it-swarm-eu.dev

Ab wann wird "Hacken" illegal? (UNS)

Hypothetische Situation : Bevor ich eine Webentwicklungsfirma anheuere, möchte ich deren Fähigkeit testen, sichere Web-Apps zu entwerfen, indem ich die Websites der vorherigen Kunden ansehe.

Problem : Diese Situation wirft eine große rote Fahne auf: Was ist in Bezug auf das Anzeigen einer Website im Rahmen des Gesetzes und was nicht? Oder mit anderen Worten: Ab wann wird das Stöbern auf einer Website illegal ?

  • Quelle mit Firebug anzeigen? Das wäre natürlich legal.
  • Aber was ist, wenn ich HTML ändere (wie ein versteckter Formularwert vor dem Senden)?
  • Vielleicht bearbeite oder entferne ich dann JavaScript, wie ein clientseitiges Validierungsskript. Wäre das legal?
  • Was ist, wenn ich% 3Cscript% 3Ealert (1)% 3C/script% 3E am Ende der URL platziere?.
  • Oder gebe ich die URL ein: example.com/scripts/ und kann ihr Verzeichnis aufgrund fehlerhafter Berechtigungseinstellungen anzeigen?
  • Was ist, wenn ich in HTTP-Headern übergebene Daten manipuliere, z. B. eine negative Produktmenge/einen negativen Preis, um festzustellen, ob sie eine serverseitige Validierung durchführen (natürlich werde ich die Kaufabwicklung nicht abschließen).

Für mich scheint das alles vollkommen harmlos zu sein, weil:

  1. Ich verursache keinen übermäßigen Stress für ihren Server, indem ich spamme, die Site mit wget spiegele oder potenziell gefährliches SQL injiziere.
  2. Ich verursache keinen potenziellen Verlust oder finanziellen Schaden, weil ich die Schwachstellen niemals ausnutzen werde, sondern nur auf ihre Existenz teste (Proof of Concept).
  3. Keine meiner Aktionen hat Auswirkungen auf den Datenschutz der Benutzer. In keiner Weise würde eine meiner Handlungen vertrauliche oder private Informationen über irgendjemanden preisgeben.
  4. Wenn ich etwas finden würde, würde ich den Webmaster sofort über den möglichen Exploit informieren, damit er ihn patchen kann.

Obwohl ich meine Gründe für das Testen der Website logisch begründen kann, sind meine Handlungen dadurch nicht unbedingt legal. Tatsächlich sind Cybergesetze in den Vereinigten Staaten notorisch rückständig, und selbst die lächerlichsten trivialen Aktionen können als Hacking angesehen werden.

Fragen : Gibt es eine definierte Linie im Sand, die illegales Hacken von "Testen ohne Erlaubnis" trennt? Oder ist dieses ganze Szenario eine Grauzone, die ich vermeiden sollte (wahrscheinlich der Fall)? Gibt es verlinkbare Online-Ressourcen, die mein Wissen in dieser Grauzone erweitern könnten? Was sind die spezifischen Gesetze oder Gesetze , die damit umgehen?

Bitte denken Sie daran, dass die logischste Wahl Nummer eins wäre, einfach: um Erlaubnis zu bitten. Aufgrund von schweren Zeitbeschränkungen wäre jedoch alles umsonst, wenn ich die Erlaubnis erhalten würde.

58
Moses

Tu es nicht! Tu es nicht! Wenn Sie in den USA sind, ist das Gesetz sehr weit gefasst. Sie wollen nicht einmal auf Zehenspitzen auf die Linie gehen.

Das einschlägige Gesetz ist das Computer Fraud and Abuse Act (18 U. S. C. 1030). Kurz gesagt (und leicht vereinfacht) ist es nach der CFAA ein Bundesverbrechen, "absichtlich ohne Genehmigung auf einen Computer zuzugreifen oder den autorisierten Zugriff zu überschreiten". Diese Sprache ist sehr weit gefasst, und ich kann mir vorstellen, dass ein ehrgeiziger Staatsanwalt versuchen könnte, damit alles auf Ihrer Liste zu erledigen, außer Nr. 1 (Quelle anzeigen).

Orin Kerr, einer der führenden Rechtswissenschaftler auf diesem Gebiet, nennt die Statue "vage" und "außerordentlich breit" und hat gesagt, dass "niemand weiß wirklich, was sie verbietet" .

Und wie @Robert David Graham erklärt, gab es Fälle, in denen Leute strafrechtlich verfolgt, mit strafrechtlicher Verfolgung bedroht oder verklagt wurden, weil sie nur ein einfaches Zitat in ein Textfeld eingegeben und ein ../ zu einer URL oder Anmeldung bei Facebook unter einem Pseudonym. Es ist ziemlich wild, dass dies allein eine Straftat des Bundes darstellt, auch wenn es keine böswillige Absicht gibt. Aber das ist das rechtliche Umfeld, in dem wir leben.

Ich würde sagen, gehe kein Risiko ein. Holen Sie sich eine schriftliche Genehmigung von dem Unternehmen, dessen Websites Sie testen möchten.

45
D.W.

Das Gesetz ist unklar. Alles, was Sie tun, egal wie unschuldig, kann als Verbrechen angesehen werden. Der Eigentümer der Website muss lediglich sagen: "Ich wollte nicht, dass das passiert", und Sie könnten wegen eines Verbrechens verurteilt werden.

Bevor Daniel Cuthbert für eine Tsunami-Hilfswebsite spendete, tippte er ../../../ in der URL. Er wurde wegen "Hackabsicht" (in Großbritannien) verurteilt.

Lori Drew wurde wegen Hacking von MySpace verurteilt, weil sie gegen die Nutzungsbedingungen von MySpace verstoßen hat, indem sie ein falsches Konto erstellt hat, das später von ihrer 14-jährigen Tochter verwendet wurde, um ein anderes Mädchen zu belästigen, das später Selbstmord begangen hat. Die Verurteilungen wurden später aufgehoben, und die Regierung beschloss, keine Berufung einzulegen - aber es ist immer noch eine Erfahrung, die es zu vermeiden gilt.

Andrew "weev" Auernheimer wurde des Identitätsdiebstahls für schuldig befunden, weil AT & T Kundenkontoinformationen für frühe iPad-Besitzer auf ihrer Website bereitstellte und ein Skript schrieb, in dem nur die URLs aufgelistet und heruntergeladen wurden.

Brian K. West wurde mit Strafverfolgung bedroht, weil er auf einer Zeitungswebsite auf einen Button mit der Bezeichnung "Bearbeiten" geklickt hatte - und war überrascht zu entdecken, dass er damit die eigentliche Webseite bearbeiten konnte. Nachdem das FBI das Problem der Zeitung gemeldet hatte, untersuchte es ihn (einschließlich der Durchsuchung von Wests Arbeitsplatz und der Beschlagnahme einiger Materialien), und ein Staatsanwalt drohte ihm offenbar mit einer strafrechtlichen Verfolgung.

In einem kürzlich durchgeführten Fall wurde festgestellt, dass Sie, wenn Sie einen Posteingang mit Spam füllen, also DoSing, schuldig sind, ihn gemäß der Definition des Gesetzes über Computerbetrug und -missbrauch "gehackt" zu haben.

Ich mache all die Dinge, die du beschreibst. Es gibt Zeilen, die ich nicht kreuzen werde: Ich werde auf SQL-Injection testen, aber ich werde nicht auf die Datenbank zugreifen. Aber ich mache das, weil ich mir teure Anwälte leisten kann, um mich zu verteidigen. Außerdem werde ich keine dummen Dinge tun. Zum Beispiel wurde Daniel Cuthbert wegen "Hackabsicht" verurteilt, weil er seine Geschichte immer wieder änderte, als er gefragt wurde, warum er es getan habe, sodass das Gericht keiner Geschichte glaubte.

54

Die einzige Konstante in vielen Ländern scheint zu sein, dass die einzige sichere Aktion auf Ihrer Liste die Nummer 1 ist.

In einigen Bereichen wäre es in Ordnung, Daten zu ändern, aber Sie sollten es wirklich nicht riskieren.

Ich würde sogar sagen, dass Sie dies völlig falsch angehen.

Besserer Ansatz :

Informieren Sie das Webentwicklungsunternehmen, dass es den Nachweis erbringen muss, dass die Anwendung nach einem bestimmten Standard getestet wurde, wenn es Ihr Unternehmen haben möchte. In Großbritannien können Sie dies tun, indem Sie einen Test durch eine von CREST oder CHECK zugelassene Person oder ein Team verlangen. Oder Sie gewinnen Sicherheit, indem Sie eine der Big-4-Prüfungsgesellschaften einsetzen. Wenn sie einen Test hatten, können Sie die Sichtbarkeit der Methodik und der Ergebnisse anfordern.

Bester Ansatz :

Bitten Sie sie, die Sicherheits- und Governance-Kontrollen in ihrem Entwicklungslebenszyklus zu demonstrieren. Eine Organisation mit ausgereifter Sicherheit verwendet einen vollständigen SDLC, der die Wahrscheinlichkeit von Sicherheitslücken verringert und sogar ganze Klassen von Sicherheitslücken entfernt. Penetrationstests sind fast nur eine Bestätigung am Ende des Prozesses.

11
Rory Alsop

Vorsichtsmaßnahme: Ich bin kein Anwalt, nur ein Geek, der zur Vorsicht rät.

Gibt es eine definierte Linie im Sand, die illegales Hacken von "Testen ohne Erlaubnis" trennt? Oder ist dieses ganze Szenario eine Grauzone, die ich vermeiden sollte (wahrscheinlich der Fall)? Gibt es verlinkbare Online-Ressourcen, die mein Wissen in dieser Grauzone erweitern könnten? Was sind die spezifischen Handlungen oder Gesetze, die damit umgehen?

Nein. Es gibt nicht einmal eine Einigung darüber, welche Gerichtsbarkeiten gelten, geschweige denn welche Gesetze in diesen Gerichtsbarkeiten gelten. Selbst wenn Sie strafrechtliche Sanktionen ignorieren, sollten Sie dies nur wegen zivilrechtlicher Sanktionen vermeiden.

Wenn Sie die Hälfte der Dinge auf dieser Liste tun, verstoßen Sie wahrscheinlich gegen die Nutzungsbedingungen, und jede nicht gutgläubige Verwendung von Computerressourcen kann Sie in Gefahr bringen, Zivilklagen zu erheben. Ihre Argumente, dass Sie keine unangemessenen Ressourcen verwenden, basieren auf Spekulationen darüber, wie vernünftige Ingenieure Systeme entwerfen/bereitstellen würden. Sie mögen sehr wohl Recht haben, aber Sie haben und können diese Behauptungen nicht vorher überprüfen oder gegen sie versichern. Wenn ein Zusammenbruch in ihrem Serverraum nur mit Ihrer Untersuchung zusammenfällt, möchten Sie nicht in der Lage sein, zu beweisen, dass Sie ihn nicht verursacht haben.

Scheinbar harmlose Nutzlasten können zu einem Problem werden, wenn sie von vielen Besuchern multipliziert werden. Zum Beispiel mag Ihre injizierte alert(1) Nutzlast harmlos erscheinen, aber wenn Sie eine persistente XSS-Vuln finden, die sich auf der Homepage manifestiert, wo sie von x potenziellen Kunden für d Tage gesehen wird. Für einige Werte von x und d ist es nicht harmlos und Sie können diese Variablen nicht abschwächen.

Selbst Vertrags-Pen-Tester sollten eine Haftpflichtversicherung haben, wenn sie mit Erlaubnis gemäß "Penetrationstests: The Third Party Hacker" arbeiten.

Alle Penetrationstest-Dienstleister sollten über eine Haftpflichtversicherung verfügen, die ausreicht, um die Kosten zu decken, die mit dem Risiko des Verlusts der firmeneigenen Informationen und potenziellen Einnahmeverlusten verbunden sind, die durch unerwartete Ausfallzeiten aufgrund ihrer Aktivitäten entstehen können. Wenn der Dienstleister keine Haftpflichtversicherung hat, achten Sie darauf, wie er die Haftung in seinen „Allgemeinen Geschäftsbedingungen“ spezifiziert. Das Management muss außerdem sicherstellen, dass es nach einem Datenverlust während des Tests wiederhergestellt werden kann, indem angemessene Pläne für die Reaktion auf Vorfälle und die Wiederherstellung nach einem Katastrophenfall vorhanden sind, die vor Beginn des Tests entwickelt und überprüft wurden.

Wenn Sie vom Unternehmen unter Vertrag genommen wurden, können Sie für Daten-/Geschäftsverlust haftbar gemacht werden, wenn Ihre Prüfung Produktionssysteme außer Betrieb setzt. Wenn Sie ohne Vertrag oder vorherige Beziehung handeln und zu Ihrem eigenen Vorteil, besteht ein noch höheres Risiko für Sie, wenn ihre Systeme (von denen sie nicht wussten, dass sie gesichert werden müssen, bevor Sie mit der Prüfung begonnen haben) Fehler aufweisen, die Sie kitzeln.

Nehmen wir an, Sie machen weiter und es kommt zu einer Zivilklage. Wenn sie Sie unter Druck setzen wollen, um eine Einigung zu erzielen, können sie das Gespenst strafrechtlicher Sanktionen erhöhen oder versuchen, Strafschadenersatz zu erhalten, indem sie Ihre Handlungen mit denen vergleichen, für die es strafrechtliche Sanktionen gibt. Richter und Jurys sind möglicherweise anfällig für das folgende Argument, das lose auf "Cyber-Vandalismus und Internet-Hacktivismus" basiert:

"Stellen Sie sich vor, ein Schlosser möchte entscheiden, welches Schloss er kaufen möchte, und bittet einen Schlosser um eine Kundenliste. Der Schlosser geht zu einem Supermarkt, der seine Schlösser benutzt, und findet das Geschäft für die Nacht geschlossen. Er spielt mit dem Schloss Der Ladenbesitzer kommt am nächsten Morgen an und stellt fest, dass das Schloss kaputt ist, damit er es nicht öffnen kann, und verkauft an diesem Morgen keinen Kaffee. Die meisten Gerichtsbarkeiten haben Gesetze gegen Vandalen und sie könnten gegen den Schlosser verwendet werden. Strafschadenersatz sollte wenden Sie sich an den Schlosser, weil die Gesellschaft ein Interesse daran hat, Vandalen zu bestrafen. "

Unabhängig davon, ob Sie den Schlosser, der ein Schloss kaufen möchte, für Sie eine gute Analogie finden, könnten Richter und Jurys, und es gibt ein Mem unter den Nicht-Technikern, dass "Hacker" (lose definiert) Vandalen sind, wie in der Link oben.

TLDR: Stellen Sie sich nicht auf eine teure Klage ein, indem Sie Cowboy werden.

10
Mike Samuel

Dies beantwortet nicht Ihre spezielle Frage, aber für Ihre hypothetische Situation sind alle oben genannten Punkte zu 100% legal, wenn Sie die Berechtigung haben, die Sicherheit ihrer Anwendung zu testen. Noch besser wäre es, den Kandidaten zu bitten, ein Testsystem (nicht seine eigentliche Website) einzurichten und dann zu versuchen, dieses Testsystem anzugreifen. Auf diese Weise haften Sie nicht für Schäden, wenn Ihre Tests versehentlich ein Live-System herunterfahren (oder jemand die Bedrohung bemerkt und das System herunterfährt).

Für Systeme, mit denen Sie nicht verbunden sind und die keine Penetrationstests anfordern; Ich würde Sicherheitslücken nicht testen. Ja, Sie werden nicht wirklich wissen können, dass die Website des Unternehmens XYZ ohne Tests vor SQL-Injection-Angriffen geschützt ist, aber es sei denn, sie haben vereinbart, dass Sie sie testen sollten - es ist nicht Ihre Aufgabe, sie zu testen, und wenn Sie dabei erwischt werden das kann und soll dich also strafrechtlich verfolgen.

Es ist wie zu fragen, ob es in Ordnung ist, zu überprüfen, ob das Haus meines Nachbarn verschlossen ist. Oder sehen Sie, ob ich das Schloss leicht öffnen kann (ohne jemals die Tür zu öffnen und hineinzugehen)? Oder testen, ob Sie ein Fenster öffnen können, durch das Sie sich drücken können? Wenn Ihr Nachbar oder die Polizei bemerkt, dass Sie eines dieser Dinge tun, und sich gezwungen fühlt, Anklage zu erheben, werden Sie verarscht, es sei denn, Sie haben einen legitimen Grund (ich hörte drinnen um Hilfe schreien; ich habe etwas in ihrem Haus abgegeben und habe es nicht getan Ich möchte es draußen im Regen lassen und habe versucht zu sehen, ob ich die Tür öffnen kann.

6
dr jimbob

Angenommen, Sie stellen die Webentwicklungsfirma im Namen Ihres Unternehmens ein, würde ich die Rechtsabteilung Ihres Unternehmens um Rat fragen. Wenn Sie die Sicherheit im Namen Ihres Unternehmens untersuchen und jemand klagen wollte, würde er mit ziemlicher Sicherheit eher die tieferen Taschen Ihres Unternehmens als Sie persönlich verklagen. Sie möchten auf jeden Fall, dass Ihre Rechtsabteilung hinter Ihnen steht, wenn dies passieren sollte.

Die Rechtsabteilung Ihres Unternehmens ist auch viel besser in der Lage zu wissen, was Ihre nationalen und staatlichen Gesetze zulassen. Wenn es irgendeine Art von strafrechtlicher Untersuchung gibt, würde die Tatsache, dass Sie Ihren Rechtsbeistand konsultiert haben, Sie nicht entschädigen, aber es wäre definitiv ein Punkt zu Ihren Gunsten.

5
Justin Cave