ФСБ и ФСТЭК России тормозят закон о белых хакерах

ФСБ и ФСТЭК России тормозят закон о белых хакерах

Законопроект о белых хакерах вызвал вопросы у силовиков, выяснили “Ведомости”. Желания Минцифры вывести в правовое поле понятие bug bounty может не хватить для изменения УК. Резко против выступают ФСТЭК и ФСБ России.

Принятие законопроекта о белых хакерах может быть отложено, пишут “Ведомости”. Основные противники либерализации положений УК — ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю).

Напомним, Минцифры обещает узаконить bug bounty с лета 2022. Реформа должна “обелить” работу исследователей, которые за деньги тестируют информационные системы на уязвимости. Сейчас их действия могут трактоваться как “неправомерный доступ к компьютерной информации” и попадать под статью 272 УК РФ. Максимальное наказание — 7 лет лишения свободы. Ответственность наступает, если незаконный доступ повлек за собой модификацию и копирование компьютерной информации.

Продвижение законопроекта в существующем виде практически приостановилось из-за позиции ФСБ и ФСТЭК, говорят источники “Ведомостей”.

“Грань между уголовно наказуемыми действиями и легальными, а также между ответственностью исследователя и ответственностью владельца системы очень зыбкая”, — объясняет собеседник издания.

Программы bug bounty сейчас есть у трех российских компаний: Positive Technologies, “Синклит” и BI.ZONE.

Игроки рынка считают, что законопроект позволит “активизировать исследователей, которые опасаются каких-либо правовых последствий.

По данным Positive Technologies, за девять месяцев работы bug bounty платформы ”белые хакеры” получили более 15 млн рублей.

В “Синклит” говорят, что компания не участвовала в обсуждении инициативы, но такой законопроект определенно нужен.

По мнению опрошенных юристов, проблемы уязвимости “белых хакеров” не существует.

Участие хакера в программе по поиску уязвимостей за деньги предполагает, что компании, принимающие участие в проекте, добровольно предоставляют свои сети для поиска уязвимостей. Это полностью исключает уголовную ответственность при условии, что хакер не выходит за пределы своих прав, считают эксперты.

В случае с принятием поправок в УК важно, кто является их инициатором, объясняет вице-президент Гильдии российских адвокатов Евгения Корчаго.

“Предложения непрофильных ведомств, в этом случае — Минцифры, обычно умирают на этапе законопроекта”, — добавляет юрист.

Добавим, все три российские bug bounty платформы активно развиваются в последний год.

Так на платформе BI.ZONE Bug Bounty сейчас действуют 45 публичных программ, в том числе от VK, СберМаркета, “Авито”, Ozon и “Тинькофф”. В феврале “белых хакеров” пустили искать уязвимости на Госуслугах и в ЕСАИ. А в марте Standoff 365 от Positive Technologies объявила, что заплатит 1 млн руб. за поиск уязвимостей на собственной платформе.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

iOS и iPadOS 17.4.1 устранили уязвимость удалённого выполнения кода

Apple раскрыла немного подробностей относительно одного из последних обновлений, вышедших на прошлой неделе, — iOS и iPadOS 17.4.1. Оказалось, апдейты устраняют опасную уязвимость, способную привести к удалённому выполнению кода.

Как пишет корпорация, уязвимость, получившая идентификатор CVE-2024-1580, затрагивает следующие модели «яблочных» устройств:

  • iPhone XS и более поздние;
  • iPad Pro (12,9 дюйма) и более поздние;
  • Первое поколение 11-дюймового iPad Pro и более поздние;
  • Третье поколение iPad Air и более поздние;
  • iPad mini пятого поколения и более поздние.

Корень CVE-2024-1580 кроется в библиотеке с открытым исходным кодом — dav1d AV1 (используется для декодирования AV1-видео на многих платформах и девайсах), допускающей запись за пределами границ.

В iOS и iPadOS от бреши страдают два компонента: фреймворк Core Media, предназначенный для обработки мультимедийных данных, и имплементация WebRTC.

Чтобы полностью избавить пользователей от CVE-2024-1580, Apple выпустила патчи для браузера Safari, а также систем macOS Sonoma и VenturavisionOS. За информацию об уязвимости корпорация поблагодарила исследователи из команды Google Project Zero.

Есть мнение, что Apple не сразу опубликовала разъяснения к апдейтам именно потому, что разработчики считают CVE-2024-1580 опасной проблемой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru