ФСБ и ФСТЭК России тормозят закон о белых хакерах

Олеся Афанасьева 27 Марта 2023 - 13:57

...

ФСБ и ФСТЭК России тормозят закон о белых хакерах

Законопроект о белых хакерах вызвал вопросы у силовиков, выяснили “Ведомости”. Желания Минцифры вывести в правовое поле понятие bug bounty может не хватить для изменения УК. Резко против выступают ФСТЭК и ФСБ России.

Принятие законопроекта о белых хакерах может быть отложено, пишут “Ведомости”. Основные противники либерализации положений УК — ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю).

Напомним, Минцифры обещает узаконить bug bounty с лета 2022. Реформа должна “обелить” работу исследователей, которые за деньги тестируют информационные системы на уязвимости. Сейчас их действия могут трактоваться как “неправомерный доступ к компьютерной информации” и попадать под статью 272 УК РФ. Максимальное наказание — 7 лет лишения свободы. Ответственность наступает, если незаконный доступ повлек за собой модификацию и копирование компьютерной информации.

Продвижение законопроекта в существующем виде практически приостановилось из-за позиции ФСБ и ФСТЭК, говорят источники “Ведомостей”.

“Грань между уголовно наказуемыми действиями и легальными, а также между ответственностью исследователя и ответственностью владельца системы очень зыбкая”, — объясняет собеседник издания.

Программы bug bounty сейчас есть у трех российских компаний: Positive Technologies, “Синклит” и BI.ZONE.

Игроки рынка считают, что законопроект позволит “активизировать исследователей, которые опасаются каких-либо правовых последствий.

По данным Positive Technologies, за девять месяцев работы bug bounty платформы ”белые хакеры” получили более 15 млн рублей.

В “Синклит” говорят, что компания не участвовала в обсуждении инициативы, но такой законопроект определенно нужен.

По мнению опрошенных юристов, проблемы уязвимости “белых хакеров” не существует.

Участие хакера в программе по поиску уязвимостей за деньги предполагает, что компании, принимающие участие в проекте, добровольно предоставляют свои сети для поиска уязвимостей. Это полностью исключает уголовную ответственность при условии, что хакер не выходит за пределы своих прав, считают эксперты.

В случае с принятием поправок в УК важно, кто является их инициатором, объясняет вице-президент Гильдии российских адвокатов Евгения Корчаго.

“Предложения непрофильных ведомств, в этом случае — Минцифры, обычно умирают на этапе законопроекта”, — добавляет юрист.

Добавим, все три российские bug bounty платформы активно развиваются в последний год.

Так на платформе BI.ZONE Bug Bounty сейчас действуют 45 публичных программ, в том числе от VK, СберМаркета, “Авито”, Ozon и “Тинькофф”. В феврале “белых хакеров” пустили искать уязвимости на Госуслугах и в ЕСАИ. А в марте Standoff 365 от Positive Technologies объявила, что заплатит 1 млн руб. за поиск уязвимостей на собственной платформе.

Следующая главная новость »

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Екатерина Быстрова 26 Января 2026 - 12:11

Linux Уязвимости программ Домашние пользователи Корпорации

Критическую уязвимость в ядре Linux x86 не замечали с 2020 года

В ядре Linux обнаружили уязвимость, которая тихо жила в системе несколько лет — и притом в одном из самых чувствительных мест. Речь идёт о механизме обработки page fault на архитектуре x86, то есть о коде, который срабатывает каждый раз, когда процессор фиксирует некорректный доступ к памяти.

Проблема тянулась как минимум с 2020 года и была связана с тем, что в ряде сценариев аппаратные прерывания оказывались включёнными в момент, когда ядро ожидало их отключения.

На практике это означало потенциальную нестабильность в крайне редких, но критически важных ситуациях — там, где от предсказуемости поведения ядра зависит вообще всё.

На уязвимость обратил внимание инженер Intel Седрик Син (Cedric Xing), внимательно изучавший код обработки исключений. Как выяснилось, логика в функции do_page_fault() опиралась на устаревшее и, по сути, ошибочное допущение.

В комментариях прямо говорилось, что отследить состояние прерываний на всех возможных ветках выполнения почти невозможно — и разработчики много лет балансировали между «комбинаторным кошмаром» из патчей и попытками аккуратно чинить отдельные случаи.

Но проблема оказалась глубже. Код смешивал два разных понятия — адрес (пользовательский или ядерный) и контекст выполнения. Обычно они совпадают, но не всегда.

Существуют ситуации, когда обращение идёт к памяти ядра, но в пользовательском контексте. В таких случаях некоторые ветки обработчика могли повторно включить прерывания — и вернуть управление туда, где ядро было уверено, что они всё ещё выключены.

Особенно показательной оказалась ветка __bad_area_nosemaphore(), где предпринимается попытка «восстановить правильное состояние», но на деле это происходило не всегда и не одинаково. В результате возникала асимметрия: в зависимости от пути выполнения система могла оказаться в неожиданном состоянии.

В итоге разработчики пришли к простому, но радикальному выводу: латать отдельные ветки бессмысленно. Вместо этого было принято решение гарантированно и безусловно отключать прерывания в одном конкретном месте — прямо перед возвратом управления в низкоуровневый обработчик page fault. Без условий, без проверок, без попыток «угадать» контекст.

Патчи уже вошли в ветку Linux 6.19, а также планируются к бэкпорту в поддерживаемые стабильные версии. Фактически оно устраняет дефект, появившийся ещё во времена Linux 5.8.

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »