A che punto "l'hacking" diventa illegale? (NOI)

53

Situazione ipotetica: prima di assumere un'azienda di sviluppo web voglio testare la loro capacità di progettare app web sicure visualizzando i siti web dei loro precedenti clienti.

Problema: questa situazione solleva una grande bandiera rossa: per quanto riguarda la visualizzazione di un sito Web, che cosa è e non è all'interno della larghezza della legge? O in altre parole: a che punto è possibile sborsare un sito web ?

  • Visualizza sorgente con Firebug? Naturalmente sarebbe legale.
  • Ma cosa succede se cambio HTML (come un valore nascosto del modulo prima dell'invio)?
  • Forse poi modificherò o rimuoverò JavaScript, come uno script di convalida lato client. Sarebbe legale?
  • Che cosa succede se inserisco% 3Cscript% 3Ealert (1)% 3C / script% 3E alla fine dell'URL.
  • O forse scrivo l'URL: example.com/scripts/ e sono in grado di visualizzare la loro directory a causa di impostazioni di autorizzazione errate?
  • Che cosa succede se modifico i dati trasmessi nelle intestazioni HTTP, ad esempio un prezzo / prezzo del prodotto negativo per verificare se eseguono la convalida sul lato server (naturalmente, non eseguirò il checkout).

Per me, tutto ciò sembra perfettamente innocuo perché:

  1. Non sto causando eccessivo stress al loro server tramite spamming, mirroring del sito con wget o immissione di SQL potenzialmente pericoloso.
  2. Non sto causando alcuna perdita potenziale o danno monetario, perché non sfrutterò mai le vulnerabilità, solo test per la loro esistenza (proof of concept).
  3. Nessuna delle mie azioni avrà alcuna implicazione per la privacy dei dati degli utenti. In nessun modo nessuna delle mie azioni potrebbe rivelare informazioni riservate o private su nessuno.
  4. Se trovassi qualcosa, notificherei immediatamente al webmaster l'exploit potenziale in modo da poterlo correggere.

Ma anche se sono logicamente in grado di giustificare le mie ragioni per testare il sito, questo non rende necessariamente le mie azioni legali. In effetti, le leggi cibernetiche sono notoriamente arretrate negli Stati Uniti, e anche le azioni più banalmente futili possono essere considerate hacker.

Domande: C'è una linea definita nella sabbia che separa l'hacking illegale da "test senza permesso"? O è l'intero scenario una zona grigia che dovrei evitare (probabilmente il caso). Esistono risorse online collegabili che potrebbero ampliare le mie conoscenze in quest'area totalmente grigia? Quali sono le specifiche leggi o leggi che gestiscono questo?

Si prega di tenere presente che la scelta più logica numero uno sarebbe semplicemente quella di chiedere permessi. Tuttavia, a causa dei limiti di tempo pesanti , nel momento in cui riceverei il permesso sarebbe tutto inutile.

    
posta Moses 17.08.2011 - 19:27
fonte

6 risposte

42

Non farlo! Non farlo! Se sei negli Stati Uniti, la legge è molto ampia. Non vuoi nemmeno in punta di piedi fino alla linea.

La legge pertinente è la legge sulle frodi e gli abusi informatici (18 U.S.C. 1030). In poche parole (e semplificando leggermente), secondo la CFAA, è un crimine federale "accedere intenzionalmente a un computer senza autorizzazione o superare l'accesso autorizzato". Questo linguaggio è molto ampio e immagino che un ambizioso pubblico ministero possa tentare di usarlo per cercare tutto ciò che c'è nell'elenco tranne il numero 1 (vedi sorgente).

Orin Kerr, uno dei principali studiosi legali in questo settore, definisce la statua "vaga" e "straordinariamente ampio" , e ha detto che " nessuno sa in realtà cosa proibisce ".

E, come spiega @Robert David Graham, ci sono stati casi in cui persone sono state perseguite, minacciate di persecuzioni, o citate in giudizio per aver fatto solo un battito di una virgola in una casella di testo, aggiungendo un ../ a un URL, o registrarsi su Facebook con uno pseudonimo. È piuttosto strano che questo da solo costituisca un reato federale, anche se non vi è alcun intento malevolo. Ma questo è l'ambiente legale in cui viviamo.

Direi, non rischiare. Ottieni l'autorizzazione scritta dalla società di cui desideri testare i siti web.

    
risposta data 18.08.2011 - 08:26
fonte
51

La legge non è chiara. Qualunque cosa tu faccia, non importa quanto innocente, potrebbe essere considerato un crimine. Tutto ciò che il proprietario del sito web deve fare è dire "Non volevo che ciò accadesse" e potresti essere condannato per un crimine.

Prima di donare a un sito web di soccorso per lo tsunami, Daniel Cuthbert ha digitato ../../../ nell'URL. È stato condannato per "intent to hack" (nel Regno Unito).

Lori Drew è stato condannato per aver hackerato MySpace, perché ha violato i termini di servizio di MySpace creando un account falso, in seguito fu usato da sua figlia di 14 anni per molestare un'altra ragazza, che in seguito si suicidò. Le condanne sono state ribaltate in seguito e il governo ha deciso di non appellarsi, ma è comunque un'esperienza da evitare.

Andrew "weev" Auernheimer è stato riconosciuto colpevole di furto d'identità, perché AT & T ha fornito informazioni sull'account del cliente per i primi possessori di iPad sul loro sito web, e ha scritto uno script che ha appena elencato gli URL e li ha scaricati.

Brian K. West è stato minacciato di procedimento giudiziario perché ha cliccato su un pulsante con l'etichetta "Modifica" su un sito web di un giornale - e si è sorpreso di scoprire che questo gli ha permesso di modificare la pagina web attuale. Dopo aver riferito il problema al giornale, l'FBI lo ha indagato (incluso cercare il posto di lavoro di West e sequestrare alcuni materiali) e un pubblico ministero a quanto pare lo ha minacciato di un crimine giudiziario.

In un caso recente, è stato rilevato che quando fai in modo che una casella di posta si riempia di spam, quindi esegui DoSing, sei colpevole di "hackerarlo" come definito dalla legge sulle frodi e gli abusi del computer.

Faccio tutte le cose che descrivi. Ci sono linee che non incrocio: testerò per l'iniezione SQL, ma non accedo al database. Ma lo faccio perché posso permettermi di costosi avvocati per difendermi. Inoltre, non farò cose che sono stupide. Ad esempio, Daniel Cuthbert è stato condannato per "intenzione di hackerare" perché ha continuato a cambiare la sua storia quando gli è stato chiesto perché lo ha fatto, quindi la corte non ha creduto a nessuna storia.

    
risposta data 18.08.2011 - 05:13
fonte
11

L'unica costante in molte giurisdizioni sembra essere che l'unica azione sicura sulla tua lista sia il numero 1.

In alcune aree andresti bene con la modifica dei dati, ma in realtà non dovresti rischiare.

Arriverò al punto di dire che ti stai avvicinando in modo completamente sbagliato.

Migliore approccio:

Informare la società di sviluppo web che se vogliono la propria azienda devono fornire la prova che l'applicazione è stata testata per uno standard particolare. Nel Regno Unito è possibile farlo richiedendo un test da parte di un individuo o di una squadra CREST o CHECK approvati. Oppure puoi ottenere garanzie usando una delle società di revisione Big-4. Se hanno avuto un test, puoi richiedere la visibilità della metodologia e dei risultati.

Miglior approccio:

Chiedi loro di dimostrare i controlli di sicurezza e governance nel loro ciclo di vita dello sviluppo. Un'organizzazione matura in sicurezza utilizzerà un SDLC completo che ridurrà la probabilità di vulnerabilità e rimuoverà intere classi di vulnerabilità. Il test di penetrazione è quasi solo una conferma alla fine del processo.

    
risposta data 17.08.2011 - 21:21
fonte
10

Caveat: non sono un avvocato, solo un geek che suggerisce cautela.

Is there a defined line in the sand that separates illegal hacking from "testing without permission"? Or is this whole scenario a grey area that I should avoid (likely the case). Are there any linkable online resources that could expand my knowledge in this wholly grey area? What are the specific acts or laws that handle this?

No. Non esiste nemmeno un accordo su quali giurisdizioni si applicano molto meno quali siano le leggi all'interno di tali giurisdizioni. Anche ignorando le sanzioni penali dovresti evitare di farlo solo a causa di sanzioni civili.

Se si fa la metà delle cose su tale elenco è probabile che si violino i termini di servizio e qualsiasi utilizzo non attendibile delle risorse del computer può mettere in pericolo le cause civili. Gli argomenti per cui non si utilizzano risorse non necessarie si basano sulla speculazione su come i progettisti ragionevoli progetterebbero / implementeranno i sistemi. Potresti avere ragione, ma non hai e non puoi verificare queste affermazioni prima o assicurarti contro di loro. Se un crollo nella loro stanza del server coincide semplicemente con il tuo sondaggio, non vuoi essere nella posizione di provare che non lo hai causato.

I payload apparentemente innocui possono diventare un problema se moltiplicati da molti visitatori. Ad esempio, il tuo payload alert(1) iniettato può sembrare innocuo, ma se trovi un vuln persistente XSS e si manifesta sulla home page dove è visto da x potenziale cliente per d giorni. Per alcuni valori di x e d non è innocuo e non hai il potere di mitigare quelle variabili.

Anche i pen-tester di contratto dovrebbero avere un'assicurazione di responsabilità civile quando lavorano con il permesso in base a " Test di penetrazione: l'hacker di terze parti "

All penetration testing service providers should have liability insurance sufficient to cover the costs associated with the risk of losing a client’s proprietary information and any potential loss in revenue that might result from unexpected downtime caused by their activities. If the service provider does not have a liability insurance, pay attention how they specify the liability in their ‘Terms and Conditions’. Management must also assure that it can recover from a loss of data during testing by having in place adequate incident response and disaster recovery plans that have been developed and verified before testing begins.

Se sei stato assunto dalla società, potresti essere responsabile per la perdita di dati / attività quando il tuo sondaggio abbatte i sistemi di produzione. Se agisci senza contratto o rapporto precedente, e per il tuo beneficio, sei ancora più a rischio di causa se i loro sistemi (che non sapevano di backup prima di iniziare il sondaggio) hanno difetti che solletichi.

Diciamo che vai avanti, e ciò si traduce in una causa civile. Se vogliono farti pressione per stabilirti, potrebbero sollevare lo spettro di sanzioni penali o cercare di ottenere danni punitivi paragonando le tue azioni a quelle per le quali esistono sanzioni penali. Giudici e giurie potrebbero essere suscettibili al seguente argomento basato su "Cyber vandalismo e Internet" Hacktivism "" :

"Immagina che un fabbro voglia decidere quale lucchetto comprare, quindi chiede a un produttore di serrature un elenco di clienti: il fabbro va in un negozio che usa le serrature e trova il negozio chiuso per la notte. Il proprietario del negozio arriva il mattino dopo per trovare il lucchetto rotto, quindi non può aprirlo e quindi non vende caffè quella mattina.La maggior parte delle giurisdizioni ha leggi contro i vandali e potrebbero essere usate contro il fabbro. I danni punitivi dovrebbero essere applicati al fabbro perché la società ha interesse a punire i vandali. "

Indipendentemente dal fatto che trovi che il fabbro che vuole acquistare un lucchetto sia una buona analogia per te, potrebbero esserlo giudici e giurie, e c'è un meme tra gli esperti non esperti di tecnologia che gli "hacker" (definiti vagamente) sono vandali come descritto nel link sopra.

TLDR: non prepararti a una causa costosa andando cowboy.

    
risposta data 17.08.2011 - 20:22
fonte
5

Supponendo che tu stia assumendo l'azienda di sviluppo web per conto della tua azienda, chiederei al dipartimento legale della tua azienda di fornirti consigli. Se stai investigando sulla sicurezza per conto della tua azienda e qualcuno ha voluto fare causa, quasi certamente citerà le tasche più profonde della tua azienda piuttosto che te personalmente. Sicuramente vuoi che il tuo dipartimento legale ti stia dietro se dovesse succedere.

Il reparto legale della tua azienda si trova anche in una posizione molto migliore per sapere quali sono le leggi nazionali e statali a consentire. Se c'è qualche tipo di indagine penale, il fatto che tu ti sia consultato con il tuo consiglio legale non ti indennizzerà, ma sarebbe sicuramente un punto a tuo favore.

    
risposta data 18.08.2011 - 04:43
fonte
5

Questo non risponde alla tua domanda particolare, ma per la tua situazione ipotetica se hai il permesso di testare la sicurezza della loro applicazione, allora tutto quanto sopra è legale al 100%. Ancora meglio sarebbe chiedere al candidato di configurare un sistema di test (non il loro vero sito Web), quindi provare ad attaccare quel sistema di test. In questo modo se i tuoi test accidentalmente abbattono un sistema live (o qualcuno nota la minaccia e abbassa il sistema), non sei responsabile per i danni.

Per i sistemi a cui non sei affiliato che non richiedono test di penetrazione; Non andrei in giro a testare i difetti di sicurezza. Sì, non sarai in grado di sapere realmente che il sito Web dell'azienda XYZ è protetto dagli attacchi SQL injection senza test, ma a meno che non abbiano concordato di testarlo, non è compito tuo testarlo e se ti becchi prendere in modo che possa e debba perseguirti.

È come chiedere, va bene provare a controllare e vedere se la casa del mio vicino è bloccata? O vedi se potevo facilmente prendere il lucchetto (senza mai aprire la porta e entrare)? O prova per vedere se puoi aprire una finestra che potresti spremere? Se il tuo vicino di casa o la polizia nota che stai facendo una di quelle cose e si sente costretto a sporgere denuncia, sei fregato a meno che tu non abbia una ragione legittima (ho sentito urlare aiuto in casa, stavo facendo cadere qualcosa a casa loro e non voglio lasciarlo fuori sotto la pioggia, quindi ho cercato di vedere se potevo aprire la porta).

    
risposta data 18.08.2011 - 16:49
fonte

Leggi altre domande sui tag