Sunt web developer, imi place ce fac si din cauza asta incerc tot timpul sa invat lucruri noi, inclusiv cum sa caut, gasesc si profit de vulnerabilitatile aplicatiilor web. Lucrul asta duce inevitabil la o mai buna calitate a aplicatililor pe care le fac chiar eu.
Problema mea este legata de faptul ca mi-am dedicat noaptea trecuta unei asemenea sesiuni de hacking/cracking. Nu a fost prima si probabil nici ultima data cand vulnerabilitatile s-au aratat mai repede decat m-am asteptat. In felul asta am reusit sa am acces la unul dintre panourile de administrare ale unui important grup comercial din Romania, dar si acces la baza de date a unui important site dedicat sexului frumos, site detinut de acelasi grup. Trebuie sa precizez ca sesiunile acestea nu inseamna decat descoperirea si incercarea limitelor vulnerabilitatilor, in nici un caz nu exploatez in vreun fel descoperirea (altfel nu as mai posta pe acest forum).
Care este legislatia romaneasca vizavi de cercetarea/diagnosticarea si divulgarea unor altfel de probleme?
Englezii numesc asta White hat security si am auzit chiar ca sunt tari unde este ilegal sa tii secret astfel de informatie pentru ca ar putea pune in pericol securitatea datelor multor utilizatori. Ei merg pe idea ca este mai bine ca lumea sa cunoasca ca datele lor sunt in pericol daca le incredinteaza unei anumite companii.
Eu unul as vrea sa anunt compania respectiva despre aceste nereguli in sistemele lor si apoi dupa ce au remediat problema sa scriu despre vulnerabilitate. Exista si posibilitatea ca ei sa nu faca nimic, caz in care ma gandeam ca as putea sa fac publica descoperirea dupa trecerea unei perioade de timp. Totusi, mi-e cam frica in Romania. Am citit pe acest forum cum un baiat de 18 ani a fost luat de catre politie, cu tot cu calculator si 150 de CD-uri pentru ca avea stocat pe hard disk un filmulet cu o fata de 12 ani ce intretinea relatii sexuale (a fost foarte mediatizat cazul fetei).
As dori sa aflu ce riscuri sunt daca anunt, in orice fel, despre aceste vulnerabilitati. Care ar fi procedura de urmat? N-as vrea sa am de a face cu niste politisti burtosi pentru ca le-am facut altor burtosi un bine si le-am spus ca le este afacerea in pericol.
Nu exista asemenea lege, iar accesul accesul neautorizat cu intentie (indiferent cat de bine intentionat esti) intr-o retea sau sistem informational se pedepseste.
Tu poti transforma accesul neautorizat intr-unul autorizat semanand un contract cu firma respectiva sau primind aprobarea lor prealabila.
Ideal ar fi sa scoti si bani din aceasta ocupatie nobila... Urmezi cateva cursuri (CISCO, MICROSOFT), primesti ceva certificari, iti faci un S.R.L. si inchei contracte de consultanta pe probleme de securitate informatica.