Est-il éthique de pirater de vrais systèmes? [fermé]
12
Est-il éthique de pirater de vrais systèmes appartenant à quelqu'un d'autre? Pas pour le profit, mais pour tester vos connaissances en matière de sécurité et apprendre quelque chose de nouveau. Je ne parle que des hacks, qui n'endommagent pas le système, prouve simplement qu'il y a des failles de sécurité.
Tout d'abord, demandez à un avocat de retenir ... vous en aurez peut-être bientôt besoin.
Marc Gravell
Son caractère éthique dépend de la norme par rapport à laquelle il est mesuré. Vous comprenez cette partie. La légalité est défendable mais moins subjective. Appelez votre avocat pour obtenir des conseils à ce sujet. On ne peut pas répondre à cette question ici.
sh-beta
6
Vous ne saurez jamais s'il a causé des dommages ou non.
Oskar Duveborn
@Oskar, je suis assez sûr que faire quelque chose comme ça echo 'you have security trouble' > /root/HACKEDva causer beaucoup de dégâts.
Unkwntech
1
Trouvez-vous cela éthique? Ce n'est pas éthique et vous le savez et personne de bon esprit ne vous dira que c'est OK. Est-il éthique de s'introduire chez quelqu'un d'autre? Pas pour voler quoi que ce soit, mais juste pour tester vos connaissances et apprendre quelque chose de nouveau. Est-il éthique pour moi de pirater vos systèmes? Sans but lucratif, juste pour tester mes connaissances et apprendre quelque chose de nouveau.
joeqwerty
Réponses:
27
Il a été démontré à maintes reprises que ce n'est pas éthique. Et si vous découvrez un défaut, ils vous cloueront probablement au mur s'ils ne font pas attention à la publicité. Lorsque vous effectuez une sorte de test de sécurité, assurez-vous que vous avez l'autorisation écrite d'une personne autorisée à le donner. Pourquoi?
Voir Randal L. Schwartz . Il a combattu la condamnation pendant 12 ans et a finalement fait radier son dossier. Il faisait quelque chose que la plupart des administrateurs système à l'époque n'auraient pas pensé à deux fois. Mais il a été reconnu coupable.
Les entreprises paient des sommes importantes aux testeurs de pénétration pour s'introduire dans leurs propres systèmes. Un bon testeur de pénétration utilisera un exploit en direct pour percer et exploiter le problème pour trouver plus de vulnérabilités. Cela revient à la permission.
Tour
51
Le principal défaut que je vois dans votre question est que vous semblez croire qu'il est possible d'évaluer correctement de l'extérieur ce que le piratage des dommages fera à un système donné.
Comment savez-vous que retourner un bit donné dans le mauvais sens ne va pas détruire complètement quelque chose et coûter des milliers ou des millions de dollars à votre cible.
L'éthique étant très subjective, je vais vous répondre de cette façon. Il serait beaucoup plus éthique de laisser seul des choses qui ne vous appartiennent pas ou vous n'avez pas la permission explicite de les toucher.
Si vous souhaitez simplement améliorer vos connaissances en matière de sécurité, il existe une distribution Linux appelée Damn Vulnerable Linux . Il est utilisé comme outil pédagogique dans les cours de sécurité universitaires et inclut volontairement de nombreuses failles de sécurité.
Installez-le simplement sur un ordinateur de rechange, beaucoup plus éthique et vous pouvez en apprendre autant.
+1, car il est préférable de pirater vos propres trucs pour apprendre que de pirater ceux de quelqu'un d'autre. Ensuite, une fois que vous avez appris quelques astuces, les suggestions de se lier avec certaines sociétés de services de chapeau noir ont du sens, car ces gens sont embauchés pour pirater des systèmes, donc la légalité n'est plus en cause.
Milner
1
+1 pour la suggestion. Aussi, @Milner, je pense que vous faites référence aux sociétés "à chapeau blanc".
tomjedrz
12
En un mot, non.
Si vous trouvez quelque chose de manière routinière, il serait bon de les alerter et de ne pas les exploiter. Mais sortir délibérément pour tester la sécurité de quelqu'un d'autre n'est pas vraiment éthique.
Ils devraient payer des sociétés de sécurité pour le faire pour eux et s'ils vous ont engagé pour le faire, alors ce n'est clairement pas contraire à l'éthique. Mais si vous n'avez pas été mandaté pour le faire et que vous exposez involontairement un problème ou si vous causez un problème sans le savoir par vos actions de piratage, je pense que la plupart des sociétés voudraient que vous soyez poursuivi.
Pour votre propre sécurité, je n'irais pas là-bas. Si vous êtes vraiment intéressé par cela, essayez de postuler pour des emplois auprès des entreprises de sécurité sous contrat.
S'ils vous traduisent en justice pour introduction par effraction illégale, le juge ne vous laissera pas tomber parce que vous "testiez vos connaissances en matière de sécurité et appreniez quelque chose de nouveau".
Si vous tombez sur une vulnérabilité de sécurité lors de l'utilisation normale de leur système, je dirais qu'il est absolument éthique de les alerter du problème, mais rechercher explicitement des vulnérabilités lorsque vous n'êtes pas sous contrat n'est pas seulement contraire à l'éthique, dans de nombreux cas localités, il est également illégal.
En fait, dans de nombreuses législations, le juge peut vous laisser filer. Dans une telle législation, l'acte de piratage lui-même n'est pas illégal, il est illégal d'accéder à des informations privilégiées, de modifier ces informations de quelque manière que ce soit, de perturber le fonctionnement normal du système, etc. Mais à mon humble avis, cela ne rend pas cela éthique.
vartec
3
Je ne risquerais pas de prison pour le manque potentiel de connaissances techniques d'un juge.
ceejayoz
@vartec: même tenter de pirater des systèmes informatiques que vous ne possédez pas est illégal. Un peu comme tenter de voler la voiture de quelqu'un est toujours illégal, que vous soyez en mesure de partir avec ou non.
NotMe
8
Permettez-moi de paraphraser votre question:
"Est-ce éthique de pénétrer par effraction dans la maison de quelqu'un, juste pour prouver que cela peut être fait, même si vous ne volez rien?"
@Marc Gravell a bien fait de retenir un avocat ...
Un spécialiste de la sécurité a vérifié certaines applications AIX et configurations de serveurs héritées, il a effectué une analyse très conviviale et étroite d'un châssis de lames IBM avec des lames PPC et lorsqu'il a essayé de se connecter à la carte de gestion - cela a instantanément redémarré!
Personne n'aurait jamais pensé cela, et c'était clairement un bug dans la carte. Mais les dommages possibles même d'un ping amical sont tout simplement stupéfiants. Vous ne pouvez pas dire que vous "ne faites aucun dommage" - ce n'est tout simplement pas une déclaration que vous pouvez garantir.
(dans ce cas, le redémarrage de la carte de gestion a eu peu d'impact, sauf que les fans perdent la gestion, passant à pleine vitesse, ce qui, si vous avez déjà eu un IBM Bladecenter, signifie que les visiteurs de la zone de réception à deux étages de la salle des serveurs peuvent '' ne vous entendez pas pendant quelques minutes;)
Les deux autres réponses à cette question (quand je l'ai lu) sont excellentes, donc je voudrais juste ajouter une petite suggestion. Ne tenez pas pour acquis que vous ne pouvez pas acquérir la même quantité de connaissances par des moyens complètement légaux. Étudier le cryptage, essayer de trouver des failles de sécurité dans le code source des logiciels libres, créer vos propres systèmes factices que vous pouvez expérimenter en toute sécurité, lire des articles sur la sécurité Internet, etc., peut être tout aussi éducatif.
Il n'est généralement pas légal de pirater des systèmes que vous ne possédez pas.
Cependant, il existe des situations très limitées et très hypothétiques où il peut en fait être éthique de le faire.
Piratage des systèmes informatiques d'un gouvernement ennemi en temps de guerre
Identifier l'auteur d'un crime dans une situation de "pistolet fumant"
Fournir des preuves de mauvaise conduite des entreprises qui affectent la santé et la sécurité des autres
Ces scénarios sont extrêmement rares dans la vraie vie (mais se produisent à Hollywood tout le temps), et sont tout aussi susceptibles de se faire jeter le cul en prison que toute autre chose. Mais la différence entre juridique et éthique est importante.
L'article n ° 2 est couvert par les lois contre les fouilles et les saisies illégales.
NotMe
1
Il existe des organisations / entreprises qui facturent leurs services «chapeau blanc», elles sont généralement payées par de grandes entreprises pour tester périodiquement la sécurité de leur système. Peut-être pourriez-vous trouver l'un de ces groupes près de chez vous et offrir vos services (initialement gratuitement, je suggère), ce sera une bonne formation pour vous, peut-être vous faire éventuellement un peu d'argent et, surtout, est intrinsèquement moralement sain.
echo 'you have security trouble' > /root/HACKED
va causer beaucoup de dégâts.Réponses:
Il a été démontré à maintes reprises que ce n'est pas éthique. Et si vous découvrez un défaut, ils vous cloueront probablement au mur s'ils ne font pas attention à la publicité. Lorsque vous effectuez une sorte de test de sécurité, assurez-vous que vous avez l'autorisation écrite d'une personne autorisée à le donner. Pourquoi?
Voir Randal L. Schwartz . Il a combattu la condamnation pendant 12 ans et a finalement fait radier son dossier. Il faisait quelque chose que la plupart des administrateurs système à l'époque n'auraient pas pensé à deux fois. Mais il a été reconnu coupable.
la source
Le principal défaut que je vois dans votre question est que vous semblez croire qu'il est possible d'évaluer correctement de l'extérieur ce que le piratage des dommages fera à un système donné.
Comment savez-vous que retourner un bit donné dans le mauvais sens ne va pas détruire complètement quelque chose et coûter des milliers ou des millions de dollars à votre cible.
L'éthique étant très subjective, je vais vous répondre de cette façon. Il serait beaucoup plus éthique de laisser seul des choses qui ne vous appartiennent pas ou vous n'avez pas la permission explicite de les toucher.
la source
Si vous souhaitez simplement améliorer vos connaissances en matière de sécurité, il existe une distribution Linux appelée Damn Vulnerable Linux . Il est utilisé comme outil pédagogique dans les cours de sécurité universitaires et inclut volontairement de nombreuses failles de sécurité.
Installez-le simplement sur un ordinateur de rechange, beaucoup plus éthique et vous pouvez en apprendre autant.
la source
En un mot, non.
Si vous trouvez quelque chose de manière routinière, il serait bon de les alerter et de ne pas les exploiter. Mais sortir délibérément pour tester la sécurité de quelqu'un d'autre n'est pas vraiment éthique.
Ils devraient payer des sociétés de sécurité pour le faire pour eux et s'ils vous ont engagé pour le faire, alors ce n'est clairement pas contraire à l'éthique. Mais si vous n'avez pas été mandaté pour le faire et que vous exposez involontairement un problème ou si vous causez un problème sans le savoir par vos actions de piratage, je pense que la plupart des sociétés voudraient que vous soyez poursuivi.
Pour votre propre sécurité, je n'irais pas là-bas. Si vous êtes vraiment intéressé par cela, essayez de postuler pour des emplois auprès des entreprises de sécurité sous contrat.
la source
Non, ce n'est pas éthique.
S'ils vous traduisent en justice pour introduction par effraction illégale, le juge ne vous laissera pas tomber parce que vous "testiez vos connaissances en matière de sécurité et appreniez quelque chose de nouveau".
Si vous tombez sur une vulnérabilité de sécurité lors de l'utilisation normale de leur système, je dirais qu'il est absolument éthique de les alerter du problème, mais rechercher explicitement des vulnérabilités lorsque vous n'êtes pas sous contrat n'est pas seulement contraire à l'éthique, dans de nombreux cas localités, il est également illégal.
la source
Permettez-moi de paraphraser votre question:
"Est-ce éthique de pénétrer par effraction dans la maison de quelqu'un, juste pour prouver que cela peut être fait, même si vous ne volez rien?"
@Marc Gravell a bien fait de retenir un avocat ...
la source
Un spécialiste de la sécurité a vérifié certaines applications AIX et configurations de serveurs héritées, il a effectué une analyse très conviviale et étroite d'un châssis de lames IBM avec des lames PPC et lorsqu'il a essayé de se connecter à la carte de gestion - cela a instantanément redémarré!
Personne n'aurait jamais pensé cela, et c'était clairement un bug dans la carte. Mais les dommages possibles même d'un ping amical sont tout simplement stupéfiants. Vous ne pouvez pas dire que vous "ne faites aucun dommage" - ce n'est tout simplement pas une déclaration que vous pouvez garantir.
(dans ce cas, le redémarrage de la carte de gestion a eu peu d'impact, sauf que les fans perdent la gestion, passant à pleine vitesse, ce qui, si vous avez déjà eu un IBM Bladecenter, signifie que les visiteurs de la zone de réception à deux étages de la salle des serveurs peuvent '' ne vous entendez pas pendant quelques minutes;)
la source
Seulement si vous leur dites d'abord et qu'ils vous donnent la permission de faire de votre mieux.
... et quelle est la probabilité que :)
la source
Faisant appel à mes connaissances avancées de la question "est-ce éthique de faire X?" signifie (1) , la réponse est "non".
(1) Cela signifie "devons-nous faire X?"
la source
Les deux autres réponses à cette question (quand je l'ai lu) sont excellentes, donc je voudrais juste ajouter une petite suggestion. Ne tenez pas pour acquis que vous ne pouvez pas acquérir la même quantité de connaissances par des moyens complètement légaux. Étudier le cryptage, essayer de trouver des failles de sécurité dans le code source des logiciels libres, créer vos propres systèmes factices que vous pouvez expérimenter en toute sécurité, lire des articles sur la sécurité Internet, etc., peut être tout aussi éducatif.
la source
La réponse est: cela dépend.
Il n'est généralement pas légal de pirater des systèmes que vous ne possédez pas.
Cependant, il existe des situations très limitées et très hypothétiques où il peut en fait être éthique de le faire.
Ces scénarios sont extrêmement rares dans la vraie vie (mais se produisent à Hollywood tout le temps), et sont tout aussi susceptibles de se faire jeter le cul en prison que toute autre chose. Mais la différence entre juridique et éthique est importante.
la source
Il existe des organisations / entreprises qui facturent leurs services «chapeau blanc», elles sont généralement payées par de grandes entreprises pour tester périodiquement la sécurité de leur système. Peut-être pourriez-vous trouver l'un de ces groupes près de chez vous et offrir vos services (initialement gratuitement, je suggère), ce sera une bonne formation pour vous, peut-être vous faire éventuellement un peu d'argent et, surtout, est intrinsèquement moralement sain.
la source