it-swarm-es.com

¿Es ético hackear sistemas reales?

¿Es ético hackear sistemas reales propiedad de otra persona? No con fines de lucro, sino para probar su conocimiento de seguridad y aprender algo nuevo. Solo hablo sobre hacks, que no hace ningún daño al sistema, solo demuestra que hay algunos agujeros de seguridad.

12
Kazimieras Aliulis

Se ha mostrado una y otra vez que no es ético. Y si descubres un defecto, es probable que te clavan en la pared si no les importa la publicidad. Cuando realice algún tipo de pruebas de seguridad, asegúrese de tener permiso por escrito de alguien con la autoridad para darla. ¿Por qué?

Ver Randal L. Schwartz . Luchó con la convicción durante 12 años y finalmente tuvo su récord expunido. Estaba haciendo algo que la mayoría de SysAdmins en ese momento no habría pensado dos veces. Pero condenado lo era.

27
K. Brian Kelley

La falla clave que veo en su pregunta es que parece que cree que es posible evaluar correctamente desde el exterior, lo que hará la piratería de daño a un sistema determinado.

¿Cómo sabes que al voltear un bit dado que la forma incorrecta no va a destruir completamente algo y le costará a su objetivo miles o millones de dólares?.

Dado que la ética es muy subjetiva, le responderé de esta manera. Sería mucho más ético dejar cosas solas que no le pertenecen a usted o no tiene permiso explícito para tocar.

51
Zoredache

En una palabra, no.

Si encuentras algo de forma rutinaria, sería bueno alertarlos y no explotarlo. Pero deliberadamente salir a probar la seguridad de otra persona no es realmente ética.

Deben estar pagando a las empresas de seguridad para hacer esto para ellos y si le han contratado para hacer esto, entonces claramente no es ético. Pero si no se ha contratado para hacer esto, y usted expone involuntariamente algún problema, o causa un problema de manera inconsciente a través de sus acciones de piratería, sospecho que la mayoría de las corporaciones querríamos procesadas.

Por tu propia seguridad, no iría allí. Si está realmente interesado en esto, intente solicitar empleos con las empresas de seguridad contratadas para hacer esto.

12
Sam Meldrum

No, eso no es ético.

Si lo llevan a la corte por romper ilegalmente y entrar, el juez no le decepcionará porque estaba "probando su conocimiento de seguridad y aprendiendo algo nuevo".

Si tropiezas con una vulnerabilidad de seguridad durante el uso normal de su sistema, argumentaría que es absolutamente ético alertarles el problema, pero para buscar explícitamente buscar vulnerabilidades cuando no se contrata para hacerlo, no solo es poco ético, en muchos Las localidades también es ilegal.

9
Bob Somers

Permíteme parafrasear su pregunta:

"¿Es ético romper en la casa de alguien, solo para demostrar que se puede hacer, incluso si no robas nada?"

El punto de @marc Gravell acerca de retener a un abogado está bien hecho ...

8
avstrallen

Tuvimos un especialista en seguridad, verifique algunas configuraciones de aplicaciones y servidores Legacy AIX, hizo una exploración muy amigable y estrecha de un chasis de blade de IBM con PPC Blades y cuando intentó conectarse a la tarjeta de administración. ¡Eso reiniciado instantáneamente!

Nadie lo habría pensado, y fue claramente un error en la tarjeta. Pero los posibles daños incluso de un ping amistoso son simplemente asombrosos. No puede decir que "no haga daño", eso simplemente no es una declaración que pueda garantizar.


(En este caso, reiniciar la tarjeta de administración tuvo poco impacto, excepto los fanáticos que pierden la gestión, entrando a toda velocidad, que si alguna vez ha tenido un IBM BladeCenter, significa que los visitantes en el área de recepción se derivan de dos pisos de la La sala del servidor no se puede escuchar unos minutos por unos minutos;

7
Oskar Duveborn

Llamando a mi conocimiento avanzado de cuál es la pregunta "¿Es ético para hacer X?" medio (1), la respuesta es no".

(1) Significa "¿Deberíamos hacer X?"

3
chaos

Las otras dos respuestas a esta pregunta (cuando lo leí) son excelentes, así que me gustaría agregar una pequeña sugerencia. No dude por sentado que no puede obtener la misma cantidad de conocimiento a través de medios completamente legales. Estudiando el cifrado, tratando de encontrar agujeros de seguridad en el código fuente de software de código abierto gratuito, configurar sus propios sistemas ficticios que puede experimentar de manera segura, leer artículos sobre seguridad de Internet, etc., puede ser igual de educacional.

2
Lucas Lindström

La respuesta es, depende.

Es, en general, ilegal Hackear en sistemas que no tienes.

Sin embargo, hay algunas situaciones muy limitadas y muy hipotéticas donde, de hecho, puede ser ético para hacerlo.

  • Hacking en los sistemas informáticos de un gobierno enemigo durante un tiempo de guerra
  • Identificando al perpetrador de un crimen en una situación de "pistola humeante"
  • Proporcionando evidencia de mal comportamiento corporativo que afecta la salud y la seguridad de los demás.

Estos escenarios son extremadamente raros en la vida real (pero suceden en Hollywood todo el tiempo), y es tan probable que tengan su culo arrojado a la cárcel como cualquier otra cosa. Pero la diferencia entre legal y ética es importante.

2
Tim Howland

Hay organizaciones/compañías que cobran por sus servicios 'White Hat', generalmente son pagados por grandes empresas para probar periódicamente la seguridad de su sistema. Tal vez usted pueda encontrar uno de estos grupos cerca de usted y ofrecer sus servicios (al principio, de forma gratuita, lo sugeriría), será un buen entrenamiento para usted, posiblemente le hará un poco de dinero eventualmente e importante es inherentemente moralmente sano.

1
Chopper3