É ético invadir sistemas reais? [fechadas]

12

É ético invadir sistemas reais pertencentes a outra pessoa? Não com fins lucrativos, mas para testar seus conhecimentos de segurança e aprender algo novo. Falo apenas de hacks, que não causam danos ao sistema, apenas provam que existem algumas falhas de segurança.

Kazimieras Aliulis
fonte
21
Primeiro, procure um advogado para reter ... você pode precisar deles em breve.
Marc Gravell
Se é ético depende do padrão contra o qual é medido. Você descobre essa parte. A legalidade é discutível, mas menos subjetiva. Ligue para o seu advogado para obter conselhos sobre isso. Esta questão não pode ser respondida aqui.
Sh-beta
6
Você nunca saberá se causou algum dano ou não.
Oskar Duveborn
@Oskar, tenho certeza de que fazer algo como echo 'you have security trouble' > /root/HACKEDisso causará muitos danos.
24909 Unkwntech
1
Você acha isso ético? Não é ético e você sabe disso, e ninguém de mente sadia vai lhe dizer que está tudo bem. É ético invadir a casa de outra pessoa? Não para roubar nada, mas apenas para testar seu conhecimento e aprender algo novo. É ético para mim invadir seus sistemas? Sem fins lucrativos, apenas para testar meus conhecimentos e aprender algo novo.
31129 joeqwerty

Respostas:

27

Foi demonstrado repetidamente que não é ético. E se você descobrir uma falha, eles provavelmente o prenderão na parede se não se importarem com a publicidade. Ao fazer qualquer tipo de teste de segurança, verifique se você tem permissão por escrito de alguém com autoridade para testá-lo. Por quê?

Veja Randal L. Schwartz . Ele lutou contra a condenação por 12 anos e finalmente teve seu registro extinto. Ele estava fazendo algo que a maioria dos administradores de sistemas na época não teria pensado duas vezes. Mas condenado ele era.

K. Brian Kelley
fonte
2
As empresas pagam grandes somas de dinheiro aos testadores de penetração para invadir seus próprios sistemas. Um bom testador de penetração usará uma exploração ao vivo para interromper e alavancar o problema para encontrar mais vulnerabilidades. Tudo se resume à permissão.
Rook
51

A principal falha que vejo na sua pergunta é que você acredita que é possível avaliar corretamente de fora o que os danos causados ​​por hackers em um determinado sistema.

Como você sabe que inverter um pouco da maneira errada não destruirá completamente algo e custará milhares ou milhões de dólares ao seu objetivo.

Como a ética é muito subjetiva, eu responderei dessa maneira. Seria muito mais ético deixar coisas que não pertencem a você ou você não tem permissão explícita para tocar.

Zoredache
fonte
17

Se você deseja apenas aprimorar seu conhecimento de segurança, existe uma distribuição Linux chamada Damn Vulnerable Linux . É usado como um auxílio didático nas aulas de segurança da universidade e inclui muitas vulnerabilidades de segurança de propósito.

Basta instalá-lo em um computador sobressalente, muito mais ético e você poderá aprender o mesmo.

amarilhão
fonte
1
+1 porque é muito melhor invadir suas próprias coisas para aprender do que invadir as de outras pessoas. Então, depois de aprender alguns truques, as sugestões para entrar em contato com algumas empresas de serviços de chapéu preto fazem sentido, porque essas pessoas são contratadas para invadir sistemas, de modo que a legalidade não está mais em questão.
251 Milner
1
+1 para a sugestão. Também @Milner, acredito que você está se referindo a empresas de "chapéu branco".
tomjedrz
12

Em uma palavra, não.

Se você descobrir algo de maneira rotineira, seria bom alertá-lo e não explorá-lo. Mas deliberadamente sair para testar a segurança de outra pessoa não é realmente ético.

Eles deveriam pagar empresas de segurança para fazer isso por eles e se eles o contrataram para fazer isso, claramente não é antiético. Mas se você não foi contratado para fazer isso e, sem querer, expõe algum problema ou causa um problema involuntariamente por meio de suas ações de hackers, suspeito que a maioria das empresas deseja que você seja processado.

Para sua própria segurança, eu não iria lá. Se você estiver realmente interessado nisso, tente se candidatar a empregos nas empresas de segurança contratadas para fazer isso.

Sam Meldrum
fonte
9

Não, isso não é ético.

Se eles o levarem a tribunal por violar e entrar ilegalmente, o juiz não o deixará sair porque você estava "testando seu conhecimento de segurança e aprendendo algo novo".

Se você se deparar com uma vulnerabilidade de segurança durante o uso normal de seu sistema, eu diria que é absolutamente ético alertá-los sobre o problema, mas ir explicitamente à procura de vulnerabilidades quando você não está contratado para fazer isso não é apenas antiético, em muitos casos. localidades também é ilegal.

Bob Somers
fonte
Na verdade, em muitas legislações, o juiz pode deixar você de fora. Em tal legislação, o ato de hackear não é ilegal, é ilegal obter acesso a informações privilegiadas, modificar essas informações de qualquer forma, interromper as operações normais do sistema, etc. Mas IMHO, isso não torna isso ético.
Vartec 13/05/09
3
Não correria o risco de prisão por falta de conhecimento técnico de um juiz.
ceejayoz
@artec: mesmo a tentativa de invadir sistemas de computador que você não possui é ilegal. Mais ou menos como tentar roubar o carro de alguém ainda é ilegal, seja você realmente capaz de ir embora com ele ou não.
NotMe
8

Permita-me parafrasear sua pergunta:

"É ético invadir a casa de alguém, apenas para provar que isso pode ser feito, mesmo que você não roube nada?"

O argumento de @Marc Gravell sobre a contratação de um advogado é bem feito ...

avstrallen
fonte
7

Tivemos um especialista em segurança verificando alguns aplicativos AIX e configurações de servidor legados, ele fez uma varredura muito amigável e estreita de um chassi blade IBM com blades PPC e quando ele tentou se conectar à placa de gerenciamento - que foi reiniciado instantaneamente!

Ninguém jamais pensaria nisso, e era claramente um erro no cartão. Mas os possíveis danos até mesmo de um ping amigável são simplesmente surpreendentes. Você não pode dizer que "não faz nenhum dano" - isso simplesmente não é uma declaração que você pode garantir.


(nesse caso, reiniciar o cartão de gerenciamento teve pouco impacto, exceto os fãs que perderam o gerenciamento, entrando a toda velocidade, o que, se você já teve um IBM Bladecenter conhecido, significa que os visitantes na área de recepção a dois andares da sala do servidor podem ' não nos ouvimos por alguns minutos;)

Oskar Duveborn
fonte
3

Somente se você contar primeiro e eles lhe derem permissão para dar o melhor de si.

... e qual a probabilidade disso :)

Nick Pierpoint
fonte
3

Invocando meu conhecimento avançado sobre o que a pergunta "é ético fazer X?" significa (1) , a resposta é "não".

(1) Significa "devemos fazer X?"

caos
fonte
2

As outras duas respostas a esta pergunta (quando a li) são excelentes, então gostaria de acrescentar uma pequena sugestão. Não tome como garantido que você não pode obter a mesma quantidade de conhecimento por meios completamente legais. Estudar criptografia, tentar encontrar brechas de segurança no código-fonte do software livre de código aberto, configurar seus próprios sistemas fictícios nos quais você pode experimentar com segurança, ler artigos sobre segurança na Internet etc., pode ser igualmente educativo.

Lucas Lindström
fonte
2

A resposta é: depende.

Em geral, não é legal invadir sistemas que você não possui.

No entanto, existem algumas situações muito limitadas e muito hipotéticas em que pode ser de fato ético fazê-lo.

  • Invadir sistemas de computadores de um governo inimigo durante um período de guerra
  • Identificando o autor de um crime em uma situação de "arma de fumar"
  • Fornecer evidências de mau comportamento corporativo que afeta a saúde e a segurança de outras pessoas

Esses cenários são extremamente raros na vida real (mas acontecem em Hollywood o tempo todo) e têm a mesma probabilidade de ser jogado na cadeia do que qualquer outra coisa. Mas a diferença entre legal e ético é importante.

Tim Howland
fonte
O item 2 está coberto por leis contra buscas e apreensões ilegais.
NotMe
1

Existem organizações / empresas que cobram por seus serviços de 'chapéu branco', geralmente são pagas por grandes empresas para testar periodicamente a segurança de seu sistema. Talvez você possa encontrar um desses grupos perto de você e oferecer seus serviços (inicialmente, de graça, eu sugeriria); será um bom treinamento para você; possivelmente, você ganhará algum dinheiro eventualmente e, o que é mais importante, é inerentemente moralmente bom.

Chopper3
fonte