É ético invadir sistemas reais? [fechadas]

É ético invadir sistemas reais pertencentes a outra pessoa? Não com fins lucrativos, mas para testar seus conhecimentos de segurança e aprender algo novo. Falo apenas de hacks, que não causam danos ao sistema, apenas provam que existem algumas falhas de segurança.

Foi demonstrado repetidamente que não é ético. E se você descobrir uma falha, eles provavelmente o prenderão na parede se não se importarem com a publicidade. Ao fazer qualquer tipo de teste de segurança, verifique se você tem permissão por escrito de alguém com autoridade para testá-lo. Por quê?

Veja Randal L. Schwartz . Ele lutou contra a condenação por 12 anos e finalmente teve seu registro extinto. Ele estava fazendo algo que a maioria dos administradores de sistemas na época não teria pensado duas vezes. Mas condenado ele era.

A principal falha que vejo na sua pergunta é que você acredita que é possível avaliar corretamente de fora o que os danos causados ​​por hackers em um determinado sistema.

Como você sabe que inverter um pouco da maneira errada não destruirá completamente algo e custará milhares ou milhões de dólares ao seu objetivo.

Como a ética é muito subjetiva, eu responderei dessa maneira. Seria muito mais ético deixar coisas que não pertencem a você ou você não tem permissão explícita para tocar.

Se você deseja apenas aprimorar seu conhecimento de segurança, existe uma distribuição Linux chamada Damn Vulnerable Linux . É usado como um auxílio didático nas aulas de segurança da universidade e inclui muitas vulnerabilidades de segurança de propósito.

Basta instalá-lo em um computador sobressalente, muito mais ético e você poderá aprender o mesmo.

Em uma palavra, não.

Se você descobrir algo de maneira rotineira, seria bom alertá-lo e não explorá-lo. Mas deliberadamente sair para testar a segurança de outra pessoa não é realmente ético.

Eles deveriam pagar empresas de segurança para fazer isso por eles e se eles o contrataram para fazer isso, claramente não é antiético. Mas se você não foi contratado para fazer isso e, sem querer, expõe algum problema ou causa um problema involuntariamente por meio de suas ações de hackers, suspeito que a maioria das empresas deseja que você seja processado.

Para sua própria segurança, eu não iria lá. Se você estiver realmente interessado nisso, tente se candidatar a empregos nas empresas de segurança contratadas para fazer isso.

Não, isso não é ético.

Se eles o levarem a tribunal por violar e entrar ilegalmente, o juiz não o deixará sair porque você estava "testando seu conhecimento de segurança e aprendendo algo novo".

Se você se deparar com uma vulnerabilidade de segurança durante o uso normal de seu sistema, eu diria que é absolutamente ético alertá-los sobre o problema, mas ir explicitamente à procura de vulnerabilidades quando você não está contratado para fazer isso não é apenas antiético, em muitos casos. localidades também é ilegal.

Permita-me parafrasear sua pergunta:

"É ético invadir a casa de alguém, apenas para provar que isso pode ser feito, mesmo que você não roube nada?"

O argumento de @Marc Gravell sobre a contratação de um advogado é bem feito ...

Tivemos um especialista em segurança verificando alguns aplicativos AIX e configurações de servidor legados, ele fez uma varredura muito amigável e estreita de um chassi blade IBM com blades PPC e quando ele tentou se conectar à placa de gerenciamento - que foi reiniciado instantaneamente!

Ninguém jamais pensaria nisso, e era claramente um erro no cartão. Mas os possíveis danos até mesmo de um ping amigável são simplesmente surpreendentes. Você não pode dizer que "não faz nenhum dano" - isso simplesmente não é uma declaração que você pode garantir.

(nesse caso, reiniciar o cartão de gerenciamento teve pouco impacto, exceto os fãs que perderam o gerenciamento, entrando a toda velocidade, o que, se você já teve um IBM Bladecenter conhecido, significa que os visitantes na área de recepção a dois andares da sala do servidor podem ' não nos ouvimos por alguns minutos;)

Somente se você contar primeiro e eles lhe derem permissão para dar o melhor de si.

... e qual a probabilidade disso :)

Invocando meu conhecimento avançado sobre o que a pergunta "é ético fazer X?" significa ⁽¹⁾ , a resposta é "não".

_{⁽¹⁾ Significa "devemos fazer X?"}

As outras duas respostas a esta pergunta (quando a li) são excelentes, então gostaria de acrescentar uma pequena sugestão. Não tome como garantido que você não pode obter a mesma quantidade de conhecimento por meios completamente legais. Estudar criptografia, tentar encontrar brechas de segurança no código-fonte do software livre de código aberto, configurar seus próprios sistemas fictícios nos quais você pode experimentar com segurança, ler artigos sobre segurança na Internet etc., pode ser igualmente educativo.

A resposta é: depende.

Em geral, não é legal invadir sistemas que você não possui.

No entanto, existem algumas situações muito limitadas e muito hipotéticas em que pode ser de fato ético fazê-lo.

• Invadir sistemas de computadores de um governo inimigo durante um período de guerra
• Identificando o autor de um crime em uma situação de "arma de fumar"
• Fornecer evidências de mau comportamento corporativo que afeta a saúde e a segurança de outras pessoas

Esses cenários são extremamente raros na vida real (mas acontecem em Hollywood o tempo todo) e têm a mesma probabilidade de ser jogado na cadeia do que qualquer outra coisa. Mas a diferença entre legal e ético é importante.

Existem organizações / empresas que cobram por seus serviços de 'chapéu branco', geralmente são pagas por grandes empresas para testar periodicamente a segurança de seu sistema. Talvez você possa encontrar um desses grupos perto de você e oferecer seus serviços (inicialmente, de graça, eu sugeriria); será um bom treinamento para você; possivelmente, você ganhará algum dinheiro eventualmente e, o que é mais importante, é inerentemente moralmente bom.