So che è un grande no-no in termini di etichetta, ma è illegale in Canada eseguire test di penetrazione contro un'azienda commerciale senza autorizzazione?
suggerito da: link
P.S. La mia comprensione è che probabilmente potrebbe essere accusato di vari articoli (la maggior parte dei quali non sono specifici del dominio IT).
Dato che non siamo, e non miriamo a fornire, consulenza legale (dal momento che non siamo avvocati) questo è davvero difficile da discutere. Detto questo, è generalmente considerata una buona idea ottenere il permesso scritto dall'organizzazione, firmato da qualcuno all'interno dell'organizzazione che è autorizzato a firmare tali cose, permettendoti di eseguire qualsiasi tipo di scansione o test di penetrazione. Senza questa autorizzazione c'è una linea molto sottile tra "Stavo controllando per vedere se la correzione fosse stata fatta senza intenti malevoli" e "Stavo controllando per vedere se la correzione era stata fatta con intenti malevoli".
In Canada, le porzioni più probabili relative saranno Sezione 184 e Sezione 342 di il codice penale del Canada. Non cercherò di interpretare i contenuti, dal momento che francamente ho paura del potenziale di dare accidentalmente un parere legale.
Il problema è che indipendentemente dal fatto che il bambino sia stato penalmente responsabile per quello che ha fatto è stato, a mio parere, un pazzo per non aver ottenuto il permesso prima di condurre una valutazione di vulnerabilità / test di penetrazione.
Ci vorrebbe un avvocato (o più) per dare una risposta vera alla tua domanda, e non ho il diritto di dare consigli legali in alcun modo. Tuttavia, nella maggior parte dei paesi, i test di penetrazione senza consenso degli obiettivi tendono ad attrarre problemi legali, nello stesso modo in cui andare in fondo alla strada e tentare la frizione di tutte le porte di casa per vedere quali sono aperti è rischioso. Anche nei paesi in cui provare la frizione non sarebbe illegale (ma sarebbe solo entrare in casa), sarebbe difficile spiegare ai poliziotti e ai giudici che la tua attività sospetta non è stata eseguita con intenti maliziosi immediati.
Per usare un'analogia ancora più grafica (e approssimativa): se ti precipiti verso un'altra persona (chiamiamolo Bob) mentre brandisci un grosso coltello, ma uno sbirro ti afferra prima che l'azione sia compiuta, potresti provare a dire a il giudice: "Ma non è provato che stavo cercando di uccidere Bob, volevo solo vedere se era possibile a pugnalarlo, ma ovviamente avrei fermato proprio prima di trafiggere la pelle di Bob. L'intervento del poliziotto non era necessario ". La mia scommessa è che il giudice non sarà convinto.
Per riassumere, le questioni legali sono intricate, ma non ci vuole un avvocato per prevedere che i test di penetrazione senza il consenso degli obiettivi possano finire con il perseguimento penale, senza alcuna via d'uscita legale. Se questo è buono è un altro dibattito (i libertari estremi affermano che qualsiasi server aperto è un gioco equo per qualsiasi tipo di test di penetrazione e persino intrusione e saccheggio di dati).
Devi sempre richiedere un accordo scritto dalla destinazione. Nel Regno Unito le società di test di penetrazione hanno avvocati e accordi predeterminati che includono i nomi, gli IP, il tempo (ore) del target e alcuni di essi includono anche i tipi di strumenti che verranno utilizzati.
Quindi, direi che anche se non sono un avvocato, è probabile che perderà la causa se verrai catturato e se l'obiettivo non sapesse cosa tu stia facendo. Ci sono molti casi in cui persone testano la sicurezza e finiscono in tribunale, quindi non lo consiglierei comunque.
Un nuovo esempio Studente espulso per hacking dopo Investigating Security Hole
Tuttavia, alcune aziende come Facebook e Google hanno taglie per trovare bug, quindi in questo caso è legale testare la sicurezza e cercare difetti come XSS e SQLi.
Leggi altre domande sui tag legal penetration-test