Модуль 1 · Урок 2 · 15 минут чтения

⚖️ Закон и этика

Что МОЖНО, что НЕЛЬЗЯ, и за что реально дают срок. Без юридического жаргона — просто факты.

📖 Story hook

В 2013 году студент MIT по имени Aaron Swartz скачал 4 миллиона научных статей из платной базы JSTOR. Он хотел сделать их бесплатными для всех — это был его идеализм.

JSTOR подал в суд. Прокурор требовал 35 лет тюрьмы и $1 миллион штрафа по закону CFAA.

Aaron повесился, не дожив до приговора. Ему было 26 лет.

Это история о том что закон не разбирает намерения. Скачал чужие данные без разрешения → срок. Даже если ты Робин Гуд.

🚨 Главное правило

Без письменного разрешения владельца — НЕЛЬЗЯ ничего.

Даже если ты «просто посмотришь». Даже если «никому не навредил». Даже если «компания тупая и сама виновата». Закон смотрит на одно: было разрешение или нет.

📜 Законы — простыми словами

🇷🇺 УК РФ Статья 272 — «Неправомерный доступ»

Что: любое получение доступа к информации в компьютере БЕЗ разрешения.

Срок:

Базовая часть — штраф до 200k ₽ или до 2 лет лишения свободы
С корыстью — до 4 лет
Группой / служебное положение — до 5 лет
Тяжкие последствия — до 7 лет

Реальный кейс: в 2022 году студент из Воронежа взломал базу университета чтобы исправить оценки. Получил 3 года условно + судимость на всю жизнь. На IT-работу больше не возьмут.

🇷🇺 УК РФ Статья 273 — «Создание вредоносных программ»

Что: писать или распространять вирусы, ransomware, троянов.

Срок: до 4 лет лишения свободы. С тяжкими последствиями — до 7.

Особое: опубликование кода malware в GitHub «just for educational purposes» — может подпасть под 273. Будь осторожен с «hello-world ransomware».

🇺🇸 США CFAA — «Computer Fraud and Abuse Act»

Что: американский аналог. Жёстче чем УК РФ.

Срок: до 10 лет за первый раз. До 20 лет за повтор. Экстрадиция возможна из 90+ стран.

Особое: CFAA применяют экс-территориально. Если ты в России взломал американский сайт — США потребуют тебя выдать. Не всегда удаётся, но риск есть.

🇪🇺 GDPR — «европейский закон о данных»

Что: утечка персональных данных граждан ЕС.

Штраф: до €20 млн или 4% годового оборота компании. Лично хакеру обычно дают по местному закону + GDPR штраф компании.

✅ Что МОЖНО делать

Есть 4 легальных способа применять навыки хакинга:

🎯

1. Bug bounty программы

Компания публично говорит «приходите, ломайте нас по этим правилам». Apple, Google, Tesla, Microsoft, Сбер. Получаешь деньги ($50-$50,000+).

Где искать: hackerone.com, bugcrowd.com, intigriti.com. У некоторых компаний свои программы (apple.com/security).

Условия: читай scope внимательно — какие домены / приложения можно тестировать. Выходишь за scope — закон против тебя.

🏢

2. Penetration testing с контрактом

Работаешь в pentest-компании или фрилансишь. Перед каждой работой подписывается контракт + signed authorization. Клиент даёт официальное разрешение.

Зарплата: $50-150k/год junior-mid. Senior $150-250k. Freelance $500-2000/день.

Без контракта — никогда не начинай работу. Даже если клиент «хороший знакомый».

🎓

3. Учебные платформы (CTF, labs)

HackTheBox, TryHackMe, наша платформа GuardLabs Labs (скоро). Специально подготовленные машины, легально, безопасно.

Бонус: 80% работодателей знают эти платформы. «Прошёл HTB Pro Hacker» — это плюс в резюме.

💻

4. Свои системы

Поднимаешь VM, ставишь vulnerable софт (DVWA, Juice Shop, Metasploitable), ломаешь на ней. Твоё железо, твоя ответственность, всё легально.

В Модуле 2 мы вместе поднимем такую VM с Kali Linux.

❌ Что НЕЛЬЗЯ делать (даже «для интереса»)

Сканировать чужие сети (nmap на чужой IP) — даже без атаки.
Брутить чужие пароли — даже если знаешь логин.
Залогиниться с найденным паролем «просто посмотреть» — это уже доступ.
Скачивать чужие данные «для анализа».
Тестировать SQL injection на live сайтах без разрешения.
Сидеть в чужой Wi-Fi сети используя дыры протокола.
«Реверсить» чужой софт если в EULA запрет.
Загружать на GitHub malware «для образования» — может попасть под 273.

🤔 Серая зона: что НЕ всегда понятно

Можно ли пинговать чужой сервер?

Технически — да. ping и публичный nmap-скан публичных сайтов обычно не считаются атакой. Но если делаешь массивный сканинг (10,000 пакетов/сек) и админ заметит — может оформить «DDoS попытку». Лучше так не делать.

Можно ли искать дыру в незнакомом сайте?

Нет. Даже если ты ничего не сделаешь — формально это несанкционированный доступ. Если сайт без bug bounty — не трогай.

Можно ли использовать найденную дыру чтобы написать «у вас проблема»?

Это grey hat. Закон против тебя. Но 95% компаний скажут «спасибо» и не подадут в суд. 5% — подадут. Решай сам: риск vs хочется ли помогать.

🤖 Vibe-task: спроси Claude

Открой Claude и спроси:

Я начинающий white hat. Дай 5 bug bounty программ для NEWCOMERS
с низким порогом входа в 2025-2026 году. Для каждой укажи:
- Платформа (HackerOne / Bugcrowd / собственная)
- Какие домены в scope (на чём можно тренироваться)
- Минимальная выплата
- На что обычно реагируют (XSS / IDOR / business logic)
- URL программы

Получишь конкретные программы куда можно подавать после курса. Сохрани список — пригодится в Модуле 9.

💡 Главный принцип этичного хакера

«В сомнениях — НЕ ломай. Найди где можно легально».

У всего есть легальный путь: bug bounty, CTF, своя VM. Зачем рисковать судимостью на всю жизнь когда есть как минимум 4 способа делать то же самое legально и за деньги?

🎬 Что дальше

Урок 1.3 — деньги. Реальные зарплаты junior pentester, senior, red team. Истории людей которые перешли в security с нуля и сколько они зарабатывают сейчас.

← Урок 1.1 Урок 1.3: Карьеры и зарплаты →