Hacking proprio computer [chiuso]

Dichiarazione di non responsabilità: non sono un avvocato, né so nulla di essere un avvocato. Anche se capisco cosa è necessario per eseguire un pentest contro i sistemi di un cliente.

Mentre stai attaccando il tuo dispositivo, probabilmente non infrangi nessuna legge. Dato che hai i permessi espressi dalla tua ragazza (lo spero), per eseguire questa operazione è probabile che sia sicuro farlo.

Dato che questo si basa sulla legalità se hai l'approvazione appropriata per eseguire il pentest probabilmente sei al sicuro su questo. (di nuovo voglio sottolineare il mio disclaimer).

A scopo dimostrativo, personalmente creerò solo alcune macchine virtuali e dimostrerò che cosa puoi fare a loro localmente. Come accennato, posizionare una macchina vulnerabile su internet è solo una cattiva idea. Se ci riesci, puoi farlo anche ad altri ... e come indicano i miei registri del firewall, c'è sempre qualcuno che cerca ...

Richiamando il punto dell'avvocato citato da @ m3r1n, in passato ero stato assunto per controllare una macchina per un individuo che era preoccupato di essere stato violato dal suo ex, per cercare spyware o altra cattiva condotta. Questo è stato il preludio di una causa. Non ha funzionato come è successo, ma se l'avesse fatto, e non fosse a conoscenza o altrimenti non capisse cosa stava facendo, sarebbe stato nei guai.

IANAL e tutto questo, ma da un punto di vista legale l'hacking della tua macchina dovrebbe andare bene , anche se fosse illegale, è improbabile che tu spinga denuncia contro te stesso.

L'unica parola di cautela è di fare attenzione ai danni collaterali, se hai fatto dei test della penna prima che probabilmente ne sia già a conoscenza. Ci sono alcune cose a cui potresti non pensare, ad esempio stavo eseguendo una serie di Nmap scansioni da casa mia contro la gamma IP pubblica del mio lavoro solo per controlla che il firewall stia facendo quello che pensavo.

Questo era tutto ok e sopra consiglio ma mi ero dimenticato di informare il mio ISP di lavoro e il loro IDS lo raccolse e automaticamente inviato una email a toubse @ HomeISP che dice di aver visto dei sospetti dal mio indirizzo IP di casa.

Inoltre non sono sicuro che il modo in cui pensi di configurarlo avendo un server vulnerabile pubblicamente non è una grande idea. Se hai impostato intenzionalmente un server vulnerabile, è stato violato e utilizzato maliziosamente potresti trovarti in un'area legalmente grigia e potrebbe violare i Termini di servizio dell'ISP.

Se hai intenzione di connetterti tramite una VPN o una sorta di tunnel sicuro e poi attaccare il server, dovresti stare bene.

Non sono un avvocato, ma la maggior parte delle leggi sull'hacking in realtà si traducono in leggi sconfinanti. Se si utilizza un sistema informatico, è possibile utilizzarlo solo nel modo previsto dal proprietario. Dato che sei il proprietario di entrambi i sistemi, lo stai utilizzando come previsto dal proprietario, dal momento che lo hai inteso come una dimostrazione di test di penetrazione.

Se così non fosse, siti come hackthissite.org sarebbero illegali da usare, ma non è così. Ci sono alcune leggi speciali sui casi come le leggi sull'esclusione delle protezioni sugli smartphone che ora sono illegali, ma si tratta soprattutto di casi speciali e io non sono personalmente a conoscenza di qualcosa che possa rendere qualcosa di simile a ciò di cui parli illegalmente.

Detto questo, la preoccupazione per le persone che si intromettono nel tuo sistema è una preoccupazione valida. Non si può avere nulla di valore sul server, ma si dimentica che il server stesso è probabilmente più prezioso dei dati su di esso. Se qualcuno può compromettere il tuo server, può usarlo come punto di lancio per i propri attacchi ad altri sistemi e se le persone che attaccano sottolineano che avresti dovuto saperlo meglio, potrebbero essere in grado di tenerti responsabile per aver messo un sistema esposto là fuori (non sono sicuro che sia stato provato o no, ma potrebbe essere una possibilità).

La tua scommessa migliore è davvero quella di utilizzare uno dei molteplici siti là fuori che già dispongono di caselle dimostrative configurate in modo sicuro dove sembrano essere in grado di essere compromesse, ma in realtà stanno solo eseguendo una simulazione super sandbox che ti consente dimostrare le tecniche di base senza avere realmente un sistema aperto al vero compromesso. Hackthissite.org è il mio preferito di questi, anche se non è l'unico.

In realtà hai comprato il tuo modem via cavo (e la tua ragazza) o è arrivato con il tuo pacchetto Internet? Se quest'ultimo, non è "attrezzatura di proprietà personale". Né, in nessun caso, sono i dispositivi dell'infrastruttura intermedia attraverso i quali ti connetteresti da Internet, alcuni dei quali potrebbero non essere nemmeno controllati da Bright House.

Le leggi relative ai crimini informatici sono ancora in fase di sviluppo e vengono spesso applicate a casi in cui gli imputati possono ragionevolmente presumere di non aver fatto nulla di sbagliato.

Il modo migliore per evitare di essere catturati in queste reti indefinite è semplicemente evitare di utilizzare qualsiasi attrezzatura diversa dalla tua (o attrezzatura a cui ti è stato concesso esplicitamente uso illimitato, o particolarmente permessa per test di penetrazione, in scrivere) per cose come questa. Realizza un pentesting lab con VM su un computer portatile (qui, "portable" può includere un desktop o un piccolo server), portalo a casa della tua ragazza e never collegalo a Internet mentre è in uso per la tua demo pentest.