it-swarm-vi.com

Tại thời điểm nào "hack" trở thành bất hợp pháp? (CHÚNG TA)

Tình huống giả định : trước khi tôi thuê một công ty phát triển web, tôi muốn kiểm tra khả năng thiết kế các ứng dụng web an toàn của họ bằng cách xem các trang web của khách hàng trước đó của họ.

Vấn đề : tình huống này giương cờ đỏ lớn: liên quan đến việc xem trang web, điều gì và không nằm trong phạm vi của luật pháp? Hay nói cách khác: tại thời điểm nào việc chọc quanh một trang web trở thành bất hợp pháp ?

  • Xem nguồn với Fireorms? Đương nhiên đó sẽ là hợp pháp.
  • Nhưng nếu tôi thay đổi HTML (như giá trị biểu mẫu ẩn trước khi gửi) thì sao?
  • Có lẽ sau đó tôi chỉnh sửa hoặc xóa JavaScript, như tập lệnh xác thực phía máy khách. Điều đó có hợp pháp không?
  • Điều gì sẽ xảy ra nếu tôi đặt% 3Cscript% 3Ealert (1)% 3C/script% 3E ở cuối URL.
  • Hoặc có lẽ tôi nhập URL: example.com/scripts/ và tôi có thể xem thư mục của họ do cài đặt quyền bị lỗi?
  • Điều gì sẽ xảy ra nếu tôi thao tác dữ liệu được truyền trong các tiêu đề HTTP, ví dụ: qty/price sản phẩm âm tính để xem liệu chúng có xác thực phía máy chủ không (tự nhiên, tôi sẽ không hoàn thành kiểm tra).

Đối với tôi, tất cả những điều này dường như hoàn toàn vô hại vì:

  1. Tôi không gây căng thẳng quá mức cho máy chủ của họ bằng cách spam, phản chiếu trang web bằng wget hoặc tiêm SQL nguy hiểm tiềm tàng.
  2. Tôi không gây ra bất kỳ tổn thất tiềm tàng hoặc thiệt hại tiền tệ nào, vì tôi sẽ không bao giờ khai thác các lỗ hổng, chỉ kiểm tra sự tồn tại của chúng (bằng chứng về khái niệm).
  3. Không có hành động nào của tôi sẽ có bất kỳ hàm ý nào đối với quyền riêng tư dữ liệu của người dùng. Không có bất kỳ hành động nào của tôi có khả năng tiết lộ thông tin bí mật hoặc riêng tư về bất cứ ai.
  4. Nếu tôi tìm thấy bất cứ điều gì tôi sẽ thông báo ngay cho quản trị trang web về khả năng khai thác để họ có thể vá nó.

Nhưng mặc dù tôi có thể biện minh một cách hợp lý lý do của mình để kiểm tra trang web, nhưng điều đó không nhất thiết làm cho hành động của tôi trở nên hợp pháp. Trên thực tế, luật pháp mạng đang nổi tiếng là lạc hậu ở Hoa Kỳ và ngay cả những hành động tầm thường gây cười nhất cũng có thể bị coi là hack.

Câu hỏi : Có một đường xác định trên cát ngăn cách hack bất hợp pháp khỏi "thử nghiệm mà không được phép" không? Hoặc toàn bộ kịch bản này là một khu vực màu xám mà tôi nên tránh (có thể là trường hợp). Có tài nguyên trực tuyến nào có thể liên kết có thể mở rộng kiến ​​thức của tôi trong khu vực hoàn toàn màu xám này không? Các hành vi cụ thể hoặc luật xử lý việc này là gì?

Xin lưu ý rằng lựa chọn hợp lý nhất số một sẽ chỉ đơn giản là: yêu cầu quyền. Tuy nhiên, do nặng hạn chế về thời gian, đến lúc tôi được phép thì tất cả sẽ chỉ là vô ích.

58
Moses

Đừng làm thế! Đừng làm thế! Nếu bạn ở Mỹ, luật pháp rất rộng. Bạn thậm chí không muốn nhón chân lên hàng.

Luật liên quan là Đạo luật Lạm dụng và Lạm dụng Máy tính (18 Hoa Kỳ 1030). Tóm lại (và đơn giản hóa một chút), theo CFAA, đó là tội phạm liên bang "cố ý truy cập máy tính mà không được phép hoặc vượt quá quyền truy cập được ủy quyền". Ngôn ngữ này rất rộng và tôi tưởng tượng một công tố viên đầy tham vọng có thể cố gắng sử dụng nó để theo đuổi mọi thứ trong danh sách của bạn ngoại trừ # 1 (xem nguồn).

Orin Kerr, một trong những học giả pháp lý hàng đầu trong lĩnh vực này, gọi bức tượng là "mơ hồ" và "rộng bất thường" , và đã nói rằng "không ai thực sự biết những gì nó cấm" .

Và, như @Robert David Graham giải thích, đã có trường hợp người dân bị truy tố, bị đe dọa truy tố hoặc bị kiện vì làm ít như gõ một trích dẫn vào hộp văn bản, thêm ../ vào một URL hoặc đăng ký Facebook dưới một bút danh. Thật hoang dã khi điều này một mình cấu thành tội phạm liên bang, ngay cả khi không có ý định độc hại. Nhưng đó là môi trường pháp lý chúng ta đang sống.

Tôi muốn nói, đừng nắm lấy cơ hội. Nhận ủy quyền bằng văn bản từ công ty có trang web bạn muốn kiểm tra.

45
D.W.

Luật pháp không rõ ràng. Bất cứ điều gì bạn làm, bất kể vô tội, có thể được coi là một tội ác. Tất cả các chủ sở hữu trang web phải làm là nói "Tôi không muốn điều đó xảy ra" và bạn có thể bị kết án về một tội ác.

Trước khi quyên góp cho một trang web cứu trợ sóng thần, Daniel Cuthbert đã gõ vào ../../../ trong URL. Anh ta bị kết tội "có ý định hack" (ở Anh).

Lori Drew bị kết tội hack MySpace, vì cô đã vi phạm các điều khoản dịch vụ của MySpace bằng cách tạo một tài khoản giả, sau đó cô con gái 14 tuổi của mình đã sử dụng để quấy rối một cô gái khác, người sau đó đã tự tử. Các bản án đã bị lật ngược sau đó và chính phủ quyết định không kháng cáo - nhưng đó vẫn là một kinh nghiệm cần tránh.

Andrew "weev" Auernheimer bị kết tội trộm cắp danh tính, vì AT & T đã cung cấp thông tin tài khoản khách hàng cho chủ sở hữu iPad sớm trên trang web của họ và anh ta đã viết một tập lệnh chỉ liệt kê các URL và tải xuống.

Brian K. West bị đe dọa truy tố vì anh ta bấm vào nút có nhãn "Chỉnh sửa" trên trang web báo - và rất ngạc nhiên khi phát hiện ra rằng điều này cho phép anh ta chỉnh sửa trang web thực sự. Sau khi báo cáo vấn đề với tờ báo, FBI đã điều tra anh ta (bao gồm tìm kiếm nơi làm việc của West và thu giữ một số tài liệu) và một công tố viên rõ ràng đã đe dọa anh ta bằng một vụ truy tố trọng tội.

Trong một trường hợp gần đây, người ta đã phát hiện ra rằng khi bạn khiến hộp thư đến chứa đầy thư rác, do đó, DoSing, bạn có tội "hack" nó như được định nghĩa bởi hành vi Lừa đảo và Lạm dụng Máy tính.

Tôi làm tất cả những điều bạn mô tả. Có những dòng tôi sẽ không vượt qua: Tôi sẽ kiểm tra SQL SQL, nhưng tôi sẽ không truy cập cơ sở dữ liệu. Nhưng tôi làm điều này bởi vì tôi có thể đủ khả năng để luật sư giá cao để bào chữa cho tôi. Ngoài ra, tôi sẽ không làm những điều ngu ngốc. Ví dụ, Daniel Cuthbert bị kết án vì "có ý định hack" vì anh ta liên tục thay đổi câu chuyện của mình khi được hỏi tại sao anh ta làm vậy, vì vậy tòa án không tin bất kỳ câu chuyện nào.

54
Robert David Graham

Một hằng số trong nhiều khu vực pháp lý dường như là hành động an toàn duy nhất trong danh sách của bạn là số 1.

Trong một số lĩnh vực, bạn sẽ ổn với việc sửa đổi dữ liệu, nhưng thực sự bạn không nên mạo hiểm.

Tôi sẽ đi xa để nói rằng bạn đang tiếp cận điều này theo cách hoàn toàn sai lầm.

Cách tiếp cận tốt hơn :

Thông báo cho công ty phát triển web rằng nếu họ muốn doanh nghiệp của bạn, họ phải cung cấp bằng chứng rằng ứng dụng đã được thử nghiệm theo một tiêu chuẩn cụ thể. Tại Vương quốc Anh, bạn có thể thực hiện việc này bằng cách yêu cầu kiểm tra bởi một cá nhân hoặc nhóm được phê duyệt CREST hoặc CHECK. Hoặc bạn có thể có được sự đảm bảo bằng cách sử dụng một trong các công ty kiểm toán Big-4. Nếu họ đã có một bài kiểm tra, bạn có thể yêu cầu khả năng hiển thị của phương pháp và kết quả.

Cách tiếp cận tốt nhất :

Yêu cầu họ chứng minh các kiểm soát an ninh và quản trị trong vòng đời phát triển của họ. Một tổ chức trưởng thành về bảo mật sẽ sử dụng SDLC đầy đủ, điều này sẽ làm giảm khả năng các lỗ hổng và thậm chí loại bỏ toàn bộ các lớp lỗ hổng. Kiểm tra thâm nhập gần như chỉ là một xác nhận ở cuối quá trình.

11
Rory Alsop

Hãy cẩn thận: Tôi không phải là một luật sư, chỉ là một người đam mê đề nghị thận trọng.

Có một đường xác định trên cát ngăn cách hack bất hợp pháp khỏi "thử nghiệm mà không được phép" không? Hoặc toàn bộ kịch bản này là một khu vực màu xám mà tôi nên tránh (có thể là trường hợp). Có tài nguyên trực tuyến nào có thể liên kết có thể mở rộng kiến ​​thức của tôi trong khu vực hoàn toàn màu xám này không? Các hành vi hoặc luật cụ thể xử lý việc này là gì?

Không. Thậm chí không có thỏa thuận về việc các khu vực pháp lý áp dụng ít hơn nhiều luật nào trong các khu vực tài phán đó áp dụng. Ngay cả bỏ qua hình phạt hình sự, bạn nên tránh làm điều này chỉ vì hình phạt dân sự.

Nếu bạn thực hiện một nửa những điều trong danh sách đó, bạn có khả năng vi phạm các điều khoản dịch vụ và bất kỳ việc sử dụng tài nguyên máy tính không trung thực nào cũng có thể khiến bạn gặp nguy hiểm trong vụ kiện dân sự. Lập luận của bạn rằng bạn không sử dụng tài nguyên quá mức dựa trên suy đoán về cách các kỹ sư hợp lý sẽ thiết kế/triển khai hệ thống. Bạn rất có thể đúng nhưng bạn chưa và không thể xác minh những xác nhận đó trước - hoặc bảo đảm chống lại chúng. Nếu một cuộc khủng hoảng trong phòng máy chủ của họ chỉ trùng với việc thăm dò của bạn, bạn không muốn ở vị trí chứng minh rằng bạn không gây ra điều đó.

Dường như tải trọng vô hại có thể trở thành một vấn đề khi được nhân lên bởi nhiều khách truy cập. Ví dụ, tải trọng alert(1) được tiêm của bạn có vẻ vô hại nhưng nếu bạn tìm thấy một XSS thô tục và nó xuất hiện trên trang chủ nơi x khách hàng tiềm năng nhìn thấy trong d ngày. Đối với một số giá trị của x và d, nó không phải là vô hại và bạn không có quyền giảm thiểu các biến đó.

Ngay cả những người kiểm tra bút ký hợp đồng cũng nên có bảo hiểm trách nhiệm khi họ làm việc với sự cho phép theo "Kiểm tra thâm nhập: Hacker bên thứ ba"

Tất cả các nhà cung cấp dịch vụ thử nghiệm thâm nhập phải có bảo hiểm trách nhiệm đủ để chi trả các chi phí liên quan đến rủi ro mất thông tin độc quyền của khách hàng và bất kỳ tổn thất tiềm năng nào về doanh thu có thể xảy ra do thời gian ngừng hoạt động do các hoạt động của họ gây ra. Nếu nhà cung cấp dịch vụ không có bảo hiểm trách nhiệm, hãy chú ý cách họ chỉ định trách nhiệm pháp lý trong ‘Điều khoản và Điều kiện. Ban quản lý cũng phải đảm bảo rằng nó có thể phục hồi sau khi mất dữ liệu trong quá trình thử nghiệm bằng cách áp dụng các kế hoạch khắc phục sự cố và khắc phục thảm họa đã được phát triển và xác minh trước khi bắt đầu thử nghiệm.

Nếu bạn được hợp đồng bởi công ty, bạn có thể phải chịu trách nhiệm về việc mất dữ liệu/doanh nghiệp khi việc thăm dò của bạn làm mất hệ thống sản xuất. Nếu bạn hành động mà không có hợp đồng hoặc mối quan hệ trước và vì lợi ích của riêng bạn, bạn thậm chí còn có nguy cơ bị kiện nếu hệ thống của họ (mà họ không biết sao lưu trước khi bạn bắt đầu thăm dò) có những sai sót khiến bạn nhột.

Hãy nói rằng bạn đi trước, và nó sẽ dẫn đến một vụ kiện dân sự. Nếu họ muốn gây áp lực cho bạn để giải quyết, họ có thể nâng cao hình phạt của hình phạt hình sự hoặc cố gắng nhận các thiệt hại trừng phạt bằng cách ví hành động của bạn với những người có hình phạt hình sự. Các thẩm phán và bồi thẩm đoàn có thể dễ bị tranh luận sau đây dựa trên "Phá hoại mạng và Internet 'Hack activism'" :

"Hãy tưởng tượng một thợ khóa muốn quyết định mua khóa nào, vì vậy anh ta yêu cầu một thợ khóa cho một danh sách khách hàng. Thợ khóa đến một cửa hàng tiện lợi sử dụng ổ khóa của anh ta và thấy cửa hàng đóng cửa vào ban đêm. Anh ta nghịch với khóa và làm hỏng nó. Chủ cửa hàng đến vào sáng hôm sau để tìm khóa bị hỏng nên anh ta không thể mở nó và vì vậy không bán cà phê vào sáng hôm đó. Hầu hết các khu vực pháp lý đều có luật chống lại những kẻ phá hoại và họ có thể được sử dụng để chống lại thợ khóa. áp dụng cho thợ khóa vì xã hội có lợi ích trong việc trừng phạt những kẻ phá hoại. "

Bất kể bạn có tìm thấy thợ khóa muốn mua khóa tương tự tốt cho bạn không, các thẩm phán và bồi thẩm đoàn có thể, và có một meme trong số những người không am hiểu về công nghệ rằng "tin tặc" (được định nghĩa một cách lỏng lẻo) là những kẻ phá hoại như được mô tả trong liên kết ở trên.

TLDR: Đừng tự đặt ra một vụ kiện đắt tiền bằng cách đi cao bồi.

10
Mike Samuel

Điều này không trả lời câu hỏi cụ thể của bạn, nhưng đối với tình huống giả định của bạn nếu bạn có quyền kiểm tra bảo mật ứng dụng của họ thì tất cả những điều trên đều hợp pháp 100%. Thậm chí tốt hơn là yêu cầu ứng viên thiết lập một hệ thống thử nghiệm (không phải trang web thực sự của họ), và sau đó thử tấn công hệ thống thử nghiệm đó. Bằng cách này nếu các thử nghiệm của bạn vô tình làm sập hệ thống trực tiếp (hoặc ai đó nhận thấy mối đe dọa và hạ thấp hệ thống), bạn không chịu trách nhiệm về các thiệt hại.

Đối với các hệ thống bạn không liên kết với điều đó không yêu cầu thử nghiệm thâm nhập; Tôi sẽ không đi xung quanh kiểm tra lỗi bảo mật. Có, bạn sẽ không thể thực sự biết rằng trang web của công ty XYZ được bảo vệ chống lại các cuộc tấn công SQL SQL mà không cần kiểm tra, nhưng trừ khi họ đồng ý rằng bạn nên kiểm tra nó - đó không phải là công việc của bạn để kiểm tra và nếu bạn bị bắt để có thể và nên truy tố bạn.

Giống như hỏi, có ổn không khi thử kiểm tra và xem nhà của hàng xóm của tôi có bị khóa không? Hoặc xem liệu tôi có thể dễ dàng chọn khóa (mà không bao giờ mở cửa và đi vào bên trong) không? Hoặc thử nghiệm để xem liệu bạn có thể mở một cửa sổ mà bạn có thể vượt qua không? Nếu hàng xóm của bạn hoặc cảnh sát thông báo bạn làm bất kỳ điều gì trong số những điều đó và cảm thấy bị buộc tội, bạn sẽ bị lừa trừ khi bạn có lý do chính đáng (tôi nghe thấy tiếng kêu cứu bên trong; Tôi đã bỏ rơi thứ gì đó ở nhà họ và không muốn để nó ở ngoài trời mưa, vì vậy hãy thử xem tôi có thể mở cửa được không).

6
dr jimbob

Giả sử rằng bạn đang thuê công ty phát triển web thay mặt cho công ty của bạn, tôi sẽ nhờ bộ phận pháp lý của công ty bạn tư vấn. Nếu bạn đang điều tra bảo mật thay mặt cho công ty của bạn và ai đó muốn kiện, họ gần như chắc chắn sẽ kiện các túi sâu hơn của công ty bạn chứ không phải cá nhân bạn. Bạn chắc chắn muốn bộ phận pháp lý của bạn đứng đằng sau bạn nếu điều đó xảy ra.

Bộ phận pháp lý của công ty bạn cũng ở vị trí tốt hơn nhiều để biết những gì luật pháp quốc gia và tiểu bang của bạn cho phép. Nếu có bất kỳ loại điều tra hình sự nào, thực tế là bạn đã tham khảo ý kiến ​​của hội đồng pháp lý sẽ không bồi thường cho bạn nhưng chắc chắn đó sẽ là một điểm có lợi cho bạn.

5
Justin Cave