Этично ли взламывать реальные системы, принадлежащие кому-то другому? Не ради прибыли, а чтобы проверить свои знания в области безопасности и узнать что-то новое. Я говорю только о взломах, которые не наносят вреда системе, а просто доказывают, что в безопасности есть дыры.
Ключевой недостаток, который я вижу в вашем вопросе, заключается в том, что вы, кажется, верите, что можно правильно оценить извне, какой ущерб нанесет данной системе взлом.
Откуда вы знаете, что неверный поворот данного бита не приведет к полному разрушению чего-либо и обойдется вашей цели в тысячи или миллионы долларов.
Поскольку этика очень субъективна, я отвечу вам так. Было бы намного этичнее оставить в покое то, что вам не принадлежит или у вас нет явного разрешения прикасаться.
Снова и снова было показано, что это неэтично. А если вы обнаружите изъян, они, скорее всего, пригвоздят вас к стене, если не будут возражать против публичности. Когда вы проводите какое-либо тестирование безопасности, убедитесь, что у вас есть письменное разрешение от лица, уполномоченного его дать. Зачем?
Видеть Рэндал Л. Шварц. Он боролся с обвинением в течение 12 лет и, наконец, его запись была снята. Он делал то, о чем большинство системных администраторов в то время не подумали бы дважды. Но осужден он был.
Если вы просто хотите улучшить свои знания в области безопасности, существует дистрибутив Linux под названием Чертовски уязвимый Linux. Он используется в качестве учебного пособия на занятиях по безопасности в университетах и специально включает в себя множество уязвимостей.
Просто установите это на запасной компьютер, это гораздо более этично, и вы сможете узнать столько же.
Одним словом, нет.
Если вы обнаружите что-то обычным способом, было бы хорошо предупредить их, а не использовать это. Но намеренно выходить на улицу, чтобы проверить чью-то безопасность, на самом деле не этично.
Они должны платить охранным фирмам, чтобы они сделали это за них, и если они наняли вас на это, то это явно не неэтично. Но если с вами не заключен контракт на это, и вы непреднамеренно обнаруживаете какую-то проблему или невольно вызываете проблему из-за своих хакерских действий, я подозреваю, что большинство корпораций захотят, чтобы вы были привлечены к ответственности.
Ради вашей же безопасности я бы туда не пошел. Если вы действительно заинтересованы в этом, попробуйте устроиться на работу в охранные фирмы, с которыми это связано.
Нет, это не этично.
Если вас привлекут в суд за незаконное вторжение и проникновение, судья не отпустит вас, потому что вы «проверяли свои знания в области безопасности и узнали что-то новое».
Если вы наткнетесь на уязвимость в системе безопасности при нормальном использовании их системы, я бы сказал, что абсолютно этично предупреждать их о проблеме, но явный поиск уязвимостей, когда с вами не заключен контракт, не только неэтично, во многих случаях населенных пунктов это тоже незаконно.
Разрешите перефразировать ваш вопрос:
«Этично ли ворваться в чей-то дом, просто чтобы доказать, что это можно сделать, даже если вы ничего не крадете?»
Точка зрения @Marc Gravell о том, чтобы нанять адвоката, хорошо выражена ...
У нас был специалист по безопасности, который проверил некоторые устаревшие приложения AIX и конфигурации серверов, он провел очень дружелюбное и узкое сканирование шасси блейд-серверов IBM с блейд-модулями PPC, и когда оно попыталось подключиться к карте управления - оно немедленно перезагрузилось!
Никто бы никогда не подумал об этом, и это явно была ошибка карты. Но возможные повреждения даже дружеского пинга просто поразительны. Вы не можете сказать, что «не навредите» - это просто не то заявление, которое вы можете гарантировать.
' не слышу друг друга несколько минут;)
Только если вы сначала скажете им, и они позволят вам сделать все возможное.
... и насколько это вероятно :)
Обращаясь к моим продвинутым знаниям о том, «этично ли делать X?» средства (1), ответ - нет".
(1) Это означает "мы должны сделать X?"
Два других ответа на этот вопрос (когда я их прочитал) превосходны, поэтому я просто хотел бы добавить небольшое предложение. Не считайте само собой разумеющимся, что вы не можете получить такой же объем знаний полностью законными способами. Изучение шифрования, попытки найти дыры в безопасности в исходном коде бесплатного программного обеспечения с открытым исходным кодом, настройка собственных фиктивных систем, над которыми вы можете безопасно экспериментировать, чтение статей по интернет-безопасности и т. Д. Могут быть столь же образовательными.
Ответ: это зависит от обстоятельств.
Это, вообще говоря, не законный взламывать системы, которыми вы не владеете.
Однако есть несколько очень ограниченных и очень гипотетических ситуаций, в которых на самом деле этичный сделать так.
Эти сценарии крайне редки в реальной жизни (но происходят в Голливуде постоянно) и с такой же вероятностью, как и все остальное, попадут в тюрьму. Но разница между юридическим и этическим важна.
Есть организации / компании, которые взимают плату за свои услуги «белой шляпы», обычно им платят крупные компании за периодическую проверку безопасности своей системы. Возможно, вы могли бы найти одну из этих групп рядом с вами и предложить свои услуги (сначала бесплатно, я бы посоветовал), это будет для вас хорошим обучением, возможно, в конечном итоге принесет вам немного денег и, что важно, по своей сути морально здоровым.