Тема проистекает отсюда (http://uforum.uz/showthread.php?p=126054#post126054)
Очень хотелось получить ответ, но я сыграл в Щелкунчика и ту тему закрыли.

Предположим, что я:
- владею теоретическими и практическими навыками поиска уязвимостей
- знаком с веб-технологиями и сетевыми пакетами
- имею склонность к анализу
- стремлюсь применить свои знания на пользу

То есть, как предлагал Дмитрий Палеев, готов прислать своё резюме и пройти собеседование. Но в то же время мне очень нравится моя нынешняя работа и я не могу устроиться в Uz-CERT как специалист или как-нибудь ещё.
Возможна ли некая безвозмездная аутсорсная помощь Uz-CERT'у в выявлении уязвимостей сайтов? При этом желательно иметь некий документ, что я смотрю какие порты открыты не из природной гадливости, а из чувства долга. Чтобы потом мне не дали по голове за то, что я делаю то, что должны делать вы.

Кратко - можно ли получить некий сертификат Uz-CERT, который позволяет заниматься поиском уязвимостей в свободное от работы время не по долгу службы, а по зову души? При этом, обо всех действиях и найденных дырах будет в первую очередь информироваться CERT. Но так, чтобы сертификат давал некую защиту от УК РУз по статьям за компьютерные преступления. Можно или нельзя?

Предположим, что я:
- владею теоретическими и практическими навыками поиска уязвимостей
- знаком с веб-технологиями и сетевыми пакетами
- имею склонность к анализу
- стремлюсь применить свои знания на пользу

То есть, как предлагал Дмитрий Палеев, готов прислать своё резюме и пройти собеседование. Но в то же время мне очень нравится моя нынешняя работа и я не могу устроиться в Uz-CERT как специалист или как-нибудь ещё.
Возможна ли некая безвозмездная аутсорсная помощь Uz-CERT'у в выявлении уязвимостей сайтов? При этом желательно иметь некий документ, что я смотрю какие порты открыты не из природной гадливости, а из чувства долга. Чтобы потом мне не дали по голове за то, что я делаю то, что должны делать вы.

Кратко - можно ли получить некий сертификат Uz-CERT, который позволяет заниматься поиском уязвимостей в свободное от работы время не по долгу службы, а по зову души? При этом, обо всех действиях и найденных дырах будет в первую очередь информироваться CERT. Но так, чтобы сертификат давал некую защиту от УК РУз по статьям за компьютерные преступления. Можно или нельзя?
Герман, а если ты владеешь оружием, боевыми искусствами, юридически подкован и знаком с криминалистикой, как полагаешь, тебя возьмут волонтером, скажем в угрозыск? Извини за грубую аналогию.

Аналогию с пожарниками, комитетом по радиочастотам или же скорой помощью додумай сам. :)

Предположим, что я:
- владею теоретическими и практическими навыками поиска уязвимостей
- знаком с веб-технологиями и сетевыми пакетами
- имею склонность к анализу
- стремлюсь применить свои знания на пользу

так все таки предположим или точно?

То есть, как предлагал Дмитрий Палеев, готов прислать своё резюме и пройти собеседование.
да именно так

Но в то же время мне очень нравится моя нынешняя работа и я не могу устроиться в Uz-CERT как специалист или как-нибудь ещё.
так Вам надо самому определиться сначала, дальше продолжать работать в нынешней работе или же перейти на другую работу, нас интересует сотрудники которые всегда находятся в офисе, для выполнения поставленных задач, так как работа требует постоянного присутствия на рабочем месте (естественно в рабочее время)

Возможна ли некая безвозмездная аутсорсная помощь Uz-CERT'у в выявлении уязвимостей сайтов?
нет такая помощь нам не нужна

При этом желательно иметь некий документ, что я смотрю какие порты открыты не из природной гадливости, а из чувства долга. Чтобы потом мне не дали по голове за то, что я делаю то, что должны делать вы.
о каком документе идет речь? проясните...

Кратко - можно ли получить некий сертификат Uz-CERT, который позволяет заниматься поиском уязвимостей в свободное от работы время не по долгу службы, а по зову души?

нет, и не существует никакого "некого" сертификата UZ-CERT, лучше внимательно изучите его задачи на сайте

При этом, обо всех действиях и найденных дырах будет в первую очередь информироваться CERT. Но так, чтобы сертификат давал некую защиту от УК РУз по статьям за компьютерные преступления. Можно или нельзя?
НЕТ, об инцидентах, как уже ребята вам отвечали вы можете отправить по форме сообщения об инциденте (http://cert.uz/addons/feed_back.php), еще раз повторяю, что у UZ-CERTа нет и он не дает никаких сертификатов

Герман, советую завести сайт о безопасности компьютерной и взять на него лицензию как на СМИ - это позволить мониторить Узнет в поисках дыр. Кто будет выступать - отправляйте на эту ветку форума.

Кратко - можно ли получить некий сертификат Uz-CERT, который позволяет заниматься поиском уязвимостей в свободное от работы время не по долгу службы, а по зову души? При этом, обо всех действиях и найденных дырах будет в первую очередь информироваться CERT. Но так, чтобы сертификат давал некую защиту от УК РУз по статьям за компьютерные преступления. Можно или нельзя?
Никаких сертификатов или же ещё каких документов, позволяющих совершать указанные вами действия, нету и не было. Тем более у UZ-CERT нет таких полномочий. Все действия, направленные на поиск уязвимостей и угроз совершаются только легальными методами, не влекущие за собой каких-либо вредоносных последствий. Прочие действия согласуются исключительно с владельцами информационных систем и проводятся на основании документов, сопровождающих экспертизу информационной безопасности.
Если уж Вы обнаружили угрозу, уязвимость и прочую зловредную активность, то на нашем сайте есть форма сообщения об инциденте, телефоны, email. Все анонимно, информация третим лицам не разглашается.

Насколько я помню, никаких документов, предполагающих лицензирование деятельности в сфере ИБ нет. Если есть, прошу поправить. Деятельность ведётся по принципу "не навреди", а в случае если навредил, то пострадавший человек или организация в праве воспользоваться новыми статьями УК и КоАО, чтобы восстановить свои нарушенные охраняемые законом интересы. Прецедентов по статьям не знаю, но если у кого-либо есть информация или новости проскакивали на эту тему, буду признателен за ссылочку.

Насколько я помню, никаких документов, предполагающих лицензирование деятельности в сфере ИБ нет.

Ничего себе, как это нету? Как тогда работают все организации связи? Как обеспечивается безопасность? По принципу не навреди? Очень странно.

Ничего себе, как это нету? Как тогда работают все организации связи? Как обеспечивается безопасность? По принципу не навреди? Очень странно.
Работа организаций связи, и не только, направлена на защиту своих информационных систем и информации в целом. Для достижения соответствующего уровня защиты могут применяться существующие стандарты и методики, а также разрабатываться новые, комбинироваться и т.п. В данной ветке, насколько я понял, речь идёт о поиске уязвимостей без их эксплуатации с целью заблаговременного информирования владельцев данных ИС и устранения предпосылок к эксплуатации уязвимостей злоумышленниками. Во избежание недопонимания со стороны владельца ИС, уже рекомендовали "сообщить об инциденте (http://cert.uz/addons/feed_back.php)" в UZ-CERT, для продолжения работы с владельцев ИС с позиции Службы, имеющей компетенцию в данном вопросе на основании действующего законодательства.

Все действия, направленные на поиск уязвимостей и угроз совершаются только легальными методами, не влекущие за собой каких-либо вредоносных последствий.

А что понимается под "легальными методами"?

А что понимается под "легальными методами"?
Например, просмотр исходного кода веб-ресурса.

А что понимается под "легальными методами"?
Образно - методы не оказывающие никакого негативного влияния на работу информационной системы. Иными словами, всё что не запрещено действующим законодательством. Много интересного можно почитать тут (http://www.aci.uz/ru/normative_base/general_documents/), и конкретно тут (http://ict.gov.uz/files/zn o vnesenii izmenenii.doc)

Хех... В прошлый раз меня забанили за обсуждение статей на cert.uz (точней, с этого началось)... Насчет стримеров и бекапа. Однако ж спецы по секьюрити так жгут, что тянет неудержимо.

http://www.cert.uz/articles.php?t=3&doc=12#12
Сконфигуpиpуйте межсетевой экpан (файpвол) таким обpазом, чтобы он блокиpовал входящие соединения с вашим веб-сеpвеpом со всеми поpтами, кpоме http (поpт 80) или https (поpт 443).Конечно, зачем нам DNS, зачем нам ICMP... Зачем нам эти новомодные рюшечки...


[quote]Какие шаги следует предпринять при взломе веб-сервера:То есть, ломая сервер? Или устраняя последствия взлома? Предположу второе.

Установить ВСЕ испpавления, связанные с безопасностью, как для самого веб-сеpвеpа, так и для опеpационной системы. Дык... После пожара-то че?
Удалить ВСЕ ненужные файлы, такие как phf из диpектоpии со скpиптами. Удалить стандаpтные диpектоpии с документами, поставляемые с веб-сеpвеpом (напpимеp, с IIS и ExAir).Конечно же! Когда в системе висит нежелательный пользователе, возможно, с правами рута, логично как можно быстрей удалить дефолтные документы - вдруг он их украдет.
Пpовеpить ВСЕ логины пользователей на сеpвеpе и удостовеpиться в том, что они имеют тяжело угадываемые паpоли. Ну да, вдруг злоумышелнник завел себе аккаунт и поставил слишком простой пароль? Небезопасно...
Пpовеpить, нет ли подозpительных файлов в диpектоpиях /dev, /etc и /tmp.Интересно, каков критерий подозрительности? Особенно, конечно, надо искать в /dev/ - вдруг злоумышленник звучку выкрутил...


Характерно, что при всем этом мы не завершаем процессы хакера, не выкидываем его из системы, не смотрим логи... кому оно надо?

Все действия, направленные на поиск уязвимостей и угроз совершаются только легальными методами, не влекущие за собой каких-либо вредоносных последствий. Прочие действия согласуются исключительно с владельцами информационных систем и проводятся на основании документов, сопровождающих экспертизу информационной безопасности.

А что понимается под "легальными методами"?
Например, просмотр исходного кода веб-ресурса.

С этого момента можно подробнее? То есть просмотр исходного кода веб-ресурса не согласовывается с владельцами? Или под "исходным кодом" понимаются результирующие html-странички?

Верно, в контексте сообщения под исходным кодом понимаются результирующие html-странички

Eclipse, смотрим тему и не оффтопим. Бан был не за обсуждение статьи, а за грязную кучу мата. Если критично, то можно повторить. Я не сторонник, чтобы забаненные пользователи заводили себе мультиаккаунты.

понимаются результирующие html-странички
Да.

Я не сторонник, чтобы забаненные пользователи заводили себе мультиаккаунты.

Предлагаю внести в правила

понимаются результирующие html-странички
Да.
Какие уязвимости можно этим методом выявить кроме факта заражения ресурса вредоносным ПО?

Eclipse, смотрим тему и не оффтопим. Бан был не за обсуждение статьи, а за грязную кучу мата.
Поправил...

Я не сторонник, чтобы забаненные пользователи заводили себе мультиаккаунты.
Не путайте - в данном случае это не мультиаккаунт, а повторная регистрация.

Не путайте - в данном случае это не мультиаккаунт, а повторная регистрация.
Я не сторонник, чтобы забаненные пользователи заводили себе повторных регистраций.

Предлагаю внести в правила
Если внесем в правила, то забаним повторные регистрации?

Если внесем в правила, то забаним повторные регистрации?
Меня DJ простил при личной встрече, он добрый...

Предлагаю внести в правила
Если внесем в правила, то забаним повторные регистрации?


ИМХО (не обсуждение действий модераторов) : Правила имеют обратную силу? Даже законы такого себе не позволяют...

Если внесем в правила, то забаним повторные регистрации?Да, оставим на выбор пользователя, какая учетка основная. Остальные в блок. Попытки создавать повторные регистрации - в блок

Если внесем в правила, то забаним повторные регистрации?Да, оставим на выбор пользователя, какая учетка основная. Остальные в блок. Попытки создавать повторные регистрации - в блок

Что-то я окончательно запутался - теперь речь, как понимаю, идет именно о множественных аккаунтах (мультиаккаунтах, клонах)?

А вот повторная регистрация это регистрация другого (но единственного) аккаунта после бана предыдущего (то есть в каждый отдельный момент времени пользователь имеет на форуме один аккаунт)

А вот повторная регистрация это регистрация другого (но единственного) аккаунта после бана предыдущего (то есть в каждый отдельный момент времени пользователь имеет на форуме один аккаунт)

Смысл тогда банить?

А вот повторная регистрация это регистрация другого (но единственного) аккаунта после бана предыдущего (то есть в каждый отдельный момент времени пользователь имеет на форуме один аккаунт)

Смысл тогда банить?


Я ж не говорю, что их не нужно банить, что не нужно в правила вносить этот пункт. Я имею в виду, что новые правила не должны иметь обратной силы.

так все таки предположим или точно?
Точно.
нас интересует сотрудники которые всегда находятся в офисе, для выполнения поставленных задач, так как работа требует постоянного присутствия на рабочем месте (естественно в рабочее время)
...
нет такая помощь нам не нужна
Спасибо, понял