¿Es ético hackear sistemas reales? [cerrado]

¿Es ético hackear sistemas reales propiedad de otra persona? No con fines de lucro, sino para probar sus conocimientos de seguridad y aprender algo nuevo. Solo hablo de hacks, que no dañan el sistema, solo prueban que hay algunos agujeros de seguridad.

Se ha demostrado una y otra vez que no es ético. Y si descubres un defecto, es probable que te claven en la pared si no les importa la publicidad. Cuando realice cualquier tipo de prueba de seguridad, asegúrese de tener permiso por escrito de alguien con la autoridad para otorgarla. ¿Por qué?

Ver Randal L. Schwartz . Luchó contra la condena durante 12 años y finalmente se eliminó su historial. Estaba haciendo algo que la mayoría de los administradores de sistemas en ese momento no habrían pensado dos veces. Pero condenado lo era.

El defecto clave que veo en su pregunta es que parece creer que es posible evaluar correctamente desde el exterior lo que el hackeo de daños le hará a un sistema determinado.

¿Cómo sabe que voltear un bit dado de la manera incorrecta no va a destruir completamente algo y le costará a su objetivo miles o millones de dólares?

Como la ética es muy subjetiva, te responderé de esta manera. Sería mucho más ético dejar solo cosas que no te pertenecen o que no tienes permiso explícito para tocar.

Si solo desea mejorar su conocimiento de seguridad, hay una distribución de Linux llamada Damn Vulnerable Linux . Se utiliza como ayuda para la enseñanza en las clases de seguridad de la universidad e incluye muchas vulnerabilidades de seguridad a propósito.

Simplemente instale eso en una computadora de repuesto, mucho más ético y puede aprender lo mismo.

En una palabra, no.

Si encuentra algo de manera rutinaria, entonces sería bueno alertarlos y no explotarlos. Pero salir deliberadamente para probar la seguridad de otra persona no es realmente ético.

Deberían estar pagando a las empresas de seguridad para que hagan esto por ellos y si lo han contratado para que lo haga, entonces claramente no es poco ético. Pero si no ha sido contratado para hacer esto, y expone involuntariamente algún problema, o causa un problema involuntariamente a través de sus acciones de piratería, sospecho que la mayoría de las corporaciones querrían que lo procesen.

Por su propia seguridad, no iría allí. Si está realmente interesado en esto, intente solicitar empleo en las empresas de seguridad contratadas para hacerlo.

No, eso no es ético.

Si lo llevan a los tribunales por irrumpir y entrar ilegalmente, el juez no lo dejará ir porque estaba "probando sus conocimientos de seguridad y aprendiendo algo nuevo".

Si tropieza con una vulnerabilidad de seguridad durante el uso normal de su sistema, diría que es absolutamente ético alertarlos del problema, pero ir explícitamente a buscar vulnerabilidades cuando no está contratado para hacerlo no solo es poco ético, en muchos casos localidades también es ilegal.

Permítame parafrasear su pregunta:

"¿Es ético entrar en la casa de alguien, solo para demostrar que se puede hacer, incluso si no robas nada?"

El comentario de @Marc Gravell sobre la retención de un abogado está bien hecho ...

Hicimos que un especialista en seguridad verificara algunas aplicaciones heredadas de AIX y configuraciones de servidor, hizo un escaneo muy amigable y estrecho de un chasis de blades IBM con blades PPC y cuando intentó conectarse a la tarjeta de administración, ¡eso se reinició instantáneamente!

Nadie hubiera pensado eso, y claramente era un error en la tarjeta. Pero los posibles daños de incluso un ping amigable son simplemente asombrosos. No puede decir que "no hace daño", eso simplemente no es una declaración que pueda garantizar.

(en este caso, reiniciar la tarjeta de administración tuvo poco impacto, excepto que los fanáticos perdieron la administración y entraron a toda velocidad, lo que si alguna vez ha tenido un IBM Bladecenter sabe que los visitantes en el área de recepción dos pisos más abajo de la sala de servidores pueden ' no se escuchan por unos minutos;)

Solo si les dices primero y te dan permiso para darle tu mejor tiro.

... y qué tan probable es eso :)

Invocando mi conocimiento avanzado de cuál es la pregunta "¿es ético hacer X?" significa ⁽¹⁾ , la respuesta es "no".

_{⁽¹⁾ Significa "¿deberíamos hacer X?"}

Las otras dos respuestas a esta pregunta (cuando la leí) son excelentes, por lo que me gustaría agregar una pequeña sugerencia. No dé por sentado que no puede obtener la misma cantidad de conocimiento a través de medios completamente legales. Estudiar el cifrado, tratar de encontrar agujeros de seguridad en el código fuente del software gratuito de código abierto, configurar sus propios sistemas ficticios en los que pueda experimentar de forma segura, leer artículos sobre seguridad en Internet, etc., puede ser igual de educativo.

La respuesta es, depende.

En general, no es legal piratear sistemas que no son de su propiedad.

Sin embargo, hay algunas situaciones muy limitadas y muy hipotéticas en las que, de hecho, puede ser ético hacerlo.

• Hackear los sistemas informáticos de un gobierno enemigo durante un tiempo de guerra
• Identificar al autor de un delito en una situación de "arma humeante"
• Proporcionar evidencia de mal comportamiento corporativo que afecta la salud y la seguridad de los demás.

Estos escenarios son extremadamente raros en la vida real (pero suceden en Hollywood todo el tiempo) y es tan probable que te arrojen a la cárcel como cualquier otra cosa. Pero la diferencia entre legal y ético es importante.

Hay organizaciones / compañías que cobran por sus servicios de 'sombrero blanco', generalmente las grandes compañías les pagan para probar periódicamente la seguridad de su sistema. Quizás pueda encontrar uno de estos grupos cerca de usted y ofrecerle sus servicios (inicialmente, de forma gratuita, sugeriría), será un buen entrenamiento para usted, posiblemente le haga ganar un poco de dinero y, lo que es más importante, es inherentemente moralmente sólido.