Ist es ethisch korrekt, echte Systeme zu hacken? [geschlossen]

12

Ist es ethisch korrekt, echte Systeme zu hacken, die jemand anderem gehören? Nicht um Profit zu machen, sondern um Ihr Sicherheitswissen zu testen und etwas Neues zu lernen. Ich spreche nur von Hacks, die dem System keinen Schaden zufügen, sondern nur beweisen, dass es einige Sicherheitslücken gibt.

Kazimieras Aliulis
quelle
21
Besorgen Sie sich zuerst einen Anwalt, der Ihnen den Vorzug gibt. Vielleicht brauchen Sie ihn bald.
Marc Gravell
Ob es ethisch ist, hängt von dem Standard ab, an dem es gemessen wird. Sie finden diesen Teil heraus. Die Legalität ist fraglich, aber weniger subjektiv. Rufen Sie dazu Ihren Anwalt an. Diese Frage kann hier nicht beantwortet werden.
sh-beta
6
Sie werden nie erfahren, ob es beschädigt wurde oder nicht.
Oskar Duveborn
@Oskar, ich bin mir ziemlich sicher, dass so etwas echo 'you have security trouble' > /root/HACKEDviel Schaden anrichten wird.
Unkwntech
1
Finden Sie es ethisch? Es ist nicht ehtisch und du weißt es und niemand mit gesundem Verstand wird dir sagen, dass es in Ordnung ist. Ist es ethisch korrekt, in das Haus eines anderen einzubrechen? Nicht um etwas zu stehlen, sondern nur um dein Wissen zu testen und etwas Neues zu lernen. Ist es für mich ethisch korrekt, Ihre Systeme zu hacken? Nicht für den Profit, nur um mein Wissen zu testen und etwas Neues zu lernen.
Joeqwerty

Antworten:

27

Es wurde immer wieder gezeigt, dass es nicht ethisch ist. Und wenn Sie einen Fehler entdecken, werden sie Sie wahrscheinlich an die Wand nageln, wenn sie die Werbung nicht stören. Stellen Sie bei jeder Art von Sicherheitstest sicher, dass Sie die schriftliche Erlaubnis von jemandem haben, der befugt ist, diese zu erteilen. Warum?

Siehe Randal L. Schwartz . Er kämpfte 12 Jahre lang gegen die Verurteilung und ließ schließlich seinen Rekord streichen. Er tat etwas, woran die meisten Sysadmins zu der Zeit nicht zweimal nachgedacht hätten. Aber verurteilt war er.

K. Brian Kelley
quelle
2
Unternehmen zahlen Penetrationstestern viel Geld, um in ihre eigenen Systeme einzudringen. Ein guter Penetrationstester nutzt einen Live-Exploit, um das Problem zu lösen und weitere Schwachstellen zu finden. Es kommt auf die Erlaubnis an.
Turm
51

Der Hauptfehler, den ich in Ihrer Frage sehe, ist, dass Sie anscheinend glauben, dass es möglich ist, von außen richtig einzuschätzen, was der Schaden, der durch das Hacken eines bestimmten Systems entsteht, anrichten wird.

Woher weißt du, dass das Umdrehen eines bestimmten Teils in die falsche Richtung nicht zu einer vollständigen Zerstörung führt und dein Ziel Tausende oder Millionen Dollar kostet?

Da die Ethik sehr subjektiv ist, werde ich Ihnen auf diese Weise antworten. Es wäre viel ethischer, Dinge in Ruhe zu lassen, die dir nicht gehören oder die du nicht ausdrücklich berühren darfst.

Zoredache
quelle
17

Wenn Sie nur Ihre Sicherheitskenntnisse verbessern möchten, gibt es eine Linux-Distribution namens Damn Vulnerable Linux . Es wird als Unterrichtshilfe in Sicherheitsklassen an Universitäten verwendet und enthält absichtlich viele Sicherheitslücken.

Installieren Sie das einfach auf einem Ersatzcomputer, viel ethischer und Sie können genauso viel lernen.

amarillion
quelle
1
+1, weil es weitaus besser ist, eigene Sachen zu hacken, um zu lernen, als fremde Sachen zu hacken. Sobald Sie einige Tricks gelernt haben, sind die Vorschläge, mit einigen Black-Hat-Service-Unternehmen in Kontakt zu treten, sinnvoll, da diese Leute mit Hack-Systemen beauftragt sind, sodass die Legalität nicht mehr in Frage steht.
Milner
1
+1 für den Vorschlag. @Milner, ich glaube, Sie beziehen sich auf "White Hat" -Unternehmen.
tomjedrz
12

Mit einem Wort, nein.

Wenn Sie etwas routinemäßig herausfinden, ist es gut, sie zu warnen und es nicht auszunutzen. Aber absichtlich die Sicherheit eines anderen zu testen, ist nicht wirklich ethisch.

Sie sollten Sicherheitsfirmen dafür bezahlen, und wenn sie Sie damit beauftragt haben, dann ist dies eindeutig nicht unethisch. Aber wenn Sie nicht beauftragt wurden, dies zu tun, und Sie versehentlich ein Problem aufdecken oder ein Problem verursachen, das unbeabsichtigt durch Ihre Hacking-Aktionen verursacht wird, vermute ich, dass die meisten Unternehmen möchten, dass Sie strafrechtlich verfolgt werden.

Zu Ihrer eigenen Sicherheit würde ich nicht dorthin gehen. Wenn Sie wirklich daran interessiert sind, bewerben Sie sich bei den dafür beauftragten Sicherheitsfirmen.

Sam Meldrum
quelle
9

Nein, das ist nicht ethisch.

Wenn Sie wegen illegalen Einbruchs vor Gericht gestellt werden, lässt Sie der Richter nicht los, weil Sie "Ihre Sicherheitskenntnisse getestet und etwas Neues gelernt haben".

Wenn Sie während der normalen Nutzung des Systems auf eine Sicherheitslücke stoßen, ist es meines Erachtens absolut ethisch einwandfrei, sie auf das Problem aufmerksam zu machen, aber die Suche nach Sicherheitslücken, für die Sie keinen Vertrag haben, ist nicht nur in vielen Fällen unethisch Ortschaften ist es auch illegal.

Bob Somers
quelle
Tatsächlich könnte der Richter Sie in vielen Gesetzen entlassen. In solchen Gesetzen ist es nicht illegal, sich selbst zu hacken. Es ist illegal, sich privilegierte Informationen zu verschaffen, diese Informationen in irgendeiner Weise zu ändern, den normalen Betrieb des Systems zu stören usw. Aber IMHO, das macht das nicht ethisch.
Vartec
3
Ich würde keine Gefängnisstrafe riskieren, weil einem Richter möglicherweise technische Kenntnisse fehlen.
ceejayoz
@vartec: Selbst der Versuch, Computersysteme zu hacken, die Sie nicht besitzen, ist illegal. Es ist immer noch illegal, jemandem das Auto zu stehlen, egal ob man damit wegfahren kann oder nicht.
NotMe
8

Gestatten Sie mir, Ihre Frage zu umschreiben:

"Ist es ethisch, in jemandes Haus einzubrechen, nur um zu beweisen, dass es möglich ist, auch wenn Sie nichts stehlen?"

@Marc Gravells Argument über die Beibehaltung eines Anwalts ist gut gemacht ...

avstrallen
quelle
7

Wir ließen einige ältere AIX-Anwendungen und Serverkonfigurationen von einem Sicherheitsspezialisten überprüfen. Er führte einen sehr freundlichen und engen Scan eines IBM Blade-Gehäuses mit PPC-Blades durch und versuchte, eine Verbindung mit der Management-Karte herzustellen. Dieser wurde sofort neu gestartet.

Niemand hätte das gedacht, und es war eindeutig ein Fehler in der Karte. Aber die möglichen Schäden, die selbst ein freundlicher Ping anrichten kann, sind einfach verblüffend. Sie können nicht sagen, dass Sie "keinen Schaden anrichten" - das ist einfach keine Aussage, die Sie garantieren können.


(In diesem Fall hatte ein Neustart der Managementkarte nur geringe Auswirkungen, außer dass die Fans das Management verlieren und auf Hochtouren gehen. Wenn Sie jemals über ein IBM Bladecenter verfügen, bedeutet dies, dass die Besucher im Empfangsbereich zwei Stockwerke vom Serverraum entfernt sind.) Ich höre mich ein paar Minuten lang nicht;)

Oskar Duveborn
quelle
3

Nur wenn du es ihnen zuerst sagst und sie dir die Erlaubnis geben, dein Bestes zu geben.

... und wie wahrscheinlich ist das :)

Nick Pierpoint
quelle
3

Unter Berufung auf meine fortgeschrittenen Kenntnisse über die Frage "Ist es ethisch korrekt, X zu tun?" bedeutet (1) , die Antwort ist "nein".

(1) Es bedeutet "sollen wir X machen?"

Chaos
quelle
2

Die beiden anderen Antworten auf diese Frage (wenn ich sie lese) sind ausgezeichnet, daher möchte ich nur einen kleinen Vorschlag hinzufügen. Gehen Sie nicht davon aus, dass Sie nicht mit völlig legalen Mitteln das gleiche Wissen erwerben können. Das Studium der Verschlüsselung, der Versuch, Sicherheitslücken im Quellcode freier Open-Source-Software zu finden, das Einrichten eigener Dummy-Systeme, mit denen Sie sicher experimentieren können, das Lesen von Artikeln zur Internetsicherheit usw. kann ebenso lehrreich sein.

Lucas Lindström
quelle
2

Die Antwort ist: es kommt darauf an.

Es ist im Allgemeinen nicht legal , sich in Systeme zu hacken, die Sie nicht besitzen.

Es gibt jedoch einige sehr begrenzte und sehr hypothetische Situationen, in denen dies tatsächlich ethisch vertretbar sein kann.

  • Während eines Krieges in die Computersysteme einer feindlichen Regierung hacken
  • Ermittlung des Täters eines Verbrechens in einer "Smoking Gun" -Situation
  • Nachweis von Fehlverhalten von Unternehmen, das sich auf die Gesundheit und Sicherheit anderer auswirkt

Diese Szenarien sind im wirklichen Leben äußerst selten (kommen aber die ganze Zeit in Hollywood vor), und es ist genauso wahrscheinlich, dass Ihr Arsch ins Gefängnis geworfen wird wie alles andere. Der Unterschied zwischen legal und ethisch ist jedoch wichtig.

Tim Howland
quelle
Punkt 2 ist durch Gesetze gegen illegale Durchsuchung und Beschlagnahme geschützt.
NotMe
1

Es gibt Organisationen / Unternehmen, die für ihre "White Hat" -Dienstleistungen eine Gebühr erheben. In der Regel werden sie von großen Unternehmen bezahlt, um die Sicherheit ihres Systems regelmäßig zu testen. Vielleicht könnten Sie eine dieser Gruppen in Ihrer Nähe finden und Ihre Dienste anbieten (zunächst kostenlos, würde ich vorschlagen), es wäre eine gute Schulung für Sie, vielleicht könnten Sie irgendwann ein bisschen Geld verdienen, und was wichtig ist, ist von Natur aus moralisch einwandfrei.

Chopper3
quelle