Quali sono i problemi legali / etici da tenere a mente quando si hackerano siti Web con inviti aperti?

17

Stavo leggendo un'altra domanda che cita un sito che aveva una pagina che invitava le persone a provare a hackerarlo , e mi ha fatto meravigliare.

Supponiamo, nell'interesse di questa domanda piuttosto ipotetica, che un sito abbia una pagina che chiede alle persone di hackerarlo e che la pagina non abbia specificato quale tipo di hacking era o non era accettabile.

La collocazione di una tale pagina fornisce un'indicazione giuridicamente / eticamente sufficiente che questo sito si aspetta davvero che venga violato? Ci sono dei requisiti legali / contrattuali / etici da impostare prima di pubblicare o eseguire questo tipo di sfide?

Significa davvero che tutte le scommesse sono state annullate e qualsiasi tipo di attacco è accettabile?

This question was IT Security Question of the Week.
Read the Apr 6, 2012 blog entry for more details or submit your own Question of the Week.

    
posta Yoav Aner 02.04.2012 - 10:37
fonte

2 risposte

9

Inizierò con l'obbligo di non essere un avvocato, e gli unici avvocati che sono in grado di dare una consulenza legale adeguata:)

Detto questo, c'è un numero di fattori da considerare qui. Innanzitutto, ci sono alcuni siti che autorizzano esplicitamente i test di sicurezza (un elenco recente sul blog di Dan Kaminskys ). Da quello che ho visto questi siti forniscono regole di ingaggio (ad esempio, nessun attacco DDoS). Se segui queste linee guida per una grande azienda come Google, sarei sorpreso se intraprendessero azioni legali contro di te. Ovviamente credo che potresti ancora teoricamente infrangere una legge locale contro l'hacking, anche così ..

Al di fuori di questa lista o di altre società molto conosciute, sarei piuttosto preoccupato di una pagina che diceva "Va bene hackerare questo sito". Ad esempio, in un sito in cui è consentito il contenuto generato dall'utente, come fai a sapere che la persona che ha creato la pagina ha l'autorità per prendere tale decisione?

In ogni caso sarei sorpreso di vedere un sito dire che "attaccare senza esclusione di colpi" è OK. In definitiva, anche se si tratta solo di una negazione del servizio, quasi tutti i siti presentano un qualche livello di vulnerabilità ..

    
risposta data 02.04.2012 - 13:52
fonte
10

Questa è un'area molto interessante, e non penso che nessuno abbia mai sollevato un caso legale per prendere una decisione in un modo o nell'altro.

In varie giurisdizioni, potresti comunque essere perseguito per attività criminali, nonostante ci sia una nota di approvazione sul sito web.

Ad esempio, quando un'azienda di test di penetrazione fa del lavoro per te, i termini e le condizioni possono includere clausole di limitazione di responsabilità, aspettative di comportamento, contatti e protocolli di escalation e contatti e così via, e lavoriamo ancora con un elemento di rischio che se rompiamo qualcosa il cliente può intraprendere un'azione legale. Quindi, quando inizi ad attaccare un sito web, sappi che non essendoci un contratto firmato, potrebbe non essere necessario mantenere il contratto implicito sul sito web.

Quindi, per lo meno, segui le linee guida, ma in aggiunta, esegui il log tutto nel caso in cui accadesse qualcosa di brutto e devi dimostrare che non eri tu o non era intenzionale !

    
risposta data 02.04.2012 - 14:20
fonte

Leggi altre domande sui tag