È etico hackerare sistemi reali? [chiuso]

È etico hackerare sistemi reali di proprietà di qualcun altro? Non a scopo di lucro, ma per testare le tue conoscenze sulla sicurezza e imparare qualcosa di nuovo. Parlo solo di hack, che non danneggiano il sistema, ma provano solo alcune falle nella sicurezza.

È stato dimostrato più volte che non è etico. E se scopri un difetto, probabilmente ti inchioderanno al muro se non si occupano della pubblicità. Quando esegui qualsiasi tipo di test di sicurezza, assicurati di avere l'autorizzazione scritta da parte di qualcuno con l'autorità per darlo. Perché?

Vedi Randal L. Schwartz . Ha combattuto la condanna per 12 anni e alla fine è stato cancellato il suo record. Stava facendo qualcosa che molti amministratori di sistema in quel momento non ci avrebbero pensato due volte. Ma lo ha condannato.

Il difetto chiave che vedo nella tua domanda è che sembri credere che sia possibile valutare correttamente dall'esterno ciò che l'hacking del danno farà a un determinato sistema.

Come fai a sapere che capovolgere un dato bit nel modo sbagliato non distruggerà completamente qualcosa e costa al tuo obiettivo migliaia o milioni di dollari.

Poiché l'etica è molto soggettiva, ti risponderò in questo modo. Sarebbe molto più etico lasciare cose che non ti appartengono o che non hai il permesso esplicito di toccarle.

Se vuoi solo migliorare le tue conoscenze sulla sicurezza, esiste una distribuzione Linux chiamata Damn Vulnerable Linux . È usato come sussidio didattico nelle classi di sicurezza universitarie e include molte vulnerabilità di sicurezza di proposito.

Basta installarlo su un computer di riserva, molto più etico e puoi imparare altrettanto.

In una parola, no.

Se scopri qualcosa in modo sistematico, sarebbe bene avvisarlo e non sfruttarlo. Ma uscire deliberatamente per testare la sicurezza di qualcun altro non è veramente etico.

Dovrebbero pagare le compagnie di sicurezza per fare questo per loro e se ti hanno contratto per farlo, allora chiaramente non è etico. Ma se non ti è stato assegnato il contratto per farlo, e esponi involontariamente qualche problema o causi un problema involontariamente attraverso le tue azioni di hacking, sospetto che la maggior parte delle aziende vorrebbe che tu venissi perseguito.

Per la tua sicurezza, non ci andrei. Se sei veramente interessato a questo, prova a fare domanda per lavori con le società di sicurezza incaricate di farlo.

No, questo non è etico.

Se ti portano in tribunale per aver violato ed entrare illegalmente, il giudice non ti deluderà perché "stavi testando le tue conoscenze sulla sicurezza e imparando qualcosa di nuovo".

Se ti imbatti in una vulnerabilità di sicurezza durante il normale utilizzo del loro sistema, direi che è assolutamente etico avvisarli del problema, ma andare esplicitamente alla ricerca di vulnerabilità quando non sei contrattato a farlo non è solo non etico, in molti località è anche illegale.

Mi permetta di parafrasare la tua domanda:

"È etico irrompere nella casa di qualcuno, solo per dimostrare che può essere fatto, anche se non rubi nulla?"

Il punto di @Marc Gravell sul trattenere un avvocato è ben fatto ...

Avevamo uno specialista della sicurezza che controllava alcune applicazioni AIX legacy e configurazioni del server, ha fatto una scansione molto amichevole e ristretta di uno chassis blade IBM con blade PPC e quando ha provato a connettersi alla scheda di gestione - si è riavviato all'istante!

Nessuno lo avrebbe mai pensato ed era chiaramente un bug nella carta. Ma i possibili danni anche di un ping amico sono semplicemente stupefacenti. Non puoi dire di non "fare danni", semplicemente non è una dichiarazione che puoi garantire.

(in questo caso, il riavvio della scheda di gestione ha avuto un impatto limitato, tranne che i fan hanno perso la gestione, andando a tutta velocità, che se hai mai avuto un IBM Bladecenter sa che i visitatori nell'area di ricezione a due piani dalla sala server possono " sentirsi a vicenda per qualche minuto;)

Solo se glielo dici prima e ti danno il permesso di fare il tuo tiro migliore.

... e quanto è probabile :)

Invocare la mia conoscenza avanzata di quale sia la domanda "è etico fare X?" significa ⁽¹⁾ , la risposta è "no".

_{⁽¹⁾ Significa "dovremmo fare X?"}

Le altre due risposte a questa domanda (quando l'ho letta) sono eccellenti, quindi vorrei solo aggiungere un piccolo suggerimento. Non dare per scontato che non puoi acquisire la stessa quantità di conoscenza con mezzi completamente legali. Studiare la crittografia, provare a trovare buchi di sicurezza nel codice sorgente del software open source gratuito, impostare i propri sistemi fittizi su cui sperimentare in sicurezza, leggere articoli sulla sicurezza di Internet, ecc., Può essere altrettanto educativo.

La risposta è, dipende.

In generale, non è legale hackerare sistemi che non possiedi.

Tuttavia, ci sono alcune situazioni molto limitate e molto ipotetiche in cui può in effetti essere etico farlo.

• Hacking nei sistemi informatici di un governo nemico durante un periodo di guerra
• Identificare l'autore di un crimine in una situazione di "fumo di pistola"
• Fornire prove di comportamenti scorretti aziendali che incidono sulla salute e sulla sicurezza degli altri

Questi scenari sono estremamente rari nella vita reale (ma accadono sempre a Hollywood) e hanno la stessa probabilità di farti buttare il culo in prigione come qualsiasi altra cosa. Ma la differenza tra legale ed etico è importante.

Ci sono organizzazioni / società che addebitano i loro servizi di "cappello bianco", di solito sono pagate da grandi aziende per testare periodicamente la sicurezza del loro sistema. Forse potresti trovare uno di questi gruppi vicino a te e offrire i tuoi servizi (inizialmente gratuito, suggerirei), sarà una buona formazione per te, eventualmente farti un po 'di soldi alla fine e, soprattutto, è intrinsecamente moralmente sano.