Có đạo đức để hack hệ thống thực sự? [đóng cửa]

Có đạo đức để hack các hệ thống thực sự thuộc sở hữu của người khác? Không phải vì lợi nhuận, mà để kiểm tra kiến ​​thức bảo mật của bạn và học một cái gì đó mới. Tôi chỉ nói về các vụ hack, không gây thiệt hại cho hệ thống, chỉ chứng minh rằng có một số lỗ hổng bảo mật.

Nó đã được hiển thị hết lần này đến lần khác, nó không có đạo đức. Và nếu bạn phát hiện ra một lỗ hổng, thì rất có thể họ sẽ đóng đinh bạn vào tường nếu họ không bận tâm đến việc công khai. Khi bạn thực hiện bất kỳ loại thử nghiệm bảo mật nào, hãy đảm bảo bạn có quyền bằng văn bản từ một người có thẩm quyền để cung cấp cho nó. Tại sao?

Xem Randal L. Schwartz . Anh ta đã chiến đấu với niềm tin trong 12 năm và cuối cùng đã hết hạn. Anh ta đang làm một cái gì đó hầu hết các sysadins vào thời điểm đó sẽ không nghĩ hai lần. Nhưng bị kết án anh ta.

Lỗ hổng quan trọng tôi thấy trong câu hỏi của bạn là bạn dường như tin rằng có thể đánh giá chính xác từ bên ngoài những gì mà việc hack thiệt hại sẽ gây ra cho một hệ thống nhất định.

Làm thế nào để bạn biết rằng lật một bit nhất định theo cách sai sẽ không phá hủy hoàn toàn thứ gì đó và tiêu tốn của bạn hàng ngàn hoặc hàng triệu đô la.

Vì đạo đức rất chủ quan nên tôi sẽ trả lời bạn theo cách này. Sẽ là đạo đức hơn nhiều nếu để những thứ một mình không thuộc về bạn hoặc bạn không có quyền rõ ràng để chạm vào.

Nếu bạn chỉ muốn cải thiện kiến ​​thức bảo mật của mình, có một bản phân phối linux có tên Damn Vulnerable Linux . Nó được sử dụng như một trợ giúp giảng dạy trong các lớp bảo mật của trường đại học và bao gồm nhiều lỗ hổng bảo mật trên mục đích.

Chỉ cần cài đặt nó trên một máy tính dự phòng, đạo đức hơn nhiều và bạn có thể học được nhiều như vậy.

Trong một từ, không.

Nếu bạn tìm thấy một cái gì đó theo cách thông thường thì sẽ tốt hơn nếu cảnh báo họ và không khai thác nó. Nhưng cố tình đi ra ngoài để kiểm tra an ninh của người khác là không thực sự đạo đức.

Họ phải trả tiền cho các công ty bảo mật để làm điều này cho họ và nếu họ đã ký hợp đồng với bạn để làm điều này, thì rõ ràng đó không phải là phi đạo đức. Nhưng nếu bạn chưa được ký hợp đồng để làm điều này và bạn vô tình để lộ một số vấn đề hoặc gây ra sự cố vô tình thông qua các hành động hack của bạn, tôi nghi ngờ hầu hết các công ty sẽ muốn bạn bị truy tố.

Vì sự an toàn của bạn, tôi sẽ không đến đó. Nếu bạn thực sự quan tâm đến điều này, hãy thử xin việc với các công ty bảo mật đã ký hợp đồng để làm việc này.

Không, đó không phải là đạo đức.

Nếu họ đưa bạn ra tòa vì tội đột nhập và xâm nhập bất hợp pháp, thẩm phán sẽ không cho phép bạn rời đi vì bạn đang "kiểm tra kiến ​​thức bảo mật của mình và học một cái gì đó mới".

Nếu bạn vấp phải một lỗ hổng bảo mật trong quá trình sử dụng bình thường hệ thống của họ, tôi sẽ cho rằng việc cảnh báo họ về vấn đề này là hoàn toàn có đạo đức, nhưng rõ ràng là tìm kiếm các lỗ hổng khi bạn không ký hợp đồng để làm như vậy không chỉ là phi đạo đức, trong nhiều trường hợp địa phương nó cũng là bất hợp pháp.

Cho phép tôi diễn giải câu hỏi của bạn:

"Có đạo đức khi đột nhập vào nhà của ai đó không, chỉ để chứng minh rằng nó có thể được thực hiện, ngay cả khi bạn không ăn cắp bất cứ thứ gì?"

Quan điểm của @Marc Gravell về việc giữ chân một luật sư cũng được thực hiện ...

Chúng tôi đã có một chuyên gia bảo mật kiểm tra một số ứng dụng AIX và cấu hình máy chủ cũ, anh ấy đã quét một khung máy chủ IBM rất thân thiện và hẹp với lưỡi PPC và khi nó cố kết nối với thẻ quản lý - ngay lập tức được khởi động lại!

Không ai có thể nghĩ rằng, và nó rõ ràng là một lỗi trong thẻ. Nhưng những thiệt hại có thể có của một ping thân thiện chỉ đơn giản là đáng kinh ngạc. Bạn không thể nói bạn "không làm hỏng" - đó đơn giản không phải là một tuyên bố mà bạn có thể đảm bảo.

. t nghe thấy nhau trong vài phút;)

Chỉ khi bạn nói với họ trước và họ cho phép bạn cho nó bức ảnh đẹp nhất của bạn.

... và khả năng đó là như thế nào :)

Kêu gọi kiến ​​thức nâng cao của tôi về câu hỏi "có đạo đức khi làm X không?" có nghĩa là ⁽¹⁾ , câu trả lời là "không".

_{⁽¹⁾ Nó có nghĩa là "chúng ta có nên làm X không?"}

Hai câu trả lời khác cho câu hỏi này (khi tôi đọc nó) là tuyệt vời, vì vậy tôi chỉ muốn thêm một gợi ý nhỏ. Đừng cho rằng bạn không thể có được lượng kiến ​​thức tương tự thông qua các phương tiện hoàn toàn hợp pháp. Nghiên cứu mã hóa, cố gắng tìm lỗ hổng bảo mật trong mã nguồn của phần mềm nguồn mở miễn phí, thiết lập hệ thống giả của riêng bạn mà bạn có thể thử nghiệm một cách an toàn, đọc các bài viết về bảo mật internet, v.v., có thể mang tính giáo dục.

Câu trả lơi con phụ thuộc vao nhiêu thư.

Nói chung, không hợp pháp để hack vào các hệ thống mà bạn không sở hữu.

Tuy nhiên, có một số tình huống rất hạn chế và rất giả thuyết trong đó thực tế có thể là đạo đức để làm như vậy.

• Tấn công vào hệ thống máy tính của chính phủ địch trong thời gian chiến tranh
• Xác định thủ phạm của một tội phạm trong tình huống "súng hút thuốc"
• Cung cấp bằng chứng về hành vi sai trái của công ty ảnh hưởng đến sức khỏe và sự an toàn của người khác

Những tình huống này là cực kỳ hiếm trong đời thực (nhưng xảy ra ở hollywood mọi lúc), và cũng có khả năng khiến mông của bạn bị tống vào tù như mọi thứ khác. Nhưng sự khác biệt giữa pháp lý và đạo đức là quan trọng.

Có những tổ chức / công ty tính phí dịch vụ 'mũ trắng' của họ, họ thường được các công ty lớn trả tiền để kiểm tra định kỳ bảo mật hệ thống của họ. Có lẽ bạn có thể tìm thấy một trong những nhóm này gần bạn và cung cấp dịch vụ của bạn (ban đầu là miễn phí tôi sẽ đề xuất), nó sẽ được đào tạo tốt cho bạn, cuối cùng có thể giúp bạn kiếm được một ít tiền và quan trọng là về mặt đạo đức.