Czy hakowanie prawdziwych systemów jest etyczne? [Zamknięte]

12

Czy etyczne jest hakowanie prawdziwych systemów należących do kogoś innego? Nie dla zysku, ale aby sprawdzić swoją wiedzę na temat bezpieczeństwa i nauczyć się czegoś nowego. Mówię tylko o hakach, które nie powodują żadnych szkód w systemie, tylko udowadniają, że istnieją pewne luki w zabezpieczeniach.

Kazimieras Aliulis
źródło
21
Najpierw poproś o pomoc prawnika ... możesz ich wkrótce potrzebować.
Marc Gravell
To, czy jest etyczne, zależy od standardu, w stosunku do którego jest mierzone. Rozumiesz tę część. Legalność jest dyskusyjna, ale mniej subiektywna. Skontaktuj się z prawnikiem w celu uzyskania porady na ten temat. Tutaj nie można odpowiedzieć na to pytanie.
sh-beta
6
Nigdy nie dowiesz się, czy spowodowało to jakiekolwiek szkody, czy nie.
Oskar Duveborn
@Oskar, jestem całkiem pewien, że robienie czegoś takiego echo 'you have security trouble' > /root/HACKEDspowoduje znaczne szkody.
Unkwntech
1
Czy uważasz to za etyczne? To nie jest ehtyczne i wiesz o tym i nikt o zdrowych zmysłach nie powie ci, że jest OK. Czy włamanie się do czyjegoś domu jest etyczne? Nie kradnij niczego, ale po prostu przetestuj swoją wiedzę i naucz się czegoś nowego. Czy etyczne jest dla mnie hakowanie waszych systemów? Nie dla zysku, tylko po to, by sprawdzić moją wiedzę i nauczyć się czegoś nowego.
joeqwerty

Odpowiedzi:

27

To było wielokrotnie pokazywane, że to nie jest etyczne. A jeśli odkryjesz wadę, prawdopodobnie przybiją cię do ściany, jeśli nie będą mieli nic przeciwko reklamie. Kiedy przeprowadzasz jakiekolwiek testy bezpieczeństwa, upewnij się, że masz pisemne pozwolenie od osoby upoważnionej do ich udzielenia. Dlaczego?

Zobacz Randal L. Schwartz . Walczył z skazaniem przez 12 lat, aż w końcu został skasowany. Robił coś, o czym większość sysadminów w tym czasie nie myślałaby dwa razy. Ale był skazany.

K. Brian Kelley
źródło
2
Korporacje wypłacają duże sumy pieniędzy testerom penetracyjnym, aby włamali się do własnych systemów. Dobry tester penetracji użyje exploita na żywo, aby włamać się i wykorzystać problem, aby znaleźć więcej luk w zabezpieczeniach. Wszystko sprowadza się do pozwolenia.
Gawron
51

Kluczową wadą, którą dostrzegam w twoim pytaniu, jest to, że wydaje ci się, iż możesz poprawnie ocenić z zewnątrz, co włamanie do szkód wyrządzi danemu systemowi.

Skąd wiesz, że odwrócenie danego kawałka w niewłaściwy sposób nie spowoduje całkowitego zniszczenia czegoś i nie będzie kosztować twojego celu tysiącami lub milionami dolarów.

Ponieważ etyka jest bardzo subiektywna, odpowiem w ten sposób. O wiele bardziej etyczne byłoby pozostawienie rzeczy, które nie należą do ciebie lub nie masz wyraźnego pozwolenia na dotyk.

Zoredache
źródło
17

Jeśli chcesz tylko poprawić swoją wiedzę na temat bezpieczeństwa, istnieje dystrybucja linuksa o nazwie Damn Vulnerable Linux . Jest wykorzystywany jako pomoc dydaktyczna na uniwersyteckich zajęciach bezpieczeństwa i zawiera celowo wiele luk w zabezpieczeniach.

Po prostu zainstaluj to na zapasowym komputerze, co jest o wiele bardziej etyczne i możesz nauczyć się tyle samo.

amarillionu
źródło
1
+1, ponieważ o wiele lepiej jest zhakować własne rzeczy, aby się uczyć, niż zhakować czyjeś umiejętności. Potem, gdy nauczysz się kilku sztuczek, sugestie, aby wejść do ligi z niektórymi firmami usługowymi Black Hat, mają sens, ponieważ ci ludzie są zobowiązani do hakowania systemów, więc legalność nie jest już kwestionowana.
Milner
1
+1 za sugestię. Również @ Milner, uważam, że masz na myśli firmy „białego kapelusza”.
tomjedrz
12

Jednym słowem: Nie.

Jeśli dowiesz się czegoś w rutynowy sposób, dobrze byłoby go ostrzec i nie wykorzystywać. Ale celowe wyjście w celu przetestowania czyjegoś bezpieczeństwa nie jest tak naprawdę etyczne.

Powinny płacić firmom ochroniarskim, aby to dla nich zrobiły, a jeśli zleciły ci to, to oczywiście nie jest nieetyczne. Ale jeśli nie zostałeś do tego upoważniony i nieumyślnie ujawniłeś jakiś problem lub spowodowałeś go nieświadomie poprzez swoje działania hakerskie, podejrzewam, że większość korporacji chciałaby, abyś został oskarżony.

Dla własnego bezpieczeństwa nie wybrałbym się tam. Jeśli naprawdę Cię to interesuje, spróbuj ubiegać się o pracę w firmach zajmujących się ochroną, które zostały do ​​tego upoważnione.

Sam Meldrum
źródło
9

Nie, to nie jest etyczne.

Jeśli zabiorą cię do sądu za nielegalne włamanie i wejście, sędzia cię nie zwolni, ponieważ „testowałeś swoją wiedzę na temat bezpieczeństwa i uczyłeś się czegoś nowego”.

Jeśli natkniesz się na lukę w zabezpieczeniach podczas normalnego użytkowania ich systemu, argumentowałbym, że absolutnie etyczne jest powiadomienie ich o problemie, ale jawne szukanie luk w zabezpieczeniach, gdy nie jesteś do tego zobowiązany, jest nie tylko nieetyczne, w wielu miejscowości jest również nielegalne.

Bob Somers
źródło
Właściwie w wielu aktach prawnych sędzia może cię zwolnić. W takich przepisach samo hakowanie nie jest nielegalne, nielegalne jest uzyskiwanie dostępu do informacji uprzywilejowanych, modyfikowanie takich informacji w jakikolwiek sposób, zakłócanie normalnej pracy systemu itp. Ale IMHO, to nie czyni tego etycznym.
vartec
3
Nie zaryzykowałbym kary pozbawienia wolności z powodu potencjalnego braku wiedzy technicznej sędziego.
ceejayoz
@vartec: nawet próby włamania się do systemów komputerowych, których nie posiadasz, są nielegalne. Niby próba kradzieży czyjegoś samochodu jest nadal nielegalna, niezależnie od tego, czy jesteś w stanie go odjechać, czy nie.
NotMe
8

Pozwól mi sparafrazować twoje pytanie:

„Czy etyczne jest włamanie się do czyjegoś domu, tylko po to, aby udowodnić, że można to zrobić, nawet jeśli niczego nie ukradniesz?”

Punkt Marca Gravella na temat zatrzymania prawnika jest dobrze przygotowany ...

avstrallen
źródło
7

Nasz specjalista ds. Bezpieczeństwa sprawdził niektóre starsze aplikacje systemu AIX i konfiguracje serwerów, wykonał bardzo przyjazny i wąski skan obudowy kasetowej IBM z modułami PPC, a kiedy próbował połączyć się z kartą zarządzania - natychmiast się zrestartował!

Nikt nigdy by tego nie pomyślał, a na pewno był to błąd w karcie. Ale możliwe szkody nawet przyjaznego pingowania są po prostu zdumiewające. Nie możesz powiedzieć, że „nie wyrządzasz szkody” - to po prostu nie jest oświadczenie, które możesz zagwarantować.


(w tym przypadku ponowne uruchomienie karty zarządzającej nie miało większego wpływu, z wyjątkiem tego, że fani stracili zarządzanie i osiągnęli pełną prędkość, co jeśli kiedykolwiek miałeś IBM Bladecenter, oznacza, że ​​goście w recepcji znajdującej się dwa piętra niżej od serwerowni mogą „ słyszę się przez kilka minut;)

Oskar Duveborn
źródło
3

Tylko jeśli powiesz im najpierw, a oni pozwolą ci dać z siebie wszystko.

... a jakie to prawdopodobne :)

Nick Pierpoint
źródło
3

Przywołując moją zaawansowaną wiedzę na temat pytania „czy etyczne jest robić X?” oznacza (1) , odpowiedź brzmi „nie”.

(1) Oznacza „powinniśmy zrobić X?”

chaos
źródło
2

Pozostałe dwie odpowiedzi na to pytanie (kiedy go czytam) są doskonałe, więc chciałbym tylko dodać małą sugestię. Nie bierz za pewnik, że nie możesz zdobyć takiej samej wiedzy za pomocą całkowicie legalnych środków. Studiowanie szyfrowania, próba znalezienia luk w zabezpieczeniach w kodzie źródłowym bezpłatnego oprogramowania typu open source, konfigurowanie własnych atrapy systemów, na których można bezpiecznie eksperymentować, czytanie artykułów na temat bezpieczeństwa w Internecie itp. Może być równie edukacyjne.

Lucas Lindström
źródło
2

Odpowiedź brzmi: to zależy.

Ogólnie rzecz biorąc, hakowanie do systemów, których nie posiadasz , jest nielegalne .

Istnieją jednak pewne bardzo ograniczone i bardzo hipotetyczne sytuacje, w których może to być etyczne .

  • Włamanie się do systemów komputerowych wrogiego rządu w czasie wojny
  • Identyfikacja sprawcy przestępstwa w sytuacji „palącego pistoletu”
  • Dostarczanie dowodów niewłaściwego zachowania firmy, które wpływa na zdrowie i bezpieczeństwo innych osób

Te scenariusze są niezwykle rzadkie w prawdziwym życiu (ale zdarzają się przez cały czas w Hollywood) i równie prawdopodobne jest, że wsadzisz dupę do więzienia, jak wszystko inne. Ale różnica między prawem a etyką jest ważna.

Tim Howland
źródło
Pozycja nr 2 jest objęta przepisami prawa dotyczącymi nielegalnego przeszukania i zajęcia.
NotMe
1

Istnieją organizacje / firmy, które pobierają opłaty za swoje usługi „białego kapelusza”, zwykle płacą im duże firmy za okresowe testowanie bezpieczeństwa systemu. Być może mógłbyś znaleźć jedną z tych grup w pobliżu i zaoferować swoje usługi (początkowo za darmo, sugerowałbym), będzie to dla ciebie dobre szkolenie, być może w końcu zarobisz trochę pieniędzy i, co ważne, jest z natury moralnie uzasadnione.

Chopper3
źródło