомления об уязвимостях на сайтах, были случаи, когда при мирном уведомлении о уязвимостях, админ обижался на весь мир и был крайне возбужден, доходило чуть-ли не до разбирательств.

Мне надо конкретно знать, нашел я уязвимость - пишу значит вам - дальше на ваше усмотрение, или же?

"Сообщить об этом Службе реагирования на компьютерные инциденты UZ-CERT".
Служба проанализирует найденную уявимость и выдаст соответствующие рекомендации соответствующим админам соответствующего ресурса. А дальше все на усмотрение владельцев и админов данного ресурса. Устранят они уязвимость или нет - мы не контролируем.

Оп, а я в другой теме тот же вопрос поднимаю.

Хорошо, а можно узнать что считается взломом?
Ввод в форму: l/p:admin/123, сканирование портов, изучение веб-страниц и т.д. и т.п.???

Насколько я знаю, в мировой практике понятия взлома сильно разнятся от законодательства к законодательству.

Получили доступ на чужой сервер или вебсайт, залили туда свое ПО, удалили информацию, слили данные, сделали дефейс, внедрили вирус или троян, использовали ресурс как плацдарм для атаки на другие ресурсы - все это взлом.

Получили доступ на чужой сервер или вебсайт, залили туда свое ПО, удалили информацию, слили данные, сделали дефейс, внедрили вирус или троян, использовали ресурс как плацдарм для атаки на другие ресурсы - все это взлом.

дефейс обычно просто предупреждение админу, что что-то не так с защитой - невинная шалость. Дефейснутые сайты гордятся такими акциями - всякую мелочь не будут проверять...

Хех, что за чушь - "дефейснутые сайты гордятся этим". Представь вот, кому-либо на лбу напишут "Ты Олень" - что он будет гордится этим? Дефейс - это удар по репутации сайта, по безопасности юзеров в конце концов.

Хех, что за чушь - "дефейснутые сайты гордятся этим". Представь вот, кому-либо на лбу напишут "Ты Олень" - что он будет гордится этим? Дефейс - это удар по репутации сайта, по безопасности юзеров в конце концов.
Польностью согласна!

Дефейснутые сайты гордятся такими акциями - всякую мелочь не будут проверять...

Это не значит, что задефейсенный сайт представлял какую-либо ценность. Это значит, что там просто обнаружили уязвимость.

Вот решил, предположим, Вася Пупкин поискать уязвимости на наших саитах, ну в общем поискал - сделал выводы для себя, намеревался на следующий день сообщить админам об уязвимостях, но какова вероятность, что админы сайта не уловят в его действиях корыстный мотив и не станут копать глубже, дабы засадить нашего Васю на срок от 3 до 5?

Смотря как "искал" и что в итоге получилось. Если просто заметил в URL интересные "?page=index.html" и подозревал о возможности чтения произвольных файлов на сервере или увидел SQL-ошибки, говорящие о потенциальной SQL-инъекции и собирался сообщить об этом администратору сайта/сервера, но конкретных действий не предпринимал, то, думаю, проблем возникать не должно.

Совсем другое дело, когда Вася Пупкин пытается несанкционированно (т. е. без разрешения владельца ресурса) сканировать порты сервера, заниматься CGI-сканированием или перебором паролей. В этом случае, в зависимости от результата, администратор сервера/сайта может обратиться в соответствующие инстанции: если в результате взлома владельцу ресурса был нанесен ущерб - в правоохранительные органы; если необходимо получить помощь для защиты от подобных угроз и расследовании инцидента - в UZ-CERT; если сканирование не прекращается, ставит под угрозу нормальное функционирование сервера и есть соответствующие доказательства в виде логов - провайдеру, которому принадлежит данный IP. Ну и естественно, администратор может (и должен) принять соответствующие меры по блокированию IP-адреса атакующего (хотя, часто этот процесс автоматизирован с помощью IDS).

Что нужно сделать - кроме проксей, что бы администраторы частных сайтов не подняли бы шухер во время мирного поиска уязвимостей с дальнейшей передачей данных админам сайта?

А что значит "мирный поиск уязвимостей"? Если поиск уязвимостей не санкционирован, то, я считаю, это равнозначно тому, чтобы ворваться в чужую квартиру, а потом заявить о том, что тестировалась новая серия отмычек (эксплоитов) для такого же вида замков (тех же версий сервисов), что и у владельца квартиры.

Оп, а я в другой теме тот же вопрос поднимаю.

Хорошо, а можно узнать что считается взломом?
Ввод в форму: l/p:admin/123, сканирование портов, изучение веб-страниц и т.д. и т.п.???

Насколько я знаю, в мировой практике понятия взлома сильно разнятся от законодательства к законодательству.

Если злоумышленник получил доступ к конфиденциальной информации, модифицировал/удалил информацию или лишил доступа к ней её законным владельцам или пользователям - взлом.

Если он пытался что-либо сделать (сканирование, перебор паролей), но ему это не удалось - попытка взлома.

Благодарю за исчерпывающую информацию.

"Мирный поиск уязвимостей" возможен, но только с разрешения владельца ресурса и желательно с документом, подтвеждающим это. Ибо этот же владелец может в любом другом случае заявить в соответсвующие органы о несанкционированном доступе или попытке доступа.

"Мирный поиск уязвимостей" возможен, но только с разрешения владельца ресурса и желательно с документом, подтвеждающим это. Ибо этот же владелец может в любом другом случае заявить в соответсвующие органы о несанкционированном доступе или попытке доступа.

Как мы уже говорили ранее, мы сами выставим ресурс - цель для поиска уязвимостей. Причем с призами для лучших!

А вот это действительно оригинальная и достаточно действенная идея, ведь таким образом новому поколению будет дан стимул в совершенствовании не только своих знаний касательно информационной безопасности, но и в познаний самих методов безопасности и способов устранения уязвимостей.
Если моя память мне не изменяет, вы - самые первые из официальных организаций, причем не только в Узб., решивших проводить столь активные меры для повышения уровня знаний населения в области информационных технологий и всего прочего. Но одно могу сказать, среди всех представительств Церта, известных мне - вы особенно выделяетесь(Ру-церт - вообще заглох, американский - нет-нет пару сайтов с пиратскими серваками на учет ставят - но и то чисто для галочки, все остальные - не столь знамениты.)

Ещё хотелось бы узнать, ресурс будет создан вами заранее, т.е. с преднамеренным наличием уязвимостей или же это будет самый обычный ресурс, который предстоит исследовать на уязвимости?

Ну и на последок: когда стоит ожидать такого конкурса - в этом году или же только в следующем?

А вот это действительно оригинальная и достаточно действенная идея, ведь таким образом новому поколению будет дан стимул в совершенствовании не только своих знаний касательно информационной безопасности, но и в познаний самих методов безопасности и способов устранения уязвимостей.
Если моя память мне не изменяет, вы - самые первые из официальных организаций, причем не только в Узб., решивших проводить столь активные меры для повышения уровня знаний населения в области информационных технологий и всего прочего. Но одно могу сказать, среди всех представительств Церта, известных мне - вы особенно выделяетесь(Ру-церт - вообще заглох, американский - нет-нет пару сайтов с пиратскими серваками на учет ставят - но и то чисто для галочки, все остальные - не столь знамениты.)

Ещё хотелось бы узнать, ресурс будет создан вами заранее, т.е. с преднамеренным наличием уязвимостей или же это будет самый обычный ресурс, который предстоит исследовать на уязвимости?

Ну и на последок: когда стоит ожидать такого конкурса - в этом году или же только в следующем?

Мероприятия, проводимые нами, являются реализацией целей и задач (http://www.cert.uz/index.php?1) UZ-CERT, созданного не много, не мало - постановлением Президента (http://www.cert.uz/about.php?21). То есть, это нормальная работа для нас. Мы пытаемся найти наиболее действенные способы реализации. Ну и почему все время надо сравнивать со штатами и РФ :)? Много примеров отличным проектов, в которых мы (Узбекистан, не UZINFOCOM) упредили наших соседей.

Ресурс специально создавать не будем. Как раз хотим выставить существующий, причем не обязательно наш. Вполне возможно, что будет достигнута договоренность с владельцами сторонних, интересных сайтов, расположенных в Узбекистане ("узбекский" сайт от начала и до конца) на проведении данной акции. CERT конечно же подготовит его для минимизации ущерба и будет на стороне владельца сайта. Нужно же нормальное противостояние в хорошем смысле. В итоге владелец получит уверенность, что сайт его ОК в смысле защищенности, а может даже информационная безопасность его будет улучшена к концу конкурса. Однозначно то, что проигравших в данном конкурсе точно не будет.

Сами сотрудники CERT вышли с таким предложением, которое было поддержано.

По срокам: Действительно пока не готовы сказать, так как идея новая, сразу опубликовали. Но будет в ближайшее время. Кстати, мы открыты предложениям по его условиям и т.д. Может сами предложите сайты-цели.

Ну так я и имел ввиду, что выделяетесь вы особенно в лучшую сторону, нежели в сравнении с США и РФ, и я совершенно согласен, что большинство проектов узб с лихвой опережают зарубежные аналоги.


А так у нас большинство правительственных сайтов сделаны на одном движке, если не ошибаюсь от Саркора, вот такие сайты и надо исследовать, т.к. в случае обнаружения уязвимостей, под ударом может оказаться целая отрасль проект.

Ну так я и имел ввиду, что выделяетесь вы особенно в лучшую сторону, нежели в сравнении с США и РФ, и я совершенно согласен, что большинство проектов узб с лихвой опережают зарубежные аналоги.


А так у нас большинство правительственных сайтов сделаны на одном движке, если не ошибаюсь от Саркора, вот такие сайты и надо исследовать, т.к. в случае обнаружения уязвимостей, под ударом может оказаться целая отрасль проект.

Можно определить несколько "целей" на разных площадках. Как раз и сравним, так сказать, брутфорсом

Ну а так самые желаемые цели у взломщиков - правительственные сайты, провайдеры и хостеры. Стоит выбрать по одному из каждой отрасли и исследовать на наличие уязвимостей, хотя в наличие я очень сомневаюсь, все здравомыслящие администраторы, тем более на крупных сайтах, обязательно исследуют свой сайт на наличие уязвимостей(ну хотя определенные случаи бывают и даже у нас).

Ну а так самые желаемые цели у взломщиков - правительственные сайты, провайдеры и хостеры. Стоит выбрать по одному из каждой отрасли и исследовать на наличие уязвимостей, хотя в наличие я очень сомневаюсь, все здравомыслящие администраторы, тем более на крупных сайтах, обязательно исследуют свой сайт на наличие уязвимостей(ну хотя определенные случаи бывают и даже у нас).

Правительственные сайты абсолютно не интересны, в том числе и взломщикам - как в анекдоте про неуловимого Джо.
Кстати, то, что gov.uz лидирует в рейтинге www.uz говорит или о том, что в рейтинге нет "нормальных" сайтов или в самом Узнете нет простых человеческих популярных сайтов

Правительственные сайты представляют интерес тем, кто гонится за репутацией, все остальные - гонятся за наживой, например в случае с провайдером - это аккаунты клиентов, а у хостеров - это можно сказать доступ к множеству сайтов.

Соглашусь с maniak. Больше интересно ведь покопаться в "хостинге" или "провайдере" чем на каком-нибудь правительственном портале.

Правительственные сайты абсолютно не интересны, в том числе и взломщикам - как в анекдоте про неуловимого Джо.
Кстати, то, что gov.uz лидирует в рейтинге www.uz говорит или о том, что в рейтинге нет "нормальных" сайтов или в самом Узнете нет простых человеческих популярных сайтов

Это объясняется тем, что не все сайты толком (правильно) установили счетчики www.uz, который и является ключевым элементом подсчета.

Это объясняется тем, что не все сайты толком (правильно) установили счетчики www.uz, который и является ключевым элементом подсчета.

Неожиданное объяснение. Разве можно счетчик неправильно установить? Код добавили и все. Или есть какие-то тонкости? Может, просто не установили счетчик совсем - тогда согласен.
Нужен пиар - чтобы престижно было рейтинговаться на www.uz

Неожиданное объяснение. Разве можно счетчик неправильно установить? Код добавили и все. Или есть какие-то тонкости? Может, просто не установили счетчик совсем - тогда согласен.
Нужен пиар - чтобы престижно было рейтинговаться на www.uz

Доходит до парадокса. Иногда ставят только картинку счетчика и думают, что работа сделана :). Хотя всем явно письмом отправлены четкие инструкции + объяснения по телефону

"Мирный поиск уязвимостей" возможен, но только с разрешения владельца ресурса и желательно с документом, подтвеждающим это. Ибо этот же владелец может в любом другом случае заявить в соответсвующие органы о несанкционированном доступе или попытке доступа.

Вот пример решения от любых попыток проверок на уязвимость:
На сайте публикуется "Лицензионное соглашение об использовании сайта", в котором:
- указывается, что лицензионное соглашение вступает в силу в момент начала использования сайта
- описывается назначение сайта
- указывается, что любые действия, направленные на использование сайта не по назначению считаются нарушением лицензионного соглашения
- указывается, что если пользователь не согласен с условиями лицензионного соглашения, то от обязан прекратить использование сайта.

Таким образом, любые попытки проверки сайта на уязвимость является явным нарушением лицензионного соглашения, что нарушает авторские права владельца сайта.

Интересно было бы узнать мнение юристов: такая схема защиты будет работать в Узбекистане?
Любой ли сайт может иметь лицензионное соглашение или только тот, который представляет из себя авторское ПО (интернет-приложение)?

Я считаю, что бороться со сканированием портов и другими попытками взлома нужно техническими средствами - с помощью систем обнаружения и предотвращения вторжений и т. д. То есть просто блокировать атакующих. А ссылка внизу страницы на какое-то лицензионное соглашение едва ли кого-то испугает.

Нормы, регулирующие данную область есть в уголовном и административном законодательстве РУз. Смотрите, например, ст. 155 КоАО (Нарушение правил пользования информацией) и ст. 174 УК (Нарушение правил информатизации). Но там идет речь не о попытках взлома, а именно о несанкционированном доступе, модификации информации и т. д., т. е. о взломе. Вряд ли можно отнести сюда сканирование портов. Разве что, если в результате сканирования какой-то сервис "упал" и владелец ресурса понес убытки в результате простоя или потратился на восстановление работоспособности сервиса, но и это ещё нужно доказать (доказать сам факт сканирования и то, что нарушение рабоспособности вызвано этим самым сканированием).

Таким образом, любые попытки проверки сайта на уязвимость является явным нарушением лицензионного соглашения, что нарушает авторские права владельца сайта.

А каким образом нарушение указанных вами пунктов "лицензионного соглашения" нарушает чье-то авторское право? И причем тут авторское право вообще?

Это объясняется тем, что не все сайты толком (правильно) установили счетчики www.uz, который и является ключевым элементом подсчета.

Рейтинг очень важный инструмент, который влияет на многие факторы - цену рекламы, престиж разработчиков, популярность и т.д - и вообще зеркало Узнета, многие на него ориентируются в разных делах... и ставить его в залог от кривого расположения счетчика - просто странно.
Понятное дело - сейчас как-бы отладочный этап - может пояснение дать, что рейтинг "тестовый", не отражающий реально действительность. Чтобы не смущать посетителей - а то доверие к рейтингу падает.

Счетчики и рейтинги = это хорошо. Вот только где код то взять. Я уже год хе-хе поставить не могу, вроде и писал, давал заявку, но ответа и привета не получил. Че делать то пипел!!!

Счетчики и рейтинги = это хорошо. Вот только где код то взять. Я уже год хе-хе поставить не могу, вроде и писал, давал заявку, но ответа и привета не получил. Че делать то пипел!!!

Счетчик www.uz автоматически можете получит правильно указав Ваш сайт по этой ссылке: http://www.uz/rus/toprating/cmd/cod
Введите URL Вашего сайта:
Главное Вы должны быт регистрированы на www.uz указав, что будете участвовать в Топ-рейтинге. Если возникнут вопросы с удоволствием помогу.

Вот решил, предположим, Вася Пупкин поискать уязвимости на наших саитах, ну в общем поискал - сделал выводы для себя, намеревался на следующий день сообщить админам об уязвимостях, но какова вероятность, что админы сайта не уловят в его действиях корыстный мотив и не станут копать глубже, дабы засадить нашего Васю на срок от 3 до 5? Что нужно сделать - кроме проксей, что бы администраторы частных сайтов не подняли бы шухер во время мирного поиска уязвимостей с дальнейшей передачей данных админам сайта?
Уважаемый Maniac. Я бы разделил ваш вопрос на две части: "Чтобы они...." и "Чтобы я".
Чтобы они: чтобы они уловили или не уловили, в их компании, как в компании, где управляют ИБ, должна быть проведена оценка рисков и должно проводиться соответствующее управление ими. Другими словами если в процессе анализа рисков веб-сайта было определено, что сканирование - это риск, ну тогда они просто обязаны создать инцидент и расследовать его. С другой стороны, если даже это не определено как риск, то факты попыток переодоления средств защиты должны подвергаться постоянному мониторингу. И такие факты обязательно должны участовать в процессе переоценки рисков.
Чтобы я: С другой стороны аудит безопасности системы (ведь сканирование Васи Пупкина это именно аудит, а не попытка взлома не так ли ?) должны быть санкционированы и согласованы с владельцами ресурса. Ведь в противном случае, самые чистые намерения могут быть истолкованы неправильно (ну представьте себе например, что вы пробуете безопасность дома своего друга и в процессе сканирования пробуете разбить окно, оно то разобьется, но что скажет ваш друг ?) и тогда возникнет нехорошая ситуация - инцидент ИБ, и именно такие вещи обычно указываются во внутренних документах по ИБ, например: пользователь при выявлении уязвимости должен немедленно сообщить о ней в службу ИБ, и не пытаться воспользоваться уязвимостью, так как эти действия могут быть расценены как злонамеренные.
Так что весь ваш вопрос сводится не к вероятностной оценке, а к знанию того, насколько действия Васи Пупкина были правомочными и санкционированными и насколько организована ИБ у владельца ресурса.
И еще процесс сканирования ресурсов взятыми из Интернета бесплатными и не очень программами с целью сообщить по почте на следующий день - это не очень хорошо, и честно почти бесцельно или злонамеренно. Аудит должен проводится всегда целенаправленно и с учетом анализа рисков.

Признателен за информацию, благодарю.