Apakah etis untuk meretas sistem nyata yang dimiliki oleh orang lain? Bukan untuk mencari keuntungan, tetapi untuk menguji pengetahuan keamanan Anda dan mempelajari sesuatu yang baru. Saya hanya berbicara tentang peretasan, yang tidak membuat kerusakan pada sistem, hanya membuktikan ada beberapa celah keamanan.
Pertama, dapatkan pengacara di punggawa ... Anda mungkin membutuhkannya segera.
Marc Gravell
Apakah itu etis tergantung pada standar yang dengannya ia diukur. Anda mengetahui bagian itu. Legalitas bisa diperdebatkan tetapi kurang subyektif. Hubungi pengacara Anda untuk nasihat tentang itu. Pertanyaan ini tidak dapat dijawab di sini.
sh-beta
6
Anda tidak akan pernah tahu apakah itu membuat kerusakan atau tidak.
Oskar Duveborn
@ Oskar, saya cukup yakin melakukan sesuatu seperti echo 'you have security trouble' > /root/HACKEDakan menyebabkan banyak kerusakan.
Unkwntech
1
Apakah Anda menganggapnya etis? Ini tidak ehtical dan Anda tahu itu dan tidak ada orang yang berpikiran sehat akan memberitahu Anda bahwa itu baik-baik saja. Apakah etis masuk ke rumah orang lain? Bukan untuk mencuri apa pun kecuali hanya untuk menguji pengetahuan Anda dan mempelajari sesuatu yang baru. Apakah etis bagi saya untuk meretas sistem Anda? Bukan untuk mencari untung, hanya untuk menguji pengetahuan saya dan belajar sesuatu yang baru.
joeqwerty
Jawaban:
27
Telah ditunjukkan berulang kali itu tidak etis. Dan jika Anda menemukan cacat, maka mereka mungkin akan memaku Anda ke dinding jika mereka tidak keberatan publisitas. Saat Anda melakukan pengujian keamanan apa pun, pastikan Anda memiliki izin tertulis dari seseorang yang berwenang untuk memberikannya. Mengapa?
Lihat Randal L. Schwartz . Dia melawan hukuman selama 12 tahun dan akhirnya catatannya dihapuskan. Dia melakukan sesuatu yang sebagian besar sysadmin pada saat itu tidak akan berpikir dua kali. Tapi dia terbukti bersalah.
Perusahaan membayar sejumlah besar uang kepada penguji penetrasi untuk masuk ke sistem mereka sendiri. Penguji penetrasi yang baik akan menggunakan eksploitasi langsung untuk masuk dan memanfaatkan masalah untuk menemukan lebih banyak kerentanan. Itu datang ke izin.
Benteng
51
Kelemahan utama yang saya lihat dalam pertanyaan Anda adalah bahwa Anda tampaknya percaya bahwa mungkin untuk menilai dengan benar dari luar apa yang akan dilakukan kerusakan peretasan terhadap sistem yang diberikan.
Bagaimana Anda tahu bahwa membalik sedikit saja dengan cara yang salah tidak akan sepenuhnya menghancurkan sesuatu dan menelan biaya ribuan atau jutaan dolar target Anda.
Karena etika sangat subjektif, saya akan menjawab Anda dengan cara ini. Akan jauh lebih etis untuk meninggalkan barang-barang sendirian yang bukan milik Anda atau Anda tidak memiliki izin tersentuh secara eksplisit.
Jika Anda hanya ingin meningkatkan pengetahuan keamanan Anda, ada distribusi linux yang disebut Damn Vulnerable Linux . Ini digunakan sebagai alat bantu pengajaran di kelas keamanan universitas dan mencakup banyak kerentanan keamanan dengan sengaja.
Cukup instal itu di komputer cadangan, jauh lebih etis dan Anda bisa belajar sebanyak itu.
Memberi +1 karena lebih baik meretas barang Anda sendiri untuk dipelajari daripada meretas barang orang lain. Kemudian, setelah Anda mempelajari beberapa trik, saran untuk bergabung dengan beberapa perusahaan layanan topi hitam masuk akal, karena orang-orang itu dikontrak untuk meretas sistem, sehingga legalitas tidak lagi dipertanyakan.
Milner
1
+1 untuk saran. Juga @Milner, saya yakin Anda mengacu pada perusahaan "topi putih".
tomjedrz
12
Singkatnya, Tidak.
Jika Anda menemukan sesuatu secara rutin maka akan lebih baik untuk mengingatkan mereka dan tidak mengeksploitasinya. Tapi sengaja keluar untuk menguji keamanan orang lain tidak benar-benar etis.
Mereka seharusnya membayar perusahaan keamanan untuk melakukan ini untuk mereka dan jika mereka telah mengontrak Anda untuk melakukan ini, maka itu jelas tidak tidak etis. Tetapi jika Anda belum dikontrak untuk melakukan ini, dan Anda secara tidak sengaja mengungkap beberapa masalah, atau tanpa sengaja menyebabkan masalah melalui tindakan peretasan Anda, saya curiga sebagian besar perusahaan ingin Anda dituntut.
Demi keselamatan Anda sendiri, saya tidak akan pergi ke sana. Jika Anda benar-benar tertarik dengan ini, coba lamar pekerjaan dengan perusahaan keamanan yang dikontrak untuk melakukan ini.
Jika mereka membawa Anda ke pengadilan karena melanggar dan masuk secara ilegal, hakim tidak akan membiarkan Anda pergi karena Anda "menguji pengetahuan keamanan Anda dan mempelajari sesuatu yang baru".
Jika Anda menemukan kerentanan keamanan selama penggunaan normal sistem mereka, saya berpendapat itu benar-benar etis untuk mengingatkan mereka tentang masalah ini, tetapi untuk secara eksplisit mencari kerentanan saat Anda tidak dikontrak untuk melakukannya tidak hanya tidak etis, di banyak tempat itu juga ilegal.
Sebenarnya di banyak undang-undang, hakim mungkin melepaskan Anda. Dalam undang-undang seperti itu, tindakan peretasan itu sendiri tidak ilegal, itu ilegal untuk mendapatkan akses informasi istimewa, mengubah informasi tersebut dengan cara apa pun, mengganggu operasi normal sistem, dll. Tetapi IMHO, itu tidak membuat etis itu.
vartec
3
Saya tidak akan mengambil risiko dipenjara karena potensi kurangnya pengetahuan teknis hakim.
ceejayoz
@ vartec: bahkan mencoba meretas sistem komputer yang tidak Anda miliki adalah ilegal. Jenis suka mencoba mencuri mobil seseorang masih ilegal apakah Anda dapat benar-benar pergi dengannya atau tidak.
NotMe
8
Izinkan saya untuk memparafrasekan pertanyaan Anda:
"Apakah etis masuk ke rumah seseorang, hanya untuk membuktikan bahwa itu bisa dilakukan, bahkan jika kamu tidak mencuri apa pun?"
Poin @Marc Gravell tentang mempertahankan pengacara dibuat dengan baik ...
Kami memiliki spesialis keamanan yang memeriksa beberapa aplikasi AIX lama dan konfigurasi server, ia melakukan pemindaian yang sangat ramah dan sempit pada sasis blade IBM dengan pisau PPC dan ketika mencoba terhubung ke kartu manajemen - yang langsung reboot!
Tidak ada yang akan mengira itu, dan itu jelas bug di kartu. Tetapi kemungkinan kerusakan bahkan dari ping yang bersahabat sangat mencengangkan. Anda tidak bisa mengatakan Anda "tidak merusak" - itu bukan pernyataan yang dapat Anda jamin.
(dalam hal ini, me-reboot kartu manajemen hanya berdampak kecil kecuali para penggemar kehilangan manajemen, yang bergerak dengan kecepatan penuh, yang jika Anda pernah memiliki IBM Bladecenter tahu berarti para pengunjung di area penerimaan dua lantai di bawah dari ruang server dapat ' t saling mendengar selama beberapa menit;)
Dua jawaban lain untuk pertanyaan ini (ketika saya membacanya) sangat bagus, jadi saya hanya ingin menambahkan saran kecil. Jangan anggap remeh bahwa Anda tidak bisa mendapatkan jumlah pengetahuan yang sama melalui cara yang sepenuhnya legal. Mempelajari enkripsi, mencoba menemukan celah keamanan dalam kode sumber perangkat lunak open source gratis, mengatur sistem boneka Anda sendiri yang dapat Anda coba dengan aman, membaca artikel tentang keamanan internet, dll, bisa sama mendidik.
Secara umum, ini legal untuk meretas ke dalam sistem yang bukan milik Anda.
Namun, ada beberapa situasi yang sangat terbatas dan sangat hipotetis di mana sebenarnya mungkin etis untuk melakukannya.
Meretas sistem komputer pemerintah musuh selama masa perang
Mengidentifikasi pelaku kejahatan dalam situasi "pistol merokok"
Memberikan bukti perilaku buruk perusahaan yang memengaruhi kesehatan dan keselamatan orang lain
Skenario ini sangat jarang terjadi di kehidupan nyata (tetapi terjadi di hollywood sepanjang waktu), dan kemungkinan besar akan membuat Anda dilempar ke penjara seperti yang lainnya. Tetapi perbedaan antara hukum dan etika itu penting.
Butir # 2, dilindungi oleh undang-undang terhadap pencarian dan penyitaan ilegal.
NotMe
1
Ada organisasi / perusahaan yang mengenakan biaya untuk layanan 'topi putih' mereka, mereka biasanya dibayar oleh perusahaan besar untuk secara berkala menguji keamanan sistem mereka. Mungkin Anda dapat menemukan salah satu dari kelompok-kelompok ini di dekat Anda dan menawarkan layanan Anda (awalnya gratis saya sarankan), itu akan menjadi pelatihan yang baik untuk Anda, mungkin membuat Anda sedikit uang pada akhirnya dan yang penting secara moral sehat.
echo 'you have security trouble' > /root/HACKED
akan menyebabkan banyak kerusakan.Jawaban:
Telah ditunjukkan berulang kali itu tidak etis. Dan jika Anda menemukan cacat, maka mereka mungkin akan memaku Anda ke dinding jika mereka tidak keberatan publisitas. Saat Anda melakukan pengujian keamanan apa pun, pastikan Anda memiliki izin tertulis dari seseorang yang berwenang untuk memberikannya. Mengapa?
Lihat Randal L. Schwartz . Dia melawan hukuman selama 12 tahun dan akhirnya catatannya dihapuskan. Dia melakukan sesuatu yang sebagian besar sysadmin pada saat itu tidak akan berpikir dua kali. Tapi dia terbukti bersalah.
sumber
Kelemahan utama yang saya lihat dalam pertanyaan Anda adalah bahwa Anda tampaknya percaya bahwa mungkin untuk menilai dengan benar dari luar apa yang akan dilakukan kerusakan peretasan terhadap sistem yang diberikan.
Bagaimana Anda tahu bahwa membalik sedikit saja dengan cara yang salah tidak akan sepenuhnya menghancurkan sesuatu dan menelan biaya ribuan atau jutaan dolar target Anda.
Karena etika sangat subjektif, saya akan menjawab Anda dengan cara ini. Akan jauh lebih etis untuk meninggalkan barang-barang sendirian yang bukan milik Anda atau Anda tidak memiliki izin tersentuh secara eksplisit.
sumber
Jika Anda hanya ingin meningkatkan pengetahuan keamanan Anda, ada distribusi linux yang disebut Damn Vulnerable Linux . Ini digunakan sebagai alat bantu pengajaran di kelas keamanan universitas dan mencakup banyak kerentanan keamanan dengan sengaja.
Cukup instal itu di komputer cadangan, jauh lebih etis dan Anda bisa belajar sebanyak itu.
sumber
Singkatnya, Tidak.
Jika Anda menemukan sesuatu secara rutin maka akan lebih baik untuk mengingatkan mereka dan tidak mengeksploitasinya. Tapi sengaja keluar untuk menguji keamanan orang lain tidak benar-benar etis.
Mereka seharusnya membayar perusahaan keamanan untuk melakukan ini untuk mereka dan jika mereka telah mengontrak Anda untuk melakukan ini, maka itu jelas tidak tidak etis. Tetapi jika Anda belum dikontrak untuk melakukan ini, dan Anda secara tidak sengaja mengungkap beberapa masalah, atau tanpa sengaja menyebabkan masalah melalui tindakan peretasan Anda, saya curiga sebagian besar perusahaan ingin Anda dituntut.
Demi keselamatan Anda sendiri, saya tidak akan pergi ke sana. Jika Anda benar-benar tertarik dengan ini, coba lamar pekerjaan dengan perusahaan keamanan yang dikontrak untuk melakukan ini.
sumber
Tidak, itu tidak etis.
Jika mereka membawa Anda ke pengadilan karena melanggar dan masuk secara ilegal, hakim tidak akan membiarkan Anda pergi karena Anda "menguji pengetahuan keamanan Anda dan mempelajari sesuatu yang baru".
Jika Anda menemukan kerentanan keamanan selama penggunaan normal sistem mereka, saya berpendapat itu benar-benar etis untuk mengingatkan mereka tentang masalah ini, tetapi untuk secara eksplisit mencari kerentanan saat Anda tidak dikontrak untuk melakukannya tidak hanya tidak etis, di banyak tempat itu juga ilegal.
sumber
Izinkan saya untuk memparafrasekan pertanyaan Anda:
"Apakah etis masuk ke rumah seseorang, hanya untuk membuktikan bahwa itu bisa dilakukan, bahkan jika kamu tidak mencuri apa pun?"
Poin @Marc Gravell tentang mempertahankan pengacara dibuat dengan baik ...
sumber
Kami memiliki spesialis keamanan yang memeriksa beberapa aplikasi AIX lama dan konfigurasi server, ia melakukan pemindaian yang sangat ramah dan sempit pada sasis blade IBM dengan pisau PPC dan ketika mencoba terhubung ke kartu manajemen - yang langsung reboot!
Tidak ada yang akan mengira itu, dan itu jelas bug di kartu. Tetapi kemungkinan kerusakan bahkan dari ping yang bersahabat sangat mencengangkan. Anda tidak bisa mengatakan Anda "tidak merusak" - itu bukan pernyataan yang dapat Anda jamin.
(dalam hal ini, me-reboot kartu manajemen hanya berdampak kecil kecuali para penggemar kehilangan manajemen, yang bergerak dengan kecepatan penuh, yang jika Anda pernah memiliki IBM Bladecenter tahu berarti para pengunjung di area penerimaan dua lantai di bawah dari ruang server dapat ' t saling mendengar selama beberapa menit;)
sumber
Hanya jika Anda memberi tahu mereka terlebih dahulu dan mereka memberi Anda izin untuk memberikan yang terbaik.
... dan seberapa mungkin itu :)
sumber
Memanggil pengetahuan saya tentang pertanyaan "apakah etis melakukan X?" berarti (1) , jawabannya adalah "tidak".
(1) Ini berarti "kita harus melakukan X?"
sumber
Dua jawaban lain untuk pertanyaan ini (ketika saya membacanya) sangat bagus, jadi saya hanya ingin menambahkan saran kecil. Jangan anggap remeh bahwa Anda tidak bisa mendapatkan jumlah pengetahuan yang sama melalui cara yang sepenuhnya legal. Mempelajari enkripsi, mencoba menemukan celah keamanan dalam kode sumber perangkat lunak open source gratis, mengatur sistem boneka Anda sendiri yang dapat Anda coba dengan aman, membaca artikel tentang keamanan internet, dll, bisa sama mendidik.
sumber
Jawabannya adalah, tergantung.
Secara umum, ini legal untuk meretas ke dalam sistem yang bukan milik Anda.
Namun, ada beberapa situasi yang sangat terbatas dan sangat hipotetis di mana sebenarnya mungkin etis untuk melakukannya.
Skenario ini sangat jarang terjadi di kehidupan nyata (tetapi terjadi di hollywood sepanjang waktu), dan kemungkinan besar akan membuat Anda dilempar ke penjara seperti yang lainnya. Tetapi perbedaan antara hukum dan etika itu penting.
sumber
Ada organisasi / perusahaan yang mengenakan biaya untuk layanan 'topi putih' mereka, mereka biasanya dibayar oleh perusahaan besar untuk secara berkala menguji keamanan sistem mereka. Mungkin Anda dapat menemukan salah satu dari kelompok-kelompok ini di dekat Anda dan menawarkan layanan Anda (awalnya gratis saya sarankan), itu akan menjadi pelatihan yang baik untuk Anda, mungkin membuat Anda sedikit uang pada akhirnya dan yang penting secara moral sehat.
sumber