Авторские курсы Михаила Тарасова

Scope и разрешение: почему без письменного согласия ты просто уголовник

Scope и разрешение: почему без письменного согласия ты просто уголовник

Одна и та же команда nmap -sV target.com — легальный пентест или статья 272 УК РФ. Разница не в технике. Разница в одной бумажке, которую ты забыл подписать.

Навыки White Hat и Black Hat идентичны. Разница между «этичным хакером» и «уголовником» лежит не в коде и не в намерениях — она лежит в документе с подписью и печатью. Без него ты не пентестер. Ты человек, который взломал систему без разрешения, и закон не спрашивает, был ли у тебя добрый умысел.

⚖️ Что говорит закон: жёстко и без иллюзий

Россия — статья 272 УК РФ

Статья защищает право владельца на неприкосновенность и конфиденциальность информации в его системе. Для привлечения к ответственности нужны два условия одновременно:

Обрати внимание — намерение не важно. Даже если ты нашёл уязвимость случайно и ничего плохого не сделал, простой факт неправомерного доступа уже подпадает под статью.

Наказание по ст. 272 УК РФ:

💣 Даже пентест, проведённый профессионально, но без должного оформления разрешения, юридически может быть квалифицирован как неправомерный доступ. Российская правоприменительная практика не делает автоматических исключений для «этичных» намерений.

Великобритания — Computer Misuse Act 1990

Закон криминализирует неавторизованный доступ к компьютерной системе вне зависимости от намерения. Пентестер обязан получить явное разрешение от владельца системы до начала любых тестовых действий — устного согласия недостаточно.

США — Computer Fraud and Abuse Act (18 U.S.C. § 1030)

Любая offensive-активность без формально оформленного соглашения о правилах взаимодействия (Rules of Engagement) рискует квалифицироваться как неавторизованный доступ к компьютеру — федеральное преступление.

📜 Rules of Engagement (RoE) — твой единственный щит

Rules of Engagement — документ, который определяет контрактные, технические и юридические границы, в рамках которых проводится авторизованный пентест. Без него любая offensive-активность — это просто взлом.

Структура RoE — что обязательно должно быть внутри


Без такого документа — ты просто открыл nmap против чужой инфраструктуры без спроса. Разница между PoC для отчёта и explicit unauthorized access — исключительно в наличии этой подписи.

🗺️ Scope — граница между легальностью и статьёй

Scope определяет точно, что можно трогать, а что — табу. Это не формальность, это твоя единственная защита в суде.

Что обязательно включать в scope

Что обязательно исключать явно

🚨 Реальные ситуации, где границы стираются

Ситуация 1: «Я нашёл уязвимость случайно, пока гулял по сайту»

Правильные действия: не трогать дальше, зафиксировать факт (скриншот), сообщить через официальную программу responsible disclosure или Bug Bounty.

Ситуация 2: «Клиент разрешил тестировать сеть, я нашёл уязвимость в стороннем облачном сервисе, который они используют»

Правильные действия: остановиться на границе scope, задокументировать находку, уведомить клиента — пусть он сам решает вопрос с третьей стороной

Ситуация 3: «Мы договорились устно, письма пока нет, но время тикает»

Правильные действия: никогда не начинать тест без подписанного LoA. Проект подождёт день-два — тюремный срок ждать не должен.

📋 Чеклист перед началом любого пентеста

Мои курсы