Коллектив авторов - Защита от хакеров корпоративных сетей
Вопрос: Можно ли тестировать на уязвимость чужие системы? (Например, можно ли протестировать на безопасность почтовый сервис Hotmail?) Ответ: В большинстве стран, включая США, противозаконно даже пытаться проникнуть в чужую систему, даже если вас интересует всего лишь степень ее уязвимости. Ведь таким образом можно случайно повредить ее или оставить открытой для атак, а кроме того, получить доступ к конфиденциальной информации. Перед тестированием чужой системы следует получить письменное разрешение на подобные действия. Это разрешение должно быть дано владельцем системы, которую вы планируете «атаковать». Нужно также связаться с человеком, который будет следить за состоянием системы в процессе испытаний и сможет восстановить ее работоспособность после ваших испытаний. Если вы не можете найти человека, который разрешил бы вам протестировать свою систему, можно послать запрос в рассылку vuln-dev. Члены подобных рассылок обычно более благоприятно реагируют на подобные вещи. Что же касается таких сервисов, как почтовая служба Hotmail, их несанкционированное тестирование может даже привести к вашему аресту за нарушение DMCA.
Вопрос: Попытавшись сообщить производителю о проблемах безопасности, я получил ответ, что сначала требуется заключить контракт на обслуживание. Что делать в таких случаях? Ответ: Все равно попытайтесь позвонить в отдел обслуживания клиентов и объяснить, что обнаруженная вами уязвимость может создать проблемы их клиентам. Если это не сработает, попытайтесь найти клиента, у которого имеется контракт на обслуживание. Для подобного поиска можно использовать открытые форумы, посвященные обсуждению соответствующего программного продукта или услуги. Если и эта попытка не увенчается успехом, вы имеете полное право сделать информацию о найденной уязвимости доступной для широкой публики.