Этично ли взламывать реальные системы, принадлежащие кому-то еще? Не для получения прибыли, но чтобы проверить свои знания в области безопасности и узнать что-то новое. Я говорю только о взломах, которые не наносят никакого ущерба системе, просто доказывают, что есть некоторые дыры в безопасности.
Во-первых, найдите адвоката по контракту ... они могут вам понадобиться в ближайшее время.
Марк Гравелл
Является ли это этическим, зависит от стандарта, по которому он измеряется. Вы понимаете эту часть. Законность спорна, но менее субъективна. Звоните своему адвокату за советом по этому поводу. На этот вопрос нельзя ответить здесь.
sh-beta
6
Вы никогда не узнаете, нанес ли он какой-либо ущерб или нет.
Оскар Дюверборн
@ Оскар, я вполне уверен, что что-то подобное echo 'you have security trouble' > /root/HACKEDнанесет большой урон.
Unkwntech
1
Считаете ли вы это этичным? Это не этично, и вы это знаете, и никто из здравомыслящих людей не скажет вам, что все в порядке. Этично ли врываться в чужой дом? Не для того, чтобы украсть что-либо, а просто для проверки своих знаний и изучения чего-то нового. Этично ли для меня взламывать ваши системы? Не ради прибыли, просто чтобы проверить мои знания и узнать что-то новое.
Joeqwerty
Ответы:
27
Это было показано снова и снова, это не этично. И если вы обнаружите недостаток, то они, скорее всего, прибьют вас к стене, если они не будут против публичности. Когда вы проводите какое-либо тестирование безопасности, убедитесь, что у вас есть письменное разрешение от кого-то, кто имеет полномочия на его проведение. Почему?
Смотрите Рэндал Л. Шварц . Он боролся с осуждением в течение 12 лет и, наконец, его запись была удалена. Он делал то, о чем большинство сисадминов в то время даже не подумали. Но осужден был.
Корпорации платят большие суммы денег тестерам на проникновение, чтобы проникнуть в их собственные системы. Хороший тестер проникновения будет использовать живой эксплойт, чтобы взломать и использовать проблему, чтобы найти больше уязвимостей. Все сводится к разрешению.
Ладья
51
Ключевой недостаток, который я вижу в вашем вопросе, заключается в том, что вы, похоже, считаете, что можно правильно оценить со стороны, что хакерский ущерб нанесет данной системе.
Откуда вы знаете, что неправильное переключение заданного бита не приведет к полному уничтожению чего-либо и будет стоить вашей цели тысячи или миллионы долларов.
Поскольку этика очень субъективна, я отвечу вам таким образом. Было бы гораздо более этично оставлять в покое вещи, которые не принадлежат вам, или у вас нет явного разрешения на прикосновения.
Если вы просто хотите улучшить свои знания в области безопасности, существует дистрибутив linux под названием Damn Vulnerable Linux . Он используется в качестве учебного пособия в университетских классах по безопасности и специально включает в себя множество уязвимостей.
Просто установите это на запасной компьютер, гораздо более этичный, и вы сможете узнать столько же.
+1, потому что гораздо лучше взломать свой собственный материал для изучения, чем взломать чужой. Затем, как только вы научитесь некоторым трюкам, предложения вступить в союз с некоторыми компаниями, занимающимися услугами черной шляпы, имеют смысл, потому что эти люди имеют контракты на взлом системы, поэтому законность больше не ставится под сомнение.
Милнер
1
+1 за предложение. Также @Milner, я полагаю, вы имеете в виду компании "белой шляпы".
Tomjedrz
12
Одним словом, нет.
Если вы обнаружите что-то обычным способом, было бы хорошо предупредить их, а не использовать это. Но сознательно выходить на улицу, чтобы проверить чужую безопасность, на самом деле не этично.
Они должны платить охранным фирмам, чтобы они делали это для них, и если они заключили с вами договор на это, то это явно неэтично. Но если с вами не заключили контракт на это, и вы непреднамеренно выявили какую-то проблему или непреднамеренно создали проблему, совершив хакерские действия, я подозреваю, что большинство корпораций хотели бы привлечь вас к ответственности.
Для твоей же безопасности я бы туда не пошел. Если вы действительно заинтересованы в этом, попробуйте подать заявку на работу в охранных фирмах, с которыми у вас есть контракт.
Если вас возьмут в суд за незаконный взлом и проникновение, судья не отпустит вас, потому что вы «проверяли свои знания в области безопасности и изучали что-то новое».
Если вы наткнетесь на уязвимость системы безопасности во время обычного использования их системы, я бы сказал, что абсолютно этично предупреждать их о проблеме, но явный поиск уязвимостей, когда вы не заключили контракт, не только неэтичен, во многих в населенных пунктах это тоже незаконно.
На самом деле во многих законах судья может вас отпустить. В таком законодательстве сам акт взлома не является незаконным, это незаконно, чтобы получить доступ к привилегированной информации, каким-либо образом изменить такую информацию, нарушить нормальную работу системы и т. Д. Но ИМХО, это не делает это этичным.
vartec
3
Я бы не рискнул оказаться в тюрьме из-за потенциальной нехватки судьи технических знаний.
ceejayoz
@vartec: даже попытки взломать компьютерные системы, которыми вы не владеете, незаконны. В некотором роде, попытка украсть чью-то машину все еще незаконна, независимо от того, можете ли вы на самом деле уехать с ней или нет.
NotMe
8
Позвольте мне перефразировать ваш вопрос:
«Этично ли врываться в чей-то дом, просто чтобы доказать, что это можно сделать, даже если ты ничего не крадешь?»
@ Марк Грэвелл о том, чтобы нанять адвоката, хорошо сформулирован ...
У нас был специалист по безопасности, который проверил некоторые унаследованные приложения AIX и конфигурации серверов, он провел очень дружелюбное и узкое сканирование блейд-шасси IBM с блейд-модулями PPC, а когда он попытался подключиться к плате управления, - тотчас же перезагрузился!
Никто бы никогда не подумал об этом, и это была явно ошибка в карте. Но возможные повреждения даже дружественного пинга просто поразительны. Вы не можете сказать, что «не наносите ущерба» - это просто не утверждение, которое вы можете гарантировать.
(в этом случае перезагрузка карты управления имела небольшое влияние, за исключением тех случаев, когда вентиляторы теряли управление, переходя на полную скорость, что, если вы когда-либо знали IBM Bladecenter, означает, что посетители в зоне приема в двух этажах от серверной комнаты могут ' не слышу друг друга несколько минут;)
Два других ответа на этот вопрос (когда я их прочитал) превосходны, поэтому я просто хотел бы добавить небольшое предложение. Не принимайте как должное, что вы не можете получить тот же объем знаний с помощью абсолютно законных средств. Изучение шифрования, попытка найти дыры в безопасности в исходном коде бесплатного программного обеспечения с открытым исходным кодом, настройка собственных фиктивных систем, над которыми вы можете безопасно экспериментировать, чтение статей о безопасности в Интернете и т. Д., Может быть не только учебной.
Вообще говоря, не разрешено взламывать системы, которыми вы не владеете.
Тем не менее, существуют некоторые очень ограниченные и очень гипотетические ситуации, когда это может быть действительно этично .
Взлом на компьютерные системы вражеского правительства во время войны
Выявление лица, совершившего преступление в ситуации «курения оружия»
Предоставление доказательств корпоративного плохого поведения, которое влияет на здоровье и безопасность других
Эти сценарии крайне редки в реальной жизни (но случаются в Голливуде все время) и с такой же вероятностью могут привести к тому, что ваша задница окажется в тюрьме, как и все остальное. Но разница между юридической и этической важна.
Пункт № 2 защищен законами против незаконного обыска и конфискации.
NotMe
1
Существуют организации / компании, которые взимают плату за свои услуги «белой шляпы», обычно им платят крупные компании, чтобы периодически проверять безопасность своей системы. Возможно, вы могли бы найти одну из этих групп рядом с вами и предложить свои услуги (изначально бесплатно, я бы посоветовал), это будет хорошей тренировкой для вас, возможно, в конечном итоге принесет вам немного денег и, что важно, по сути своей морально обоснованно.
echo 'you have security trouble' > /root/HACKED
нанесет большой урон.Ответы:
Это было показано снова и снова, это не этично. И если вы обнаружите недостаток, то они, скорее всего, прибьют вас к стене, если они не будут против публичности. Когда вы проводите какое-либо тестирование безопасности, убедитесь, что у вас есть письменное разрешение от кого-то, кто имеет полномочия на его проведение. Почему?
Смотрите Рэндал Л. Шварц . Он боролся с осуждением в течение 12 лет и, наконец, его запись была удалена. Он делал то, о чем большинство сисадминов в то время даже не подумали. Но осужден был.
источник
Ключевой недостаток, который я вижу в вашем вопросе, заключается в том, что вы, похоже, считаете, что можно правильно оценить со стороны, что хакерский ущерб нанесет данной системе.
Откуда вы знаете, что неправильное переключение заданного бита не приведет к полному уничтожению чего-либо и будет стоить вашей цели тысячи или миллионы долларов.
Поскольку этика очень субъективна, я отвечу вам таким образом. Было бы гораздо более этично оставлять в покое вещи, которые не принадлежат вам, или у вас нет явного разрешения на прикосновения.
источник
Если вы просто хотите улучшить свои знания в области безопасности, существует дистрибутив linux под названием Damn Vulnerable Linux . Он используется в качестве учебного пособия в университетских классах по безопасности и специально включает в себя множество уязвимостей.
Просто установите это на запасной компьютер, гораздо более этичный, и вы сможете узнать столько же.
источник
Одним словом, нет.
Если вы обнаружите что-то обычным способом, было бы хорошо предупредить их, а не использовать это. Но сознательно выходить на улицу, чтобы проверить чужую безопасность, на самом деле не этично.
Они должны платить охранным фирмам, чтобы они делали это для них, и если они заключили с вами договор на это, то это явно неэтично. Но если с вами не заключили контракт на это, и вы непреднамеренно выявили какую-то проблему или непреднамеренно создали проблему, совершив хакерские действия, я подозреваю, что большинство корпораций хотели бы привлечь вас к ответственности.
Для твоей же безопасности я бы туда не пошел. Если вы действительно заинтересованы в этом, попробуйте подать заявку на работу в охранных фирмах, с которыми у вас есть контракт.
источник
Нет, это не этично.
Если вас возьмут в суд за незаконный взлом и проникновение, судья не отпустит вас, потому что вы «проверяли свои знания в области безопасности и изучали что-то новое».
Если вы наткнетесь на уязвимость системы безопасности во время обычного использования их системы, я бы сказал, что абсолютно этично предупреждать их о проблеме, но явный поиск уязвимостей, когда вы не заключили контракт, не только неэтичен, во многих в населенных пунктах это тоже незаконно.
источник
Позвольте мне перефразировать ваш вопрос:
«Этично ли врываться в чей-то дом, просто чтобы доказать, что это можно сделать, даже если ты ничего не крадешь?»
@ Марк Грэвелл о том, чтобы нанять адвоката, хорошо сформулирован ...
источник
У нас был специалист по безопасности, который проверил некоторые унаследованные приложения AIX и конфигурации серверов, он провел очень дружелюбное и узкое сканирование блейд-шасси IBM с блейд-модулями PPC, а когда он попытался подключиться к плате управления, - тотчас же перезагрузился!
Никто бы никогда не подумал об этом, и это была явно ошибка в карте. Но возможные повреждения даже дружественного пинга просто поразительны. Вы не можете сказать, что «не наносите ущерба» - это просто не утверждение, которое вы можете гарантировать.
(в этом случае перезагрузка карты управления имела небольшое влияние, за исключением тех случаев, когда вентиляторы теряли управление, переходя на полную скорость, что, если вы когда-либо знали IBM Bladecenter, означает, что посетители в зоне приема в двух этажах от серверной комнаты могут ' не слышу друг друга несколько минут;)
источник
Только если вы сначала скажете им, и они дадут вам разрешение сделать это как можно лучше.
... и насколько это вероятно :)
источник
Призывая мои передовые знания о том, что вопрос "этично ли делать X?" означает (1) , ответ «нет».
(1) Это означает «мы должны сделать X?»
источник
Два других ответа на этот вопрос (когда я их прочитал) превосходны, поэтому я просто хотел бы добавить небольшое предложение. Не принимайте как должное, что вы не можете получить тот же объем знаний с помощью абсолютно законных средств. Изучение шифрования, попытка найти дыры в безопасности в исходном коде бесплатного программного обеспечения с открытым исходным кодом, настройка собственных фиктивных систем, над которыми вы можете безопасно экспериментировать, чтение статей о безопасности в Интернете и т. Д., Может быть не только учебной.
источник
Ответ: это зависит.
Вообще говоря, не разрешено взламывать системы, которыми вы не владеете.
Тем не менее, существуют некоторые очень ограниченные и очень гипотетические ситуации, когда это может быть действительно этично .
Эти сценарии крайне редки в реальной жизни (но случаются в Голливуде все время) и с такой же вероятностью могут привести к тому, что ваша задница окажется в тюрьме, как и все остальное. Но разница между юридической и этической важна.
источник
Существуют организации / компании, которые взимают плату за свои услуги «белой шляпы», обычно им платят крупные компании, чтобы периодически проверять безопасность своей системы. Возможно, вы могли бы найти одну из этих групп рядом с вами и предложить свои услуги (изначально бесплатно, я бы посоветовал), это будет хорошей тренировкой для вас, возможно, в конечном итоге принесет вам немного денег и, что важно, по сути своей морально обоснованно.
источник