Це етично зламати реальні системи? [зачинено]

Чи етично зламати реальні системи, якими володіє хтось інший? Не для отримання прибутку, а для того, щоб перевірити свої знання з безпеки та дізнатися щось нове. Я говорю лише про хаки, які не завдають ніякої шкоди системі, просто доводять, що є якісь дірки в безпеці.

Це було показано раз і знову це не етично. І якщо ви виявите недолік, то, швидше за все, вони прибиватимуть вас до стіни, якщо вони не заперечуватимуть з рекламою. Коли ви робите будь-яке тестування безпеки, переконайтесь, що у вас є письмовий дозвіл від того, хто має право на це. Чому?

Див. Рандаль Л. Шварц . Він боровся із засудженням 12 років і, нарешті, був знятий з обліку. Він робив щось, про що в той час не думали двічі. Але засуджений він був.

Основний недолік, який я бачу у вашому запитанні, полягає в тому, що ви, здається, вважаєте, що можна правильно оцінити ззовні, що злом буде завдано даній системі.

Звідки ви знаєте, що перевернути заданий біт неправильним способом не вийде повністю знищити щось і коштувати цільовій тисячі чи мільйонам доларів.

Оскільки етика дуже суб’єктивна, я відповім вам так. Було б набагато етичніше залишати речі в спокої, які не належать вам, або у вас немає явного дозволу на торкання.

Якщо ви просто хочете вдосконалити свої знання в галузі безпеки, існує дистрибутив Linux, який називається Damn Vulvable Linux . Він використовується як навчальний посібник у класах безпеки університету і спеціально включає багато вразливих місць безпеки.

Просто встановіть це на запасний комп'ютер, набагато етичніше, і ви можете навчитися так само багато.

Одним словом, Ні.

Якщо ви щось знайдете в рутинному порядку, тоді було б добре попередити їх, а не використовувати. Але навмисне виїзд на перевірку чужої безпеки не є насправді етичним.

Вони повинні платити охоронним компаніям, щоб вони це зробили за них, і якщо вони з вами домовилися це зробити, то це, очевидно, неетично. Але якщо з вами цього не було укладено, і ви ненавмисно виставляєте якусь проблему або невольно викликаєте проблему через свої хакерські дії, я підозрюю, що більшість корпорацій хочуть, щоб вас притягували до кримінальної відповідальності.

Для вашої безпеки я не ходив би туди. Якщо вас це справді цікавить, спробуйте подати заявку на роботу з охоронними фірмами, укладеними для цього.

Ні, це не етично.

Якщо вони візьмуть вас до суду за незаконний злом та в'їзд, суддя не відпустить вас, оскільки ви "перевіряли свої знання з безпеки та дізнавались щось нове".

Якщо ви натрапляєте на вразливість безпеки під час звичайного використання їх системи, я б стверджував, що абсолютно етично попередити їх про проблему, але явно шукати вразливості, коли вас не домовлять про це, це не тільки неетично, в багатьох місцевостей це також незаконно.

Дозвольте перефразовувати ваше запитання:

"Чи етично ввірватися в чийсь будинок, просто довести, що це можна зробити, навіть якщо ви нічого не вкрадете?"

@ Марк Гравелл питання про утримання адвоката добре зроблено ...

У нас був фахівець з безпеки, який перевірив деякі застарілі програми AIX та конфігурації сервера, він зробив дуже дружню та вузьку перевірку шасі IBM Blade з лопатками PPC, і коли він намагався підключитися до карти управління - це миттєво перезавантажилось!

Ніхто ніколи не подумав би про це, і це явно помилка в картці. Але можливі збитки навіть дружнього пінгу просто вражають. Ви не можете сказати, що ви "не нашкодите" - це просто не твердження, яке ви можете гарантувати.

(у цьому випадку перезавантаження картки управління мало впливає, окрім того, як вентилятори втрачають управління, переходячи на повну швидкість, що якщо ви коли-небудь знаєте IBM Bladecenter, це означає, що відвідувачі в приймальній кімнаті на два поверхи вниз від серверної кімнати можуть '. не чути одне одного протягом декількох хвилин;)

Тільки якщо ви їм спочатку скажете, і вони дадуть вам дозвіл на те, щоб зробити це найкращим чином.

... і наскільки це ймовірно :)

Застосовуючи мої передові знання про те, що питання "чи етично робити X?" означає ⁽¹⁾ , відповідь - «ні».

_{⁽¹⁾ Це означає "чи слід робити X?"}

Інші два відповіді на це запитання (коли я його читаю) чудові, тому я просто хотів би додати невелику пропозицію. Не сприймайте як належне, що не зможете здобути однакову кількість знань цілком законними засобами. Вивчення шифрування, намагання знайти дірки безпеки у вихідному коді безкоштовного програмного забезпечення з відкритим кодом, налаштування власних фіктивних систем, над якими можна безпечно експериментувати, читаючи статті про безпеку в Інтернеті тощо, може бути настільки ж навчальним.

Відповідь: це залежить.

Взагалі не є законним злом у системах, якими ви не володієте.

Однак є деякі дуже обмежені та дуже гіпотетичні ситуації, коли це насправді може бути етичним .

• Злам у комп’ютерні системи уряду ворога під час війни
• Впізнання винного в злочині в ситуації з "курінням"
• Надання доказів корпоративної поведінки, що впливає на здоров'я та безпеку інших

Ці сценарії в реальному житті є надзвичайно рідкісними (але трапляються в Голлівуді весь час), і так само ймовірно, що ваш задницю кинуть у в'язницю, як і все інше. Але важлива різниця між правовим та етичним.

Є організації / компанії, які беруть плату за послуги «білого капелюха», зазвичай їх платять великі компанії, щоб періодично перевіряти безпеку своєї системи. Можливо, ви могли б знайти одну з цих груп поруч із собою і запропонувати свої послуги (спочатку я б пропонував безкоштовно), це буде хорошим тренуванням для вас, можливо, зроблять вам трохи грошей у підсумку і, що важливо, по суті є морально здоровим.