Czy hakowanie prawdziwych systemów jest etyczne? [Zamknięte]

Czy etyczne jest hakowanie prawdziwych systemów należących do kogoś innego? Nie dla zysku, ale aby sprawdzić swoją wiedzę na temat bezpieczeństwa i nauczyć się czegoś nowego. Mówię tylko o hakach, które nie powodują żadnych szkód w systemie, tylko udowadniają, że istnieją pewne luki w zabezpieczeniach.

To było wielokrotnie pokazywane, że to nie jest etyczne. A jeśli odkryjesz wadę, prawdopodobnie przybiją cię do ściany, jeśli nie będą mieli nic przeciwko reklamie. Kiedy przeprowadzasz jakiekolwiek testy bezpieczeństwa, upewnij się, że masz pisemne pozwolenie od osoby upoważnionej do ich udzielenia. Dlaczego?

Zobacz Randal L. Schwartz . Walczył z skazaniem przez 12 lat, aż w końcu został skasowany. Robił coś, o czym większość sysadminów w tym czasie nie myślałaby dwa razy. Ale był skazany.

Kluczową wadą, którą dostrzegam w twoim pytaniu, jest to, że wydaje ci się, iż możesz poprawnie ocenić z zewnątrz, co włamanie do szkód wyrządzi danemu systemowi.

Skąd wiesz, że odwrócenie danego kawałka w niewłaściwy sposób nie spowoduje całkowitego zniszczenia czegoś i nie będzie kosztować twojego celu tysiącami lub milionami dolarów.

Ponieważ etyka jest bardzo subiektywna, odpowiem w ten sposób. O wiele bardziej etyczne byłoby pozostawienie rzeczy, które nie należą do ciebie lub nie masz wyraźnego pozwolenia na dotyk.

Jeśli chcesz tylko poprawić swoją wiedzę na temat bezpieczeństwa, istnieje dystrybucja linuksa o nazwie Damn Vulnerable Linux . Jest wykorzystywany jako pomoc dydaktyczna na uniwersyteckich zajęciach bezpieczeństwa i zawiera celowo wiele luk w zabezpieczeniach.

Po prostu zainstaluj to na zapasowym komputerze, co jest o wiele bardziej etyczne i możesz nauczyć się tyle samo.

Jednym słowem: Nie.

Jeśli dowiesz się czegoś w rutynowy sposób, dobrze byłoby go ostrzec i nie wykorzystywać. Ale celowe wyjście w celu przetestowania czyjegoś bezpieczeństwa nie jest tak naprawdę etyczne.

Powinny płacić firmom ochroniarskim, aby to dla nich zrobiły, a jeśli zleciły ci to, to oczywiście nie jest nieetyczne. Ale jeśli nie zostałeś do tego upoważniony i nieumyślnie ujawniłeś jakiś problem lub spowodowałeś go nieświadomie poprzez swoje działania hakerskie, podejrzewam, że większość korporacji chciałaby, abyś został oskarżony.

Dla własnego bezpieczeństwa nie wybrałbym się tam. Jeśli naprawdę Cię to interesuje, spróbuj ubiegać się o pracę w firmach zajmujących się ochroną, które zostały do ​​tego upoważnione.

Nie, to nie jest etyczne.

Jeśli zabiorą cię do sądu za nielegalne włamanie i wejście, sędzia cię nie zwolni, ponieważ „testowałeś swoją wiedzę na temat bezpieczeństwa i uczyłeś się czegoś nowego”.

Jeśli natkniesz się na lukę w zabezpieczeniach podczas normalnego użytkowania ich systemu, argumentowałbym, że absolutnie etyczne jest powiadomienie ich o problemie, ale jawne szukanie luk w zabezpieczeniach, gdy nie jesteś do tego zobowiązany, jest nie tylko nieetyczne, w wielu miejscowości jest również nielegalne.

Pozwól mi sparafrazować twoje pytanie:

„Czy etyczne jest włamanie się do czyjegoś domu, tylko po to, aby udowodnić, że można to zrobić, nawet jeśli niczego nie ukradniesz?”

Punkt Marca Gravella na temat zatrzymania prawnika jest dobrze przygotowany ...

Nasz specjalista ds. Bezpieczeństwa sprawdził niektóre starsze aplikacje systemu AIX i konfiguracje serwerów, wykonał bardzo przyjazny i wąski skan obudowy kasetowej IBM z modułami PPC, a kiedy próbował połączyć się z kartą zarządzania - natychmiast się zrestartował!

Nikt nigdy by tego nie pomyślał, a na pewno był to błąd w karcie. Ale możliwe szkody nawet przyjaznego pingowania są po prostu zdumiewające. Nie możesz powiedzieć, że „nie wyrządzasz szkody” - to po prostu nie jest oświadczenie, które możesz zagwarantować.

(w tym przypadku ponowne uruchomienie karty zarządzającej nie miało większego wpływu, z wyjątkiem tego, że fani stracili zarządzanie i osiągnęli pełną prędkość, co jeśli kiedykolwiek miałeś IBM Bladecenter, oznacza, że ​​goście w recepcji znajdującej się dwa piętra niżej od serwerowni mogą „ słyszę się przez kilka minut;)

Tylko jeśli powiesz im najpierw, a oni pozwolą ci dać z siebie wszystko.

... a jakie to prawdopodobne :)

Przywołując moją zaawansowaną wiedzę na temat pytania „czy etyczne jest robić X?” oznacza ⁽¹⁾ , odpowiedź brzmi „nie”.

_{⁽¹⁾ Oznacza „powinniśmy zrobić X?”}

Pozostałe dwie odpowiedzi na to pytanie (kiedy go czytam) są doskonałe, więc chciałbym tylko dodać małą sugestię. Nie bierz za pewnik, że nie możesz zdobyć takiej samej wiedzy za pomocą całkowicie legalnych środków. Studiowanie szyfrowania, próba znalezienia luk w zabezpieczeniach w kodzie źródłowym bezpłatnego oprogramowania typu open source, konfigurowanie własnych atrapy systemów, na których można bezpiecznie eksperymentować, czytanie artykułów na temat bezpieczeństwa w Internecie itp. Może być równie edukacyjne.

Odpowiedź brzmi: to zależy.

Ogólnie rzecz biorąc, hakowanie do systemów, których nie posiadasz , jest nielegalne .

Istnieją jednak pewne bardzo ograniczone i bardzo hipotetyczne sytuacje, w których może to być etyczne .

• Włamanie się do systemów komputerowych wrogiego rządu w czasie wojny
• Identyfikacja sprawcy przestępstwa w sytuacji „palącego pistoletu”
• Dostarczanie dowodów niewłaściwego zachowania firmy, które wpływa na zdrowie i bezpieczeństwo innych osób

Te scenariusze są niezwykle rzadkie w prawdziwym życiu (ale zdarzają się przez cały czas w Hollywood) i równie prawdopodobne jest, że wsadzisz dupę do więzienia, jak wszystko inne. Ale różnica między prawem a etyką jest ważna.

Istnieją organizacje / firmy, które pobierają opłaty za swoje usługi „białego kapelusza”, zwykle płacą im duże firmy za okresowe testowanie bezpieczeństwa systemu. Być może mógłbyś znaleźć jedną z tych grup w pobliżu i zaoferować swoje usługi (początkowo za darmo, sugerowałbym), będzie to dla ciebie dobre szkolenie, być może w końcu zarobisz trochę pieniędzy i, co ważne, jest z natury moralnie uzasadnione.