¿Es ético hackear sistemas reales? [cerrado]

12

¿Es ético hackear sistemas reales propiedad de otra persona? No con fines de lucro, sino para probar sus conocimientos de seguridad y aprender algo nuevo. Solo hablo de hacks, que no dañan el sistema, solo prueban que hay algunos agujeros de seguridad.

Kazimieras Aliulis
fuente
21
Primero, busque un abogado contratante ... puede que los necesite pronto.
Marc Gravell
Si es ético depende del estándar contra el cual se mide. Te das cuenta de esa parte. La legalidad es discutible pero menos subjetiva. Llame a su abogado para obtener asesoramiento sobre eso. Esta pregunta no puede ser respondida aquí.
sh-beta
66
Nunca sabrá si causó algún daño o no.
Oskar Duveborn
@ Oskar, estoy bastante seguro de que hacer algo como eso echo 'you have security trouble' > /root/HACKEDva a causar mucho daño.
Unkwntech
1
¿Lo encuentra ético? No es ético y lo sabes, y nadie de mente sana te dirá que está bien. ¿Es ético entrar en la casa de otra persona? No para robar nada, solo para poner a prueba tus conocimientos y aprender algo nuevo. ¿Es ético para mí piratear sus sistemas? Sin fines de lucro, solo para probar mis conocimientos y aprender algo nuevo.
joeqwerty 01 de

Respuestas:

27

Se ha demostrado una y otra vez que no es ético. Y si descubres un defecto, es probable que te claven en la pared si no les importa la publicidad. Cuando realice cualquier tipo de prueba de seguridad, asegúrese de tener permiso por escrito de alguien con la autoridad para otorgarla. ¿Por qué?

Ver Randal L. Schwartz . Luchó contra la condena durante 12 años y finalmente se eliminó su historial. Estaba haciendo algo que la mayoría de los administradores de sistemas en ese momento no habrían pensado dos veces. Pero condenado lo era.

K. Brian Kelley
fuente
2
Las corporaciones pagan grandes sumas de dinero a los probadores de penetración para entrar en sus propios sistemas. Un buen probador de penetración utilizará un exploit en vivo para entrar y aprovechar el problema para encontrar más vulnerabilidades. Todo se reduce a permiso.
Torre
51

El defecto clave que veo en su pregunta es que parece creer que es posible evaluar correctamente desde el exterior lo que el hackeo de daños le hará a un sistema determinado.

¿Cómo sabe que voltear un bit dado de la manera incorrecta no va a destruir completamente algo y le costará a su objetivo miles o millones de dólares?

Como la ética es muy subjetiva, te responderé de esta manera. Sería mucho más ético dejar solo cosas que no te pertenecen o que no tienes permiso explícito para tocar.

Zoredache
fuente
17

Si solo desea mejorar su conocimiento de seguridad, hay una distribución de Linux llamada Damn Vulnerable Linux . Se utiliza como ayuda para la enseñanza en las clases de seguridad de la universidad e incluye muchas vulnerabilidades de seguridad a propósito.

Simplemente instale eso en una computadora de repuesto, mucho más ético y puede aprender lo mismo.

amarillion
fuente
1
+1 porque es mucho mejor hackear tus propias cosas para aprender que hackear las de otra persona. Luego, una vez que haya aprendido algunos trucos, las sugerencias para unirse a algunas compañías de servicios de sombrero negro tienen sentido, porque esas personas están contratadas para piratear sistemas, por lo que la legalidad ya no está en cuestión.
Milner
1
+1 por la sugerencia. También @Milner, creo que te estás refiriendo a las compañías de "sombrero blanco".
tomjedrz
12

En una palabra, no.

Si encuentra algo de manera rutinaria, entonces sería bueno alertarlos y no explotarlos. Pero salir deliberadamente para probar la seguridad de otra persona no es realmente ético.

Deberían estar pagando a las empresas de seguridad para que hagan esto por ellos y si lo han contratado para que lo haga, entonces claramente no es poco ético. Pero si no ha sido contratado para hacer esto, y expone involuntariamente algún problema, o causa un problema involuntariamente a través de sus acciones de piratería, sospecho que la mayoría de las corporaciones querrían que lo procesen.

Por su propia seguridad, no iría allí. Si está realmente interesado en esto, intente solicitar empleo en las empresas de seguridad contratadas para hacerlo.

Sam Meldrum
fuente
9

No, eso no es ético.

Si lo llevan a los tribunales por irrumpir y entrar ilegalmente, el juez no lo dejará ir porque estaba "probando sus conocimientos de seguridad y aprendiendo algo nuevo".

Si tropieza con una vulnerabilidad de seguridad durante el uso normal de su sistema, diría que es absolutamente ético alertarlos del problema, pero ir explícitamente a buscar vulnerabilidades cuando no está contratado para hacerlo no solo es poco ético, en muchos casos localidades también es ilegal.

Bob Somers
fuente
En realidad, en muchas legislaciones, el juez podría dejarlo en libertad. En dicha legislación, el acto de hackear en sí no es ilegal, es ilegal obtener acceso a información privilegiada, modificar dicha información de cualquier manera, interrumpir las operaciones normales del sistema, etc. Pero en mi humilde opinión, eso no lo hace ético.
vartec
3
No me arriesgaría a la cárcel por la posible falta de conocimiento técnico de un juez.
ceejayoz
@vartec: incluso intentar piratear sistemas informáticos que no son de tu propiedad es ilegal. Algo así como intentar robar el auto de alguien sigue siendo ilegal, ya sea que pueda conducir con él o no.
NotMe
8

Permítame parafrasear su pregunta:

"¿Es ético entrar en la casa de alguien, solo para demostrar que se puede hacer, incluso si no robas nada?"

El comentario de @Marc Gravell sobre la retención de un abogado está bien hecho ...

avstrallen
fuente
7

Hicimos que un especialista en seguridad verificara algunas aplicaciones heredadas de AIX y configuraciones de servidor, hizo un escaneo muy amigable y estrecho de un chasis de blades IBM con blades PPC y cuando intentó conectarse a la tarjeta de administración, ¡eso se reinició instantáneamente!

Nadie hubiera pensado eso, y claramente era un error en la tarjeta. Pero los posibles daños de incluso un ping amigable son simplemente asombrosos. No puede decir que "no hace daño", eso simplemente no es una declaración que pueda garantizar.


(en este caso, reiniciar la tarjeta de administración tuvo poco impacto, excepto que los fanáticos perdieron la administración y entraron a toda velocidad, lo que si alguna vez ha tenido un IBM Bladecenter sabe que los visitantes en el área de recepción dos pisos más abajo de la sala de servidores pueden ' no se escuchan por unos minutos;)

Oskar Duveborn
fuente
3

Solo si les dices primero y te dan permiso para darle tu mejor tiro.

... y qué tan probable es eso :)

Nick Pierpoint
fuente
3

Invocando mi conocimiento avanzado de cuál es la pregunta "¿es ético hacer X?" significa (1) , la respuesta es "no".

(1) Significa "¿deberíamos hacer X?"

caos
fuente
2

Las otras dos respuestas a esta pregunta (cuando la leí) son excelentes, por lo que me gustaría agregar una pequeña sugerencia. No dé por sentado que no puede obtener la misma cantidad de conocimiento a través de medios completamente legales. Estudiar el cifrado, tratar de encontrar agujeros de seguridad en el código fuente del software gratuito de código abierto, configurar sus propios sistemas ficticios en los que pueda experimentar de forma segura, leer artículos sobre seguridad en Internet, etc., puede ser igual de educativo.

Lucas Lindström
fuente
2

La respuesta es, depende.

En general, no es legal piratear sistemas que no son de su propiedad.

Sin embargo, hay algunas situaciones muy limitadas y muy hipotéticas en las que, de hecho, puede ser ético hacerlo.

  • Hackear los sistemas informáticos de un gobierno enemigo durante un tiempo de guerra
  • Identificar al autor de un delito en una situación de "arma humeante"
  • Proporcionar evidencia de mal comportamiento corporativo que afecta la salud y la seguridad de los demás.

Estos escenarios son extremadamente raros en la vida real (pero suceden en Hollywood todo el tiempo) y es tan probable que te arrojen a la cárcel como cualquier otra cosa. Pero la diferencia entre legal y ético es importante.

Tim Howland
fuente
El artículo n. ° 2 está cubierto por las leyes contra la búsqueda e incautación ilegales.
NotMe
1

Hay organizaciones / compañías que cobran por sus servicios de 'sombrero blanco', generalmente las grandes compañías les pagan para probar periódicamente la seguridad de su sistema. Quizás pueda encontrar uno de estos grupos cerca de usted y ofrecerle sus servicios (inicialmente, de forma gratuita, sugeriría), será un buen entrenamiento para usted, posiblemente le haga ganar un poco de dinero y, lo que es más importante, es inherentemente moralmente sólido.

Chopper3
fuente