실제 시스템을 해킹하는 것이 윤리적인가? [닫은]

다른 사람이 소유 한 실제 시스템을 해킹하는 것이 윤리적인가? 이익을 위해서가 아니라 보안 지식을 테스트하고 새로운 것을 배우십시오. 나는 시스템에 아무런 손상을주지 않는 해킹에 대해서만 이야기하며, 보안상의 허점이 있음을 증명합니다.

그것은 때때로 윤리적이지 않다는 것을 보여주었습니다. 결함을 발견하면 홍보에 신경 쓰지 않으면 벽에 못 박힐 것입니다. 모든 종류의 보안 테스트를 수행 할 때는 권한을 가진 사람으로부터 서면으로 허가를 받아야합니다. 왜?

Randal L. Schwartz를 참조하십시오 . 그는 12 년 동안 유죄 판결을 받았으며 마침내 그의 기록이 소멸되었습니다. 그는 당시 대부분의 시스템 관리자가 두 번 생각하지 않았을 일을하고있었습니다. 그러나 그는 유죄 판결을 받았습니다.

내가 당신의 질문에서 볼 수있는 주요 결함은 외부에서 해킹이 주어진 시스템에 어떤 영향을 미치는지 정확하게 평가하는 것이 가능하다고 믿는 것입니다.

주어진 비트를 잘못 뒤집는 것이 무언가를 완전히 파괴하지 않고 목표가 수천 또는 수백만 달러라는 것을 어떻게 알 수 있습니까?

윤리는 매우 주관적이므로 이런 식으로 답변 해 드리겠습니다. 자신에게 속하지 않거나 만질 수있는 명시적인 권한이없는 물건 만 내버려 두는 것이 훨씬 윤리적입니다.

보안 지식을 향상시키고 싶다면 Damn Vulnerable Linux 라는 Linux 배포판이 있습니다. 대학 보안 강의에서 보조 도구로 사용되며 의도적으로 많은 보안 취약점이 포함됩니다.

여분의 컴퓨터에 훨씬 더 윤리적으로 설치하면 많은 것을 배울 수 있습니다.

한마디로.

일상적인 방법으로 무언가를 발견하면 경고하고 악용하지 않는 것이 좋습니다. 그러나 고의적으로 다른 사람의 보안을 시험하는 것은 실제로 윤리적이지 않습니다.

그들은이를 위해 보안 회사에 비용을 지불해야하며, 그렇게하기로 계약 한 경우 비 윤리적이지 않습니다. 그러나 계약을 맺지 않은 상태에서 의도하지 않게 일부 문제를 노출하거나 해킹 작업을 통해 무의식적으로 문제를 발생시키는 경우 대부분의 회사에서 기소를 원할 것입니다.

당신의 안전을 위해, 나는 거기에 가지 않을 것입니다. 이것에 정말로 관심이 있다면, 계약을 맺은 보안 회사에 일자리를 신청하십시오.

아니요, 윤리적이지 않습니다.

그들이 불법 침입 및 입국을 이유로 법원에 데려다 줄 경우, "보안 지식을 테스트하고 새로운 것을 배우기"때문에 판사는 귀하를 기각시키지 않을 것입니다.

시스템을 정상적으로 사용하는 동안 보안 취약점을 발견하면 문제에 대해 경고하는 것이 절대적으로 윤리적이지만, 계약을 맺지 않았을 때 명시 적으로 취약점을 검색하는 것은 비 윤리적 일뿐만 아니라 지방도 불법입니다.

귀하의 질문을 바꾸어 놓을 수 있도록 허용하십시오.

"아무것도 훔치지 않아도 할 수 있다는 것을 증명하기 위해 누군가의 집에 침입하는 것이 윤리적인가?"

변호사 유지에 대한 @Marc Gravell의 요점은 잘 만들어졌습니다 ...

보안 전문가가 일부 레거시 AIX 응용 프로그램 및 서버 구성을 확인하도록했으며 PPC 블레이드가있는 IBM 블레이드 섀시와 관리 카드에 연결하려고 할 때 매우 친절하고 폭이 좁은 스캔을 수행하여 즉시 재부팅했습니다!

아무도 그렇게 생각하지 않았을 것입니다. 그것은 분명히 카드의 버그였습니다. 그러나 친숙한 핑조차도 가능한 놀라운 피해는 간단합니다. "손상 없음"이라고 말할 수는 없습니다. 이는 단순히 보장 할 수있는 진술이 아닙니다.

(이 경우, 관리 카드를 재부팅하면 팬이 관리를 잃고 최고 속도로 이동하는 것을 제외하고는 거의 영향을 미치지 않습니다. IBM Bladecenter를 경험 한 적이 있다면 서버 룸에서 2 층 아래에있는 리셉션 영역의 방문자가 몇 분 동안 서로를 들으십시오.)

당신이 먼저 말하고 그들이 당신에게 최고의 기회를 줄 수있는 권한을 부여하는 경우에만.

... 그리고 얼마나 가능성이 있습니까 :)

"X를하는 것이 윤리적인가?"라는 질문에 대한 고급 지식을 요구합니다. 즉 ⁽¹⁾ 이면 답은 "아니오"입니다.

_{⁽¹⁾ "X를해야합니까?"}

이 질문에 대한 다른 두 가지 답변 (읽을 때)이 우수하므로 작은 제안을 추가하고 싶습니다. 완전한 법적 수단을 통해 동일한 양의 지식을 얻을 수 없다는 것을 당연하게 생각하지 마십시오. 암호화를 연구하고 무료 오픈 소스 소프트웨어의 소스 코드에서 보안 허점을 찾으려고 안전하게 실험 할 수있는 자체 더미 시스템을 설정하고 인터넷 보안에 관한 기사를 읽는 등의 교육은 교육만큼이나 쉽습니다.

대답은 다음과 같습니다.

일반적으로 소유하지 않은 시스템을 해킹하는 것은 합법적 이지 않습니다.

그러나 실제로는 윤리적 일 수있는 매우 제한적이고 매우 가상적인 상황이 있습니다 .

• 전쟁 중 적 정부의 컴퓨터 시스템에 해킹
• "흡연 총"상황에서 범죄의 가해자를 식별
• 타인의 건강과 안전에 영향을 미치는 기업의 오작동에 대한 증거 제공

이러한 시나리오는 실제 생활에서는 극히 드물지만 (할리우드에서는 항상 발생), 다른 어떤 것만 큼 감옥에 갇히게 될 가능성이 높습니다. 그러나 법적 윤리적 차이는 중요합니다.

'백색 모자'서비스를 청구하는 조직 / 회사가 있으며 대개 대기업이 시스템 보안을 정기적으로 테스트하기 위해 비용을 지불합니다. 아마도 당신은 근처에있는이 그룹 중 하나를 찾아서 귀하의 서비스를 제공 할 수 있습니다 (처음 무료로 제안 할 것입니다), 그것은 당신을 위해 좋은 훈련이 될 것입니다.