Apakah etis untuk meretas sistem nyata? [Tutup]

Apakah etis untuk meretas sistem nyata yang dimiliki oleh orang lain? Bukan untuk mencari keuntungan, tetapi untuk menguji pengetahuan keamanan Anda dan mempelajari sesuatu yang baru. Saya hanya berbicara tentang peretasan, yang tidak membuat kerusakan pada sistem, hanya membuktikan ada beberapa celah keamanan.

Telah ditunjukkan berulang kali itu tidak etis. Dan jika Anda menemukan cacat, maka mereka mungkin akan memaku Anda ke dinding jika mereka tidak keberatan publisitas. Saat Anda melakukan pengujian keamanan apa pun, pastikan Anda memiliki izin tertulis dari seseorang yang berwenang untuk memberikannya. Mengapa?

Lihat Randal L. Schwartz . Dia melawan hukuman selama 12 tahun dan akhirnya catatannya dihapuskan. Dia melakukan sesuatu yang sebagian besar sysadmin pada saat itu tidak akan berpikir dua kali. Tapi dia terbukti bersalah.

Kelemahan utama yang saya lihat dalam pertanyaan Anda adalah bahwa Anda tampaknya percaya bahwa mungkin untuk menilai dengan benar dari luar apa yang akan dilakukan kerusakan peretasan terhadap sistem yang diberikan.

Bagaimana Anda tahu bahwa membalik sedikit saja dengan cara yang salah tidak akan sepenuhnya menghancurkan sesuatu dan menelan biaya ribuan atau jutaan dolar target Anda.

Karena etika sangat subjektif, saya akan menjawab Anda dengan cara ini. Akan jauh lebih etis untuk meninggalkan barang-barang sendirian yang bukan milik Anda atau Anda tidak memiliki izin tersentuh secara eksplisit.

Jika Anda hanya ingin meningkatkan pengetahuan keamanan Anda, ada distribusi linux yang disebut Damn Vulnerable Linux . Ini digunakan sebagai alat bantu pengajaran di kelas keamanan universitas dan mencakup banyak kerentanan keamanan dengan sengaja.

Cukup instal itu di komputer cadangan, jauh lebih etis dan Anda bisa belajar sebanyak itu.

Singkatnya, Tidak.

Jika Anda menemukan sesuatu secara rutin maka akan lebih baik untuk mengingatkan mereka dan tidak mengeksploitasinya. Tapi sengaja keluar untuk menguji keamanan orang lain tidak benar-benar etis.

Mereka seharusnya membayar perusahaan keamanan untuk melakukan ini untuk mereka dan jika mereka telah mengontrak Anda untuk melakukan ini, maka itu jelas tidak tidak etis. Tetapi jika Anda belum dikontrak untuk melakukan ini, dan Anda secara tidak sengaja mengungkap beberapa masalah, atau tanpa sengaja menyebabkan masalah melalui tindakan peretasan Anda, saya curiga sebagian besar perusahaan ingin Anda dituntut.

Demi keselamatan Anda sendiri, saya tidak akan pergi ke sana. Jika Anda benar-benar tertarik dengan ini, coba lamar pekerjaan dengan perusahaan keamanan yang dikontrak untuk melakukan ini.

Tidak, itu tidak etis.

Jika mereka membawa Anda ke pengadilan karena melanggar dan masuk secara ilegal, hakim tidak akan membiarkan Anda pergi karena Anda "menguji pengetahuan keamanan Anda dan mempelajari sesuatu yang baru".

Jika Anda menemukan kerentanan keamanan selama penggunaan normal sistem mereka, saya berpendapat itu benar-benar etis untuk mengingatkan mereka tentang masalah ini, tetapi untuk secara eksplisit mencari kerentanan saat Anda tidak dikontrak untuk melakukannya tidak hanya tidak etis, di banyak tempat itu juga ilegal.

Izinkan saya untuk memparafrasekan pertanyaan Anda:

"Apakah etis masuk ke rumah seseorang, hanya untuk membuktikan bahwa itu bisa dilakukan, bahkan jika kamu tidak mencuri apa pun?"

Poin @Marc Gravell tentang mempertahankan pengacara dibuat dengan baik ...

Kami memiliki spesialis keamanan yang memeriksa beberapa aplikasi AIX lama dan konfigurasi server, ia melakukan pemindaian yang sangat ramah dan sempit pada sasis blade IBM dengan pisau PPC dan ketika mencoba terhubung ke kartu manajemen - yang langsung reboot!

Tidak ada yang akan mengira itu, dan itu jelas bug di kartu. Tetapi kemungkinan kerusakan bahkan dari ping yang bersahabat sangat mencengangkan. Anda tidak bisa mengatakan Anda "tidak merusak" - itu bukan pernyataan yang dapat Anda jamin.

(dalam hal ini, me-reboot kartu manajemen hanya berdampak kecil kecuali para penggemar kehilangan manajemen, yang bergerak dengan kecepatan penuh, yang jika Anda pernah memiliki IBM Bladecenter tahu berarti para pengunjung di area penerimaan dua lantai di bawah dari ruang server dapat ' t saling mendengar selama beberapa menit;)

Hanya jika Anda memberi tahu mereka terlebih dahulu dan mereka memberi Anda izin untuk memberikan yang terbaik.

... dan seberapa mungkin itu :)

Memanggil pengetahuan saya tentang pertanyaan "apakah etis melakukan X?" berarti ⁽¹⁾ , jawabannya adalah "tidak".

_{⁽¹⁾ Ini berarti "kita harus melakukan X?"}

Dua jawaban lain untuk pertanyaan ini (ketika saya membacanya) sangat bagus, jadi saya hanya ingin menambahkan saran kecil. Jangan anggap remeh bahwa Anda tidak bisa mendapatkan jumlah pengetahuan yang sama melalui cara yang sepenuhnya legal. Mempelajari enkripsi, mencoba menemukan celah keamanan dalam kode sumber perangkat lunak open source gratis, mengatur sistem boneka Anda sendiri yang dapat Anda coba dengan aman, membaca artikel tentang keamanan internet, dll, bisa sama mendidik.

Jawabannya adalah, tergantung.

Secara umum, ini legal untuk meretas ke dalam sistem yang bukan milik Anda.

Namun, ada beberapa situasi yang sangat terbatas dan sangat hipotetis di mana sebenarnya mungkin etis untuk melakukannya.

• Meretas sistem komputer pemerintah musuh selama masa perang
• Mengidentifikasi pelaku kejahatan dalam situasi "pistol merokok"
• Memberikan bukti perilaku buruk perusahaan yang memengaruhi kesehatan dan keselamatan orang lain

Skenario ini sangat jarang terjadi di kehidupan nyata (tetapi terjadi di hollywood sepanjang waktu), dan kemungkinan besar akan membuat Anda dilempar ke penjara seperti yang lainnya. Tetapi perbedaan antara hukum dan etika itu penting.

Ada organisasi / perusahaan yang mengenakan biaya untuk layanan 'topi putih' mereka, mereka biasanya dibayar oleh perusahaan besar untuk secara berkala menguji keamanan sistem mereka. Mungkin Anda dapat menemukan salah satu dari kelompok-kelompok ini di dekat Anda dan menawarkan layanan Anda (awalnya gratis saya sarankan), itu akan menjadi pelatihan yang baik untuk Anda, mungkin membuat Anda sedikit uang pada akhirnya dan yang penting secara moral sehat.