Практическое руководство для этичных хакеров и начинающих специалистов ИБ.
Закон
В первом полугодии 2025 года российские суды назначили наказание 225 осужденным за преступления в сфере компьютерной информации, следует из официальных данных Судебного департамента при Верховном суде (ВС) РФ.
В статистике уточняется, что 7 фигурантов получили лишение свободы, 67 — условные сроки, 55 — ограничение свободы, 13 — исправительные работы, 3 — принудительные работы, а 75 человек были оштрафованы.
Небольшая справка, по каким статьям у тебя могут быть проблемы
Статья 272. Неправомерный доступ к компьютерной информации
Суть: Получение доступа к защищенной информации без разрешения владельца.
Наказание:
Штраф до 500 тыс. руб. или лишение свободы до 2 лет (часть 1).
Лишение свободы до 5 лет при наличии отягчающих обстоятельств:
- Причинение крупного ущерба (от 1 млн руб.),
- Использование служебного положения,
- Цель — извлечение коммерческой/государственной тайны.
Статья 273. Создание, использование и распространение вредоносных программ
- Суть: Разработка или распространение ПО, преднамеренно нарушающего работу ЭВМ/сетей.
- Наказание: Лишение свободы до 4 лет (часть 1). До 7 лет — если действия привели к тяжким последствиям (аварии, гибель людей).
Статья 274. Нарушение правил эксплуатации средств защиты информации
- Суть: Нарушение требований безопасности при работе с СЗИ (например, передача ключей шифрования третьим лицам).
- Наказание: Штраф до 300 тыс. руб. или лишение свободы до 3 лет.
Статья 272.1. Неправомерные действия с устройствами для негласного получения информации
- Суть: Использование или распространение «жучков», троянов для скрытого сбора данных.
- Наказание: Лишение свободы до 6 лет.
Шаг 1. Понять где мы находимся
Бывают случаи, когда находишь уязвимость случайно, замечая профессиональным взглядом какую-то аномалию поведения сайта или приложения. В такой ситуации надо сразу остановить себя и подумать, что за ресурс мы начали ковырять? Если ресурс принадлежит частной зарубежной компании, то в сегодняшних обстоятельствах переживать вообще не стоит. Российские частные компании, тут стоит быть аккуратным и не нарваться на объекты критической информационной инфраструктуры (далее - КИИ). Если это государственный ресурс - остановись, выдохни и закрой вкладку. То же касается и про намеренный поиск уязвимостей.
«Если сомневаетесь — не трогайте. Лучше промолчать, чем стать подсудимым»
— Алексей Лукацкий, SOC-аналитик, ex-FSB.
Шаг 2. Протестировать
Не все компании готовы к вашим благим иницииативам. Общество сегодня достаточно настороженно относится к любым контактам с кем-либо незнакомым, а тем более с теми, кто пришел к ним с дырами в безопасности (Особенно, когда бизнес не крупный).
Будь аккуратен, не используй сканеры и утилиты, которые напрямую взаимодействуют с инфраструктурой компании, такие как: сканеры, фаззеры и прочее. Тестируй ручным способом, разовыми запросами и не создавай нагрузку на инфраструктуру.
Не эксплуатируй найденную уязвимость. Не надо. Нельзя. Сама по себе эксплуатация уязвимости, без получения на это письменного разрешения - правонарушение.
Когда ты убедился, что уязвимость есть, пришло время уведомить владельцев ресурса
Шаг 3. Уведомление
Во-первых, найди контактную информацию, на сайтах оно обычно бывает в путях /contacts, /info и тому подобное. Либо спустись в самый низ сайта, в футере часто бывает почтовый контакт для связи. Если повезет, найдешь страницу «Bug Bounty» или «Responsible Disclosure» (например, https://сайт.com/security).
Ничего не нашел, а желание зарепортить никуда не исчезло? Используй OSINT-инструменты, ищи email в WHOIS-данных домена или через сервисы вроде HackerOne Directory
Во-вторых, напиши подробный отчет, например, используй такой шаблон.
Тема письма: [SECURITY] Уязвимость в [название сервиса] — [краткое описание]
1. Описание проблемы:
- Тип уязвимости (SQLi, XSS, IDOR и т.д.).
- URL/эндпоинт, где она проявляется.
- Доказательства (скриншоты, видео без данных пользователей).
2. Воспроизведение:
- Пошаговая инструкция, как повторить проблему (без эксплуатации!).
3. Рекомендации:
- Как исправить (например, «используйте параметризованные запросы»).
4. Контактные данные:
- Ваш никнейм (не обязательно ФИО), Telegram/email для связи.
- Укажите, что вы не собираетесь использовать уязвимость в злонамеренных целях.
Соблюдай принцип Responsible Disclosure - Дайте владельцу 90 дней на исправление и не публикуйте детали до закрытия уязвимости.
Документируйте всё
- Сохраняйте письма с владельцем.
- Фиксируйте дату обнаружения (например, через Wayback Machine).
А может оно нам и не надо? Идите лучше в Bug Bounty!
На самом деле, это очень важный вопрос, шанс получить выплату ниже, чем шанс получить уголовку. Большинству компаний, вообще все равно на эту вашу безопасность, вот прям совсем. В белом поле, это достаточно бесполезное занятие и для вас, и для компании.
Зарубежные платформы вроде HackerOne или Bugcrowd дают юридическое покрытие для тестирования, но у вас могут быть проблемы с получением выплат. Российские платформы Standoff и BI.Zone , там программ меньше, но с выплатами попроще. Важно помнить, что у любой платформы есть свои правила, которые обеспечивают легальность твоей работы, изучи их перед началом работы.
Итог
Краткий алгоритм действий:
- Остановись после обнаружения уязвимости.
- Найди контакты владельца системы.
- Отправь отчёт по шаблону Responsible Disclosure.
- Дождись ответа (максимум 90 дней).
- Не публикуй детали без разрешения.
- Забей на это и иди в Bug Bounty