it-swarm-eu.dev

V jakém okamžiku se „hackování“ stane nezákonným? (NÁS)

Hypotetická situace: před najmutím společnosti pro vývoj webových aplikací chci vyzkoušet jejich schopnost navrhovat zabezpečené webové aplikace prohlížením webových stránek svých předchozích klientů.

Problém: Tato situace vyvolává velkou červenou vlajku: co se týče prohlížení webových stránek, co je a není v rozsahu zákona? Nebo jinými slovy: v jakém okamžiku se poking kolem webu stane nezákonným ?

  • Zobrazit zdroj s Firebug? To by samozřejmě bylo legální.
  • Ale co když změním HTML (jako skrytá hodnota formuláře před odesláním)?
  • Možná poté upravím nebo odeberu JavaScript, jako ověřovací skript na straně klienta. Bylo by to legální?
  • Co když na konec adresy URL umístím% 3Cscript% 3Ealert (1)% 3C/script% 3E.
  • Nebo možná zadám adresu URL: example.com/scripts/ a mohu zobrazit jejich adresář kvůli chybnému nastavení oprávnění?
  • Co kdybych manipuloval s daty předávanými v HTTP hlavičkách, například záporný počet produktů/cena, abych zjistil, zda se jedná o ověření na straně serveru (přirozeně, pokladnu nedokončím).

To se mi zdá naprosto neškodné, protože:

  1. Nezpůsobuji nepřiměřený stres jejich serveru nevyžádanou poštou, zrcadlením webu pomocí wgetu nebo injektováním potenciálně nebezpečného SQL.
  2. Nezpůsobuji žádnou potenciální ztrátu ani peněžní škody, protože jsem zranitelnosti nikdy nevyužil, pouze otestuji jejich existenci (důkaz o konceptu).
  3. Žádná z mých akcí nebude mít žádný dopad na ochranu osobních údajů uživatelů. V žádném případě by žádná z mých akcí neprozradila důvěrné nebo soukromé informace o kohokoli.
  4. Kdybych našel něco, okamžitě bych informoval webmastera o potenciálním zneužití, aby ho mohli napravit.

Ale i když jsem logicky schopen zdůvodnit své důvody pro testování webu, nemusí to nutně znamenat, že moje jednání bude legální. Ve skutečnosti jsou kybernetické zákony ve Spojených státech notoricky pozadu, a dokonce i ty nejsmátelnější triviální akce lze považovat za hackování.

Otázky: Existuje v písku definovaný řádek, který odděluje nezákonné hackování od „testování bez povolení“? Nebo je celý tento scénář šedou oblastí, které bych se měl vyhnout (pravděpodobně tomu tak je). Existují nějaké propojitelné online zdroje, které by mohly rozšířit mé znalosti v této zcela šedé oblasti? Jaké jsou konkrétní zákony nebo zákony , které to řeší?

Mějte na paměti, že nejlogičtější volbou číslo jedna by bylo jednoduše: požádat o povolení. Avšak kvůli těžkým časovým omezením, v době, kdy dostanu svolení, by to bylo všechno za nic.

58
Moses

Nedělej to! Nedělej to! Pokud jste v USA, zákon je velmi široký. Nechcete, aby se dokonce špičkami nahoru.

Příslušným zákonem je zákon o počítačových podvodech a zneužívání (18 U.S.C. 1030). Stručně řečeno (a mírně se zjednodušuje) je podle CFAA „federálním zločinem„ úmyslně přistupovat k počítači bez povolení nebo překračovat autorizovaný přístup “. Tento jazyk je velmi široký a já si představuji, že by se jej mohl ambiciózní státní zástupce pokusit použít k tomu, aby šel po všem, co je na vašem seznamu, s výjimkou č. 1 (zdroj zobrazení).

Orin Kerr, jeden z předních právních vědců v této oblasti, nazývá sochu „vágní“ a „mimořádně široký“ a řekl, že „nikdo vlastně neví, co zakazuje“ .

A jak @Robert David Graham vysvětluje, vyskytly se případy, kdy byli lidé stíháni, vyhrožováni stíháním nebo žalováni za to, že udělali takovou jednoduchou nabídku, že do textového pole zadali jednoduchou citaci a přidali ../ na URL nebo se zaregistrujete na Facebook pod pseudonymem. Je docela divoké, že to samo o sobě představuje federální trestný čin, i když neexistuje škodlivý úmysl. Ale v tomto právním prostředí žijeme.

Řekl bych, ne riskuj. Získejte písemné povolení od společnosti, jejíž webové stránky chcete testovat.

45
D.W.

Zákon není jasný. Cokoliv, co děláte, bez ohledu na to, jak nevinné, lze považovat za zločin. Vlastník webu musí pouze říci: „Nechtěl jsem, aby se to stalo,“ a můžete být usvědčeni ze zločinu.

Předtím, než Daniel Cuthbert daroval webové stránce pro úlevu na vlnách tsunami, do adresy URL zadal ../../../ Byl odsouzen za „úmysl hacknout“ (ve Velké Británii).

Lori Drew byla usvědčena z hackování MySpace, protože porušila podmínky služby MySpace vytvořením falešného účtu, který později využila její čtrnáctiletá dcera k obtěžování další dívky, která se později dopustila sebevraždy. Přesvědčení byla později převrácena a vláda se rozhodla, že se nebude líbit - ale je to stále zkušenost, kterým se musíme vyhnout.

Andrew "weev" Auernheimer byl shledán vinným za krádež identity, protože společnost AT&T poskytla informace o zákaznickém účtu pro dřívější majitele iPadu na svých webových stránkách, a napsal skript, který právě vyjmenoval URL a stáhl je.

Brianovi K. Westovi hrozilo trestní stíhání, protože klikl na tlačítko s názvem „Upravit“ na webových stránkách novin - a byl překvapen, když zjistil, že mu to umožnilo upravit aktuální webovou stránku. Poté, co ohlásil problém novinám, FBI ho prošetřila (včetně prohledávání západního pracoviště a zabavení některých materiálů) a státní zástupce mu zjevně vyhrožoval trestným stíháním.

V nedávném případě bylo zjištěno, že když způsobíte, že se doručená pošta zaplní spamem, a tak jej uděláte, jste vinni za „hackování“, jak je definováno v zákoně o počítačových podvodech a zneužívání.

Dělám všechny věci, které popisuješ. Existují řádky, které nebudu křížit: Budu testovat na SQL injekci, ale nebudu mít přístup k databázi. Ale dělám to proto, že si mohu dovolit ceněné právníky, aby mě bránili. Také nebudu dělat věci, které jsou hloupé. Například, Daniel Cuthbert byl odsouzen za "úmysl hacknout", protože neustále měnil svůj příběh, když se ptal, proč to udělal, takže soud nevěřil žádnému příběhu.

54

Zdá se, že jedinou konstantou v mnoha jurisdikcích je, že jedinou bezpečnou akcí na vašem seznamu je číslo 1.

V některých oblastech byste byli v pořádku s úpravou dat, ale ve skutečnosti byste to neměli riskovat.

Zašel bych tak daleko, že bych řekl, že k tomu přistupujete úplně špatně.

Lepší přístup:

Informujte společnost pro vývoj webových aplikací, že pokud chtějí vaši firmu, musí poskytnout důkaz, že aplikace byla testována na konkrétní standard. Ve Velké Británii to můžete provést tak, že budete požadovat test od jednotlivce nebo týmu schváleného CREST nebo CHECK. Nebo můžete získat jistotu pomocí jedné z auditorských společností Big-4. Pokud měli test, můžete požádat o zviditelnění metodiky a výsledků.

Nejlepší přístup:

Požádejte je, aby předvedli kontroly zabezpečení a správy ve svém životním cyklu vývoje. Organizace, která je vyspělá v zabezpečení, použije úplnou SDLC, která sníží pravděpodobnost zranitelnosti a dokonce odstraní celé třídy zranitelností. Penetrační testování je téměř pouze potvrzením na konci procesu.

11
Rory Alsop

Upozornění: Nejsem právník, jen geek, který navrhuje opatrnost.

Existuje v písku definovaná čára, která odděluje nezákonné hackování od „testování bez povolení“? Nebo je celý tento scénář šedou oblastí, které bych se měl vyhnout (pravděpodobně tomu tak je). Existují nějaké propojitelné online zdroje, které by mohly rozšířit mé znalosti v této zcela šedé oblasti? Jaké konkrétní akty nebo zákony to řeší?

Ne. Neexistuje ani dohoda o tom, které jurisdikce se použijí mnohem méně, které zákony v těchto jurisdikcích platí. I ignorování trestních sankcí byste se tomu měli vyhnout jen kvůli občanským trestům.

Pokud uděláte polovinu věcí na tomto seznamu, pravděpodobně porušíte podmínky služby a jakékoli použití počítačových zdrojů v dobré víře vás může vystavit nebezpečí občanskoprávních sporů. Vaše argumenty, že nepoužíváte nepřiměřené zdroje, vycházejí ze spekulací o tom, jak rozumní inženýři navrhují/nasazují systémy. Možná máte pravdu, ale tato tvrzení nemáte a nemůžete si je předem ověřit nebo je proti nim pojistit. Pokud se zhroucení v jejich serverové místnosti shoduje pouze s vaší sondou, nechcete být v pozici dokazující, že jste to nezpůsobili.

Zdánlivě neškodná užitečná zatížení se mohou stát problémem, když je znásobena mnoha návštěvníky. Například vaše vstřikované alert(1) užitečné zatížení se může zdát neškodné, ale pokud najdete přetrvávající XSS vuln a projeví se na domovské stránce, kde ho vidí potenciální zákazník po dobu d dnů. Pro některé hodnoty x a d to není neškodné a nemáte sílu tyto proměnné zmírnit.

Dokonce i smluvní testovací pera by měla mít pojištění odpovědnosti, pokud pracují se svolením podle „Penetration Testing: The Hacker Third Party“

Všichni poskytovatelé služeb pro penetrační testování by měli mít pojištění odpovědnosti dostatečné k pokrytí nákladů spojených s rizikem ztráty majetkových informací klienta a případné ztráty příjmů, které by mohly vyplývat z neočekávaných prostojů způsobených jejich činnostmi. Pokud poskytovatel služeb nemá pojištění odpovědnosti, věnujte pozornost tomu, jak specifikují odpovědnost ve svých „smluvních podmínkách“. Management musí také zajistit, aby se mohl zotavit ze ztráty dat během testování zavedením odpovídajících plánů reakce na incidenty a obnovy po katastrofě, které byly vyvinuty a ověřeny před zahájením testování.

Pokud vám společnost sdělí smlouvu, můžete být zodpovědní za ztrátu dat/podnikání, když vaše sonda odstraní výrobní systémy. Pokud budete jednat bez smlouvy nebo předchozího vztahu a ve svůj prospěch, budete ještě více ohroženi oblekem, pokud jejich systémy (které neznali zálohovat před zahájením sondování) mají nedostatky, které lechtáte.

Řekněme, že jdeš dál, a to má za následek občanský soud. Pokud vás chtějí přimět, abyste se vypořádali, mohli by zvýšit přízrak trestních sankcí nebo se pokusit získat represivní odškodnění tím, že přičtou vaše činy k těm, za které existují trestní postihy. Soudci a poroty mohou být náchylní k následujícímu argumentu volně založenému na „Počítačový vandalismus a internetový hacktivismus“ :

„Představte si, že zámečník chce rozhodnout, který zámek koupit, a tak požádá výrobce zámků o seznam zákazníků. Zámečník jde do obchodu se zbožím, který používá jeho zámky, a zjistí, že je obchod uzavřený na noc. Majitel obchodu přijde příští ráno, aby zjistil, že zámek je rozbitý, takže jej nemůže otevřít, a tak ráno neprodává žádnou kávu. Většina jurisdikcí má zákony proti vandalům a mohou být použity proti zámečníkovi. platí pro zámečníka, protože společnost má zájem na potrestání vandalů. ““

Bez ohledu na to, zda najdete zámečníka, který chce pro vás koupit zámek, dobrou analogii pro vás, soudce a poroty, a mezi netechnicky důvtipnými je jistá, že „hackeři“ (volně definovaní) jsou vandaly, jak je popsáno v odkaz výše.

TLDR: Nenechte se připravit na drahý soud tím, že půjdete kovboji.

10
Mike Samuel

To neodpovídá na vaši konkrétní otázku, ale pro vaši hypotetickou situaci, pokud máte povolení k testování bezpečnosti jejich aplikace, jsou všechny výše uvedené 100% legální. Ještě lepší by bylo požádat kandidáta, aby nastavil testovací systém (nikoli jejich skutečný web), a pak zkuste napadnout tento testovací systém. Tímto způsobem, pokud vaše testy náhodně zruší živý systém (nebo si někdo všimne hrozby a systém sníží), nenesete odpovědnost za škody.

U systémů, k nimž nejste přidruženi, nepožadujete penetrační testování; Nechtěl bych obejít testování bezpečnostních nedostatků. Ano, nebudete moci opravdu vědět, že web společnosti XYZ je chráněn před útoky SQL injekcí bez testování, ale pokud se nedohodnou, že byste to měli vyzkoušet - není to vaše práce, kterou byste měli otestovat, a pokud vás chytí, děláte takže to může a mělo by vás stíhat.

Je to jako ptát se, je v pořádku zkusit zkontrolovat a zjistit, zda je dům mého souseda zamčený? Nebo zjistit, jestli bych mohl snadno vybrat zámek (aniž bych někdy otevřel dveře a šel dovnitř)? Nebo vyzkoušejte, zda můžete otevřít okno, které byste mohli protlačit? Pokud si váš soused nebo policie všimnou, že děláte něco z těchto věcí a cítíte se nuceni tlačit obvinění, jste naštvaná, pokud nemáte legitimní důvod (slyšel jsem křičet o pomoc uvnitř; něco jsem nechal v jejich domě a ne chci je nechat venku v dešti; tak se snažil zjistit, jestli bych mohl otevřít dveře).

6
dr jimbob

Za předpokladu, že najmete společnost pro vývoj webových aplikací jménem vaší společnosti, požádal bych o radu právní oddělení vaší společnosti. Pokud vyšetřujete zabezpečení jménem vaší společnosti a někdo chtěl žalovat, téměř jistě by žalovali hlubší kapsy vaší společnosti, než vy osobně. Určitě chcete, aby vaše právní oddělení stálo za vámi, kdyby k tomu došlo.

Právní oddělení vaší společnosti je také v mnohem lepší pozici, aby vědělo, co vaše vnitrostátní a státní zákony umožňují. Pokud dojde k jakémukoli trestnímu vyšetřování, skutečnost, že jste se poradili se svou právní radou, by vás neodškodnila, ale určitě by to byl bod ve váš prospěch.

5
Justin Cave