"Волонтёры" Uz-CERT

[German Stimban]

Тема проистекает отсюда
Очень хотелось получить ответ, но я сыграл в Щелкунчика и ту тему закрыли.

Предположим, что я:
- владею теоретическими и практическими навыками поиска уязвимостей
- знаком с веб-технологиями и сетевыми пакетами
- имею склонность к анализу
- стремлюсь применить свои знания на пользу

То есть, как предлагал Дмитрий Палеев, готов прислать своё резюме и пройти собеседование. Но в то же время мне очень нравится моя нынешняя работа и я не могу устроиться в Uz-CERT как специалист или как-нибудь ещё.
Возможна ли некая безвозмездная аутсорсная помощь Uz-CERT'у в выявлении уязвимостей сайтов? При этом желательно иметь некий документ, что я смотрю какие порты открыты не из природной гадливости, а из чувства долга. Чтобы потом мне не дали по голове за то, что я делаю то, что должны делать вы.

Кратко - можно ли получить некий сертификат Uz-CERT, который позволяет заниматься поиском уязвимостей в свободное от работы время не по долгу службы, а по зову души? При этом, обо всех действиях и найденных дырах будет в первую очередь информироваться CERT. Но так, чтобы сертификат давал некую защиту от УК РУз по статьям за компьютерные преступления. Можно или нельзя?

[Vitaliy Fioktistov]

Цитата:

Сообщение от German Stimban

Предположим, что я:
- владею теоретическими и практическими навыками поиска уязвимостей
- знаком с веб-технологиями и сетевыми пакетами
- имею склонность к анализу
- стремлюсь применить свои знания на пользу

То есть, как предлагал Дмитрий Палеев, готов прислать своё резюме и пройти собеседование. Но в то же время мне очень нравится моя нынешняя работа и я не могу устроиться в Uz-CERT как специалист или как-нибудь ещё.
Возможна ли некая безвозмездная аутсорсная помощь Uz-CERT'у в выявлении уязвимостей сайтов? При этом желательно иметь некий документ, что я смотрю какие порты открыты не из природной гадливости, а из чувства долга. Чтобы потом мне не дали по голове за то, что я делаю то, что должны делать вы.

Кратко - можно ли получить некий сертификат Uz-CERT, который позволяет заниматься поиском уязвимостей в свободное от работы время не по долгу службы, а по зову души? При этом, обо всех действиях и найденных дырах будет в первую очередь информироваться CERT. Но так, чтобы сертификат давал некую защиту от УК РУз по статьям за компьютерные преступления. Можно или нельзя?

Герман, а если ты владеешь оружием, боевыми искусствами, юридически подкован и знаком с криминалистикой, как полагаешь, тебя возьмут волонтером, скажем в угрозыск? Извини за грубую аналогию.

Аналогию с пожарниками, комитетом по радиочастотам или же скорой помощью додумай сам.

[Ibrohim Djuraev]

Цитата:

Сообщение от German Stimban

Предположим, что я:
- владею теоретическими и практическими навыками поиска уязвимостей
- знаком с веб-технологиями и сетевыми пакетами
- имею склонность к анализу
- стремлюсь применить свои знания на пользу

так все таки предположим или точно?

Цитата:

То есть, как предлагал Дмитрий Палеев, готов прислать своё резюме и пройти собеседование.

да именно так

Цитата:

Но в то же время мне очень нравится моя нынешняя работа и я не могу устроиться в Uz-CERT как специалист или как-нибудь ещё.

так Вам надо самому определиться сначала, дальше продолжать работать в нынешней работе или же перейти на другую работу, нас интересует сотрудники которые всегда находятся в офисе, для выполнения поставленных задач, так как работа требует постоянного присутствия на рабочем месте (естественно в рабочее время)

Цитата:

Возможна ли некая безвозмездная аутсорсная помощь Uz-CERT'у в выявлении уязвимостей сайтов?

нет такая помощь нам не нужна

Цитата:

При этом желательно иметь некий документ, что я смотрю какие порты открыты не из природной гадливости, а из чувства долга. Чтобы потом мне не дали по голове за то, что я делаю то, что должны делать вы.

о каком документе идет речь? проясните...

Цитата:

Кратко - можно ли получить некий сертификат Uz-CERT, который позволяет заниматься поиском уязвимостей в свободное от работы время не по долгу службы, а по зову души?

нет, и не существует никакого "некого" сертификата UZ-CERT, лучше внимательно изучите его задачи на сайте

Цитата:

При этом, обо всех действиях и найденных дырах будет в первую очередь информироваться CERT. Но так, чтобы сертификат давал некую защиту от УК РУз по статьям за компьютерные преступления. Можно или нельзя?

НЕТ, об инцидентах, как уже ребята вам отвечали вы можете отправить по форме сообщения об инциденте, еще раз повторяю, что у UZ-CERTа нет и он не дает никаких сертификатов

[Evgeniy Sklyarevskiy]

Герман, советую завести сайт о безопасности компьютерной и взять на него лицензию как на СМИ - это позволить мониторить Узнет в поисках дыр. Кто будет выступать - отправляйте на эту ветку форума.

[Eldar Ishimbaev]

Цитата:

Сообщение от German Stimban

Кратко - можно ли получить некий сертификат Uz-CERT, который позволяет заниматься поиском уязвимостей в свободное от работы время не по долгу службы, а по зову души? При этом, обо всех действиях и найденных дырах будет в первую очередь информироваться CERT. Но так, чтобы сертификат давал некую защиту от УК РУз по статьям за компьютерные преступления. Можно или нельзя?

Никаких сертификатов или же ещё каких документов, позволяющих совершать указанные вами действия, нету и не было. Тем более у UZ-CERT нет таких полномочий. Все действия, направленные на поиск уязвимостей и угроз совершаются только легальными методами, не влекущие за собой каких-либо вредоносных последствий. Прочие действия согласуются исключительно с владельцами информационных систем и проводятся на основании документов, сопровождающих экспертизу информационной безопасности.
Если уж Вы обнаружили угрозу, уязвимость и прочую зловредную активность, то на нашем сайте есть форма сообщения об инциденте, телефоны, email. Все анонимно, информация третим лицам не разглашается.

[Vladimir Sheyanov]

Насколько я помню, никаких документов, предполагающих лицензирование деятельности в сфере ИБ нет. Если есть, прошу поправить. Деятельность ведётся по принципу "не навреди", а в случае если навредил, то пострадавший человек или организация в праве воспользоваться новыми статьями УК и КоАО, чтобы восстановить свои нарушенные охраняемые законом интересы. Прецедентов по статьям не знаю, но если у кого-либо есть информация или новости проскакивали на эту тему, буду признателен за ссылочку.

[Soliter]

Цитата:

Сообщение от Vladimir Sheyanov

Насколько я помню, никаких документов, предполагающих лицензирование деятельности в сфере ИБ нет.

Ничего себе, как это нету? Как тогда работают все организации связи? Как обеспечивается безопасность? По принципу не навреди? Очень странно.

[Vladimir Sheyanov]

Цитата:

Сообщение от Soliter

Ничего себе, как это нету? Как тогда работают все организации связи? Как обеспечивается безопасность? По принципу не навреди? Очень странно.

Работа организаций связи, и не только, направлена на защиту своих информационных систем и информации в целом. Для достижения соответствующего уровня защиты могут применяться существующие стандарты и методики, а также разрабатываться новые, комбинироваться и т.п. В данной ветке, насколько я понял, речь идёт о поиске уязвимостей без их эксплуатации с целью заблаговременного информирования владельцев данных ИС и устранения предпосылок к эксплуатации уязвимостей злоумышленниками. Во избежание недопонимания со стороны владельца ИС, уже рекомендовали "сообщить об инциденте" в UZ-CERT, для продолжения работы с владельцев ИС с позиции Службы, имеющей компетенцию в данном вопросе на основании действующего законодательства.

[Dolphin]

Цитата:

Сообщение от Eldar Ishimbaev

Все действия, направленные на поиск уязвимостей и угроз совершаются только легальными методами, не влекущие за собой каких-либо вредоносных последствий.

А что понимается под "легальными методами"?

[Eldar Ishimbaev]

Цитата:

Сообщение от Eclipse

А что понимается под "легальными методами"?

Например, просмотр исходного кода веб-ресурса.