I miei amici hanno espresso interesse per l'hacking, ma non vogliamo fare nulla di illegale, e abbiamo considerato CTF365, ma è stato troppo costoso. È possibile / legale per uno di noi creare un sito Web privato per hackerare o giocare in attacco / difesa con due siti web propri?
Per quanto ne so, sì, è legale. Ogni legge anti-hacking a cui sono a conoscenza si riferisce all'accesso non autorizzato e se hai il permesso di hackerarlo, non è non autorizzato, vero?
Tieni presente che ci sono alcune cose a cui devi prestare attenzione. Alcune giurisdizioni proibiscono il possesso di "strumenti di hacking" (simili al proibire il possesso di lockpicks, ma meno definiti), e alcune tecniche, come lo spoofing di pacchetti o (D) DoS, possono avere un danno collaterale che potrebbe cadere in conflitto con la legge .
Dovrai anche controllare l'opinione del tuo host web su cosa stai facendo. Potrebbero non permetterlo a causa di possibili effetti su altri clienti; se stai ospitando il sito Web sulla tua connessione domestica, potresti violare i termini di servizio del tuo ISP.
Se vuoi essere completamente sicuro, fallo su una rete dedicata che è completamente isolata da Internet. Un economico switch Ethernet e un Raspberry Pi o due possono ottenere una configurazione con cui giocare per meno di $ 100.
Come afferma Mark, è più o meno ha legale a fare ciò, poiché è accesso autorizzato , anche se forse per percorsi non convenzionali.
Prendi in considerazione anche i numerosi concorsi di hacking in cui il premio è la macchina compromessa (o qualsiasi altra cosa). Alcuni (se non molti) di questi concorsi sono non su una rete privata, ma sono condotti su Internet pubblica. Cerca "pwn to own" e simili "leetpellings" di quella frase, e sono sicuro che troverai i siti per tali eventi - e i loro termini e condizioni dovrebbero essere di tuo interesse.
Qui in Danimarca, Henrik Kramshøj è piuttosto un'autorità su tutto ciò che riguarda la sicurezza dell'IT (e in particolare della rete), e afferma spesso che si può (tentare di!) hackerare il suo sito web fino a quando viene avvisato in anticipo. E questo è su Internet, anche se in questo caso, in realtà possiede il suo provider Internet, quindi è meno di un fattore di rischio.
Dai un'occhiata alla risposta di Rory a una domanda simile , che include un link a un elenco di hacker- siti di benvenuto.
Prima di tutto: nessuno può rispondere a questa domanda perché non sappiamo di quale paese stai parlando. Anche se sapessimo che non siamo avvocati e non possiamo rispondere a questo. Suppongo che nella maggior parte dei paesi la situazione legale su questo non sia chiara comunque. Probabilmente si troverebbe in un'area grigia.
In realtà non importa se è legale perché il tuo server verrà compromesso e il tuo hoster / ISP lo prenderà comunque offline.
Rendi il sistema non pubblico (VPN o simile) e non avrai problemi.
In poche parole, indipendentemente dal paese in cui ti trovi, "Hacking" è definito come accesso non autorizzato a un sistema. Non si tratta necessariamente di "hacking" quanto di "testare un sistema per la vulnerabilità"
Devi essere un po 'più laterale nei tuoi pensieri. Per praticare l'hacking su un sito Web, non è necessario un sito Web pubblico: infatti, non si desidera un sito Web pubblico perché una volta che è pubblico, non si ha più il controllo su chi può provare a modificarlo. Vorrei anche suggerire, senza voler essere scortese, che in base alla tua domanda, è improbabile che tu ei tuoi amici possiate avere le competenze necessarie per configurare un sito Web pubblico in modo tale da consentire l'hacking, ma controllare / gestire chi può hackerarlo .
Il grosso problema con un sito Web pubblico per l'hacking è che non molte organizzazioni di hosting saranno disposte a farlo. Per loro, è un rischio troppo alto perché chiunque possa hackerare con successo il sito potrebbe finire per ottenere un accesso sufficiente da essere una minaccia per gli altri siti web / hosting che stanno ospitando. La maggior parte delle società di hosting avrà i siti che ospitano costruiti sulla propria infrastruttura, progettata per rendere il loro lavoro di hosting il più semplice possibile e non vi è alcuna garanzia che un hack di successo non sarà al livello della loro infrastruttura, ad es. esponendoli all'hacking, non solo al tuo sito. Ciò non significa che non troverai una società di hosting che sarebbe disposta a consentirlo poiché potrebbe essere considerata come un tipo di penna di prova per loro, ma è improbabile.
La soluzione migliore è configurare un sito usando una VM. Anche se non si è tutti sulla stessa rete locale, è possibile far eseguire a ciascuna persona la propria VM. Potresti utilizzare una delle tante macchine virtuali "di hacking" progettate specificamente per questo genere di cose, oppure puoi creare un tuo ruolo personale, creare uno snapshot e quindi dare uno snapshot a ogni persona da eseguire. Ciò consentirà quindi a tutti di hackerare il proprio sito senza interferire l'uno con l'altro.
Spesso quando provi a hackerare cose, puoi fare cose che rendono instabile il sito / host o addirittura lo rendono incapace di funzionare. Quando impari come hackerare, devi regolarmente ripristinare tutto in uno stato conosciuto in modo che tu possa confermare che un hack di successo funziona e capisci perfettamente come funziona. Una volta che pensi di aver trovato una "ricetta" che funziona, puoi ripristinare la tua VM in uno stato conosciuto e provare a ripetere il processo. Se ci riesci, allora hai più fiducia che sai esattamente come farlo. D'altra parte, se fallisci, allora sai che alla tua ricetta manca qualcosa - probabilmente un effetto collaterale causato da un precedente tentativo.
L'altro vantaggio dell'utilizzo dell'approccio VM è che si evitano possibili problemi legali. Lo fai tutto su un host privato e in un ambiente che controlli. È anche relativamente economico da fare. Tutto ciò di cui hai bisogno è un PC con memoria sufficiente per eseguire una o più immagini di virtual box o vmware. Uso una scatola Linux con virtuabox con 16 GB di RAM. Posso eseguire più VM contemporaneamente - simulare un netowrk ecc.
Per un'idea di come puoi fare ciò, vedi Configura la tua rete di Pen Prove / Hacking Lab usando un singolo sistema .
Nella maggior parte degli hosting di siti Web, la parte che è "il tuo sito web" è molto sottile e non c'è molto da modificare tranne la disinfezione di input php / asp. La parte più grande e hackerabile non è in realtà la tua: è l'infrastruttura del provider condivisa tra il tuo sito web e molti altri.
Devi considerare questo: se non esegui il sito web sul tuo computer, i tuoi amici non stanno hackerando il tuo sito web . Stanno hackerando computer del provider di hosting .
Questo è uno dei motivi per cui CTF deve essere costoso: è necessario dedicare una serie aggiornata di infrastrutture commerciali per creare un parco giochi che rappresenti accuratamente l'ambiente commerciale, senza compromettere un vero e proprio ambiente commerciale.
Dovresti configurare un computer dedicato per questa attività, possibilmente nella rete locale e inaccessibile da internet. Ha i suoi vantaggi: nessuno saprà mai che è stato violato, tranne te e i tuoi amici.
È legale? Nella maggior parte delle giurisdizioni, sì, ma leggi prima le leggi locali . Alcune risposte sopra evidenziano le giurisdizioni in cui l'hacking è illegale anche se autorizzato, ma per la maggior parte, il tipo di esercizi di cui parli sono autorizzati, dal momento che il proprietario della macchina lo sta configurando in questo modo deliberatamente ed espressamente per lo scopo dei test di sicurezza.
È una buona idea? Solo se sei molto attento . Ricorda che se riesci a modificarlo, così può farlo qualcun altro. Tieni le macchine vulnerabili ben lontane da Internet aperta: questo significa che dovrai raggiungere le macchine tramite LAN o VPN, ma è comunque meglio che subire un dirottamento da parte di qualcuno o qualcosa che non ti aspetti.
Leggi altre domande sui tag legal