|
Форум Сообщества Практиков Конкурентной разведки (СПКР)Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
|
 |
Форум Сообщества Практиков Конкурентной разведки (СПКР) » Общие вопросы конкурентной разведки » Нарушение закона |
 |
| <<Назад Вперед>> | Страницы: 1 2 3 4 | Печать |
| CI-KP
Администратор
Откуда: Екатеринбург Всего сообщений: 5565 Рейтинг пользователя: 24 Ссылка Дата регистрации на форуме: 15 мая 2009 |
Профиль | Игнорировать
NEW! Сообщение отправлено: 7 июля 2009 22:21 Сообщение отредактировано: 7 июля 2009 22:27 dr_kennel написал: при проведении тестов на проникновение dr_kennel написал: целью подключиться к сети со всем сопутствующим. Я не совсем понял - Вы подключались к чужой сети без ведома и согласия ее владельца? Или тест - это типа аудита - когда владелец тестирует дыры в собственной защите? Если сеть чужая, то посмотрите это: УК РФ Статья 272. Неправомерный доступ к компьютерной информации 1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, — наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет. 2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, — наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет. dr_kennel написал: А я должен был представиться тем кто есть и зачем пришел? В КР только так? Нет. Не совсем. Вы без проблем можете назваться кем угодно, но при дном условии - что Вы действительно имеете для этого формальные основания. Для этого их надо создать. В принципе, если Вы представляетесь другим человеком, то это не преступление (если конечно не представляетесь сотрудником правоохранительных органов или спецслужб). Это этическое нарушение, причем для нашей страны само по себе не очень существенное. Но иногда потенциально опасное. Что это значит? 1. Могут быть репутационные риски - когда у СМИ появится возможность начать поливать Вашу компанию грязью. Которая - только начни - затем будет копиться и может вылиться в серьезные проблемы. Когда начнут с этого факта, а потом закончат чем-то более серьезным. Вроде: "Кстати, напомним, что эта компания уже не раз проходила в оперативных сводках, в связи я громким делом по контрабанде кукурузы из Антарктиды". Это надо принимать во внимание при планировании мероприятия. 2. Если окажется, что те сведения, к которым Вы так получили доступ, защищены коммерческой тайной, и если при этом Вы попадетесь, то Вам будет крайне трудно объяснить, что вы проделали все эти мероприятия, просто проходя мимо. И совершенно неумышленно. Это уже тоже статья. Но посмотрите еще раз на то, как подстраховывался человек в случае, когда хотел избежать mispresentation: forum.razved.info/index.php?t=18 Нарушать закон невыгодно по двум (как минимум) причинам: 1. Вы привлекаете внимание в случае, если что-то пойдет не по плану. И нарушается принцип скрытности 2. Вы работать долго не сможете. Потому что работаете "до первого милиционера", то бишь до первого прокола. В то же время, практически всегда можно достичь тех же результатов без нарушения закона. Надо просто немного подумать. Это и есть профессионализм, по большому счету. ---
Ющук Евгений Леонидович, профессор УрГЭУ. www.razvedka-internet.ru; www.ci-razvedka.ru Не всегда нужно стремиться совершать кражу со взломом там, где можно войти через дверь. |
| dr_kennel |
Спасибо за детальное разъяснение. [q=CI-KP]Я не совсем понял - Вы подключались к чужой сети без ведома и согласия ее владельца? Или тест - это типа аудита - когда владелец тестирует дыры в собственной защите?[/q] Естественно такой заказ делает либо сам владелец либо, что чаще, СБ предприятия. И про законы осведомлен, просто интересно, используют ли современные КР такие методы и насколько успешно. Хотя, как написал Николаич это уже ПШ (но опять таки это вопрос как понимается КР в головах бизнесменов). Спасибо за разъяснение. |
| CI-KP
Администратор
Откуда: Екатеринбург Всего сообщений: 5565 Рейтинг пользователя: 24 Ссылка Дата регистрации на форуме: 15 мая 2009 |
dr_kennel написал: Естественно такой заказ делает либо сам владелец либо, что чаще, СБ предприятия. Если это заказ владельца и он правильно юридически оформлен, то я не вижу проблемы dr_kennel написал: ПШ (но опять таки это вопрос как понимается КР в головах бизнесменов) Если Вы о ПШ (промышленном шпионаже), то это вопрос закона, а не головы бизнесменов. Закон или нарушен, или нет. Причем во многих случаях одни и те же действия могут быть законными или незаконными, в зависимости от того, как они оформлены. Если же вы имели в виду незаконодательные ограничители, то тут не все так просто. Ваше мнение в данном случае не столь существенно. Существенно мнение "общественности", а реально - интереса или отсутствия интереса прессы (прежде всего - "желтой") к тому, на чем Вы попались. ---
Ющук Евгений Леонидович, профессор УрГЭУ. www.razvedka-internet.ru; www.ci-razvedka.ru Не всегда нужно стремиться совершать кражу со взломом там, где можно войти через дверь. |
| Loo
Модератор форума
Всего сообщений: 186 Рейтинг пользователя: 5 Ссылка Дата регистрации на форуме: 18 июня 2009 |
О, весело как :о)) dr_kennel при проведении пентестов, при подготовке аудита на соответствие стандарту PCI DSS используются приемы социотехник. Мало того, Рекомендуется использование социотехник. Которые, по моему скромному мнению, полностью попадают в определение КР. Так как проводятся исключительно на основе информации из открытых источников в актуальных на момент проведения теста точках коммуникаций (электронная почта, телефония, и т.д.) Физически инфильтрация в периметр обычно не разрешена, и в рамках PCI DSS не требуется. Ну конечно, если такое проникновение не указанно в договоре. Не указано в договоре явной ссылки на стандарт, такое требующий, значит Вы нарушили закон. Нет в договоре условия о проведени теста на попытку физического проникновения, Вы нарушили закон. Но я не знаю ни одного стандарта, который содержит такое требование. За исключением военных. |
| hound |
А некоторые мои коллеги говорят. что лучше подходит статья по ОПГ (номер не помню, сорри). Не один же Вы... |
| dr_kennel |
Профиль | Игнорировать
NEW! Сообщение отправлено: 7 июля 2009 23:22 Сообщение отредактировано: 7 июля 2009 23:30
[q=Loo]при подготовке аудита на соответствие стандарту PCI DSS[/q] Вы путаете мокрое с холодным. Я не говорил ни слова о PCI DSS, к тому же: "Требования стандарта PCI DSS распространяется на организации, обрабатывающие информацию о держателях платежных карт. Если организация хранит, обрабатывает или передает в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты, то она должна соответствовать требованиям стандарта PCI DSS. Примерами таких организаций являются торгово-сервисные предприятия (розничные магазины и службы электронной коммерции), а также поставщики услуг, связанных с обработкой, хранением и передачей карточной информации (процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт и т. п.)." А есть еще такой стандасрт как ISO/IEC 27001. Вот на соответствие ему чаще всего и порводится тест на проникновение. В общемировой практике проведения пентестов это нормально. Посмотрите например сюда - www.vulnerabilityassessment.co.uk/Penetration%20Test.html И к тому же - хозяин (бизнеса) - барин, .  |
| Loo
Модератор форума
Всего сообщений: 186 Рейтинг пользователя: 5 Ссылка Дата регистрации на форуме: 18 июня 2009 |
О! Экстаз вообще :о)) А не будет ли Вам сложно, еще раз перечитать сообщение, и указать те моменты, где я "подозревал" Вас в проведении PCI DSS ? А не просто упомянул его в качестве одного из примеров? Мне как бы мало интересно на самом деле, так что вполне пойму, если Вы не обратите внимание на мой вопрос, корректный Вы наш. А вот осветить подробней, где же, пускай не в семействе ISO/IEC 27001, пускай даже в BSS, есть требования или рекомендации по использованию вот этой "социальной инженерии", как Вы выразились. Чувствую какой-то пробел громадный в подготовке, очень грустно это :о))) Хотя признаться честно, не участвовал ни разу в аудит СУИБ поставленного по ISO/IEC 27001. |
| Loo
Модератор форума
Всего сообщений: 186 Рейтинг пользователя: 5 Ссылка Дата регистрации на форуме: 18 июня 2009 |
dr_kennel маленький совет на будущее, не редактируйте после опубликования посты без ремарки "Отредактировано", это плохой стиль. После приведенной ссылки на один из миллиона пентестер-фреймворк мне не интересно уже, на самом деле, разговаривать. Я бы понял, если бы была ссылка на продукты Core Security, а вот это аж грустно. |
| hound |
Приятно мне читать то, что я вообще не понимаю. Ну не 159-я, конечно. но чел явно мыслит в этом направлении. Просто мелко. |
| dr_kennel |
Пост имею право редактировать - ибо не пообвыкся еще к форуму и есть привычка ctrl+enter зажимать)) А на Core Security свет клином не встал. Точно так же как и в стандарте не должно быть описания какими инструментами проводить аудит. P.S. Ну по всему видно г-н Loo любит быть правым а не искать правду. В таком ключе диалог никуда не ведет. |
| <<Назад Вперед>> | Страницы: 1 2 3 4 | Печать |
Форум Сообщества Практиков Конкурентной разведки (СПКР) » Общие вопросы конкурентной разведки » Нарушение закона |
|
| Самые активные 20 тем |
|