it-swarm-tr.com

"Saldırı" hangi noktada yasadışı hale geliyor? (BİZE)

Varsayımsal durum: Bir web geliştirme şirketi işe almadan önce önceki müşterilerinin web sitelerini görüntüleyerek güvenli web uygulamaları tasarlama yeteneklerini test etmek istiyorum.

Sorun: Bu durum büyük bir kırmızı bayrak ortaya çıkarıyor: bir web sitesini görüntülemekle ilgili olarak, yasaların genişliği nedir ve içinde değildir? Ya da başka bir deyişle: bir web sitesini dolaşmak hangi noktada yasadışı hale gelir ?

  • Firebug ile Kaynağı Görüntüle? Doğal olarak bu yasal olur.
  • Ancak HTML'yi değiştirirsem (gönderilmeden önce gizli bir form değeri gibi)?
  • Belki de bir istemci tarafı doğrulama komut dosyası gibi JavaScript'i düzenler veya kaldırırım. Bu yasal olur mu?
  • URL'nin sonuna% 3Cscript% 3Ealert (1)% 3C/script% 3E koyarsam ne olur?.
  • Ya da belki URL'yi yazıyorum: example.com/scripts/ ve hatalı izin ayarları nedeniyle dizinlerini görüntüleyebiliyorum?
  • HTTP üstbilgilerinden geçirilen verileri, örneğin sunucu tarafı doğrulaması yapıp yapmadıklarını görmek için negatif bir ürün miktarı/fiyatı kullanırsam (doğal olarak, ödemeyi tamamlamayacağım).

Bana göre, bunların hepsi tamamen zararsız görünüyor çünkü:

  1. Spam göndererek, siteyi wget ile yansıtarak veya potansiyel olarak tehlikeli SQL enjekte ederek sunucularına gereksiz strese neden olmuyorum.
  2. Herhangi bir potansiyel zarara veya parasal zarara neden olmuyorum, çünkü güvenlik açıklarından asla yararlanmayacağım, sadece varlığını test edeceğim (kavram kanıtı).
  3. İşlemlerimden hiçbirinin kullanıcı verilerinin gizliliği üzerinde herhangi bir etkisi olmayacaktır. Hiçbir şekilde eylemlerimden herhangi biri hakkında gizli veya özel bilgiler ortaya çıkmaz.
  4. Bir şey bulduğumda, web yöneticisini potansiyel istismardan derhal haberdar edebilirdim, böylece onu yamalayabilirler.

Ancak, siteyi test etme nedenlerimi mantıklı bir şekilde gerekçelendirebilememe rağmen, bu benim eylemlerimi yasal hale getirmez. Aslında, siber yasalar Amerika Birleşik Devletleri'nde kötü bir şekilde geriye dönüktür ve en gülünç önemsiz eylemler bile hackleme olarak kabul edilebilir.

Sorular: Kumda yasadışı saldırıları "izinsiz test etme" den ayıran tanımlı bir hat var mı? Yoksa tüm bu senaryo kaçınmam gereken gri bir alan mı (büyük olasılıkla). Bu tamamen gri alanda bilgimi genişletebilecek herhangi bir bağlanabilir çevrimiçi kaynak var mı? Bunu ele alan özel veya yasalar nelerdir?

Lütfen bir numaralı mantıklı seçimin basitçe: izin isteyiniz. Ancak, ağır zaman kısıtlamaları nedeniyle, izin alacağım zaman hepsi boşa gider.

58
Moses

Yapma! Yapma! ABD'deyseniz, yasa çok geniştir. Hatta çizgiye kadar uçmak bile istemiyorsunuz.

İlgili yasa Bilgisayar Sahtekarlığı ve Kötüye Kullanma Yasasıdır (18 ABD 1030). Özetle (ve biraz basitleştirerek), CFAA altında, "yetkisiz bir bilgisayara kasıtlı olarak erişmek veya yetkili erişimi aşmak" federal bir suçtur. Bu dil çok geniştir ve iddialı bir savcının listenizdeki # 1 (kaynak görüntüleme) hariç her şeyden sonra gitmek için kullanabileceğini düşünürüm.

Bu alandaki önde gelen hukuk bilginlerinden Orin Kerr, heykeli "belirsiz" ve "olağanüstü geniş" olarak adlandırıyor ve "aslında kimse neyi yasakladığını bilmiyor" .

@Robert David Graham'ın açıkladığı gibi, milletlerin kovuşturulduğu, kovuşturma tehdidinde bulunduğu veya bir metin kutusuna tek bir alıntı yazarak, ../ URL'ye veya bir takma adla Facebook'a kaydolma. Kötü niyetli bir niyet olmasa bile, bunun tek başına federal bir suç oluşturması oldukça vahşi. Ama içinde yaşadığımız yasal ortam bu.

Şunu söylerdim, şansa girme. Web sitelerini test etmek istediğiniz şirketten yazılı izin alın.

45
D.W.

Yasa belirsiz. Ne kadar masum olursa olsun, yaptığınız her şey suç sayılabilir. Web sitesi sahibinin yapması gereken tek şey "Bunun olmasını istemedim" demek ve bir suçtan mahkum olabilirsiniz.

Bir tsunami yardım web sitesine bağış yapmadan önce, Daniel Cuthbert ../../../ girin. İngiltere'de "hackleme niyeti" nedeniyle mahkum edildi.

Lori Drew , daha sonra intihar eden başka bir kızı taciz etmek için daha sonra 14 yaşındaki kızı tarafından kullanılan sahte bir hesap oluşturarak MySpace'in hizmet şartlarını ihlal ettiği için MySpace'i hapsetmekten suçlu bulundu. Mahkumiyetler daha sonra bozuldu ve hükümet temyize gitmemeye karar verdi - ama yine de kaçınılması gereken bir deneyim.

Andrew "weev" Auernheimer kimlik hırsızlığından suçlu bulundu, çünkü AT&T web sitelerinde erken iPad sahipleri için müşteri hesabı bilgileri sağladı ve URL'leri numaralandıran ve indiren bir komut dosyası yazdı.

Brian K. West, bir gazete web sitesinde "Düzenle" etiketli bir düğmeyi tıkladığı için kovuşturma tehdidinde bulundu ve bunun gerçek web sayfasını düzenlemesine izin verdiğini görünce şaşırdı. Sorunu gazeteye bildirdikten sonra, FBI onu araştırdı (Batı'nın işyerini araştırmak ve bazı materyalleri ele geçirmek dahil) ve bir savcı görünüşe göre onu ağır bir kovuşturmayla tehdit etti.

Son zamanlarda, bir gelen kutusunun spam ile dolmasına neden olduğunuzda, bu nedenle DoSing yaptığınızda, Bilgisayar Sahtekarlığı ve Kötüye Kullanım eylemi tarafından tanımlanan şekilde "hacklemekten" suçlu olduğunuz tespit edilmiştir.

Tarif ettiğin her şeyi yapıyorum. Kesişmeyeceğim çizgiler var: SQL enjeksiyonunu test edeceğim, ancak veritabanına erişemiyorum. Ama bunu yapıyorum çünkü beni savunmak için yüksek fiyatlı avukatlara param yetiyor. Ayrıca, aptalca şeyler yapmayacağım. Örneğin, Daniel Cuthbert "hackleme niyetinden" suçlu bulundu, çünkü neden yaptığını sorduğunda hikayesini değiştirmeye devam etti, bu yüzden mahkeme hiçbir hikayeye inanmadı.

54

Birçok ülkede sabit olan tek şey, listenizdeki tek güvenli işlemin 1 numara olması.

Bazı bölgelerde verileri değiştirmekle sorun olmaz, ancak bunu riske atmamalısınız.

Buna tamamen yanlış şekilde yaklaştığınızı söyleyecek kadar ileri gideceğim.

Daha iyi yaklaşım:

Web geliştirme şirketine, işletmenizi istedikleri takdirde uygulamanın belirli bir standarda göre test edildiğini kanıtlamaları gerektiğini bildirin. İngiltere'de bunu bir CREST veya CHECK onaylı kişi veya ekip tarafından test yapılmasını gerektirerek yapabilirsiniz. Veya Big-4 denetim şirketlerinden birini kullanarak güvence kazanabilirsiniz. Test yaptırmışlarsa, yöntem ve sonuçların görünürlüğünü isteyebilirsiniz.

En iyi yaklaşım:

Geliştirme yaşam döngülerindeki güvenlik ve yönetişim kontrollerini göstermelerini isteyin. Güvenlik açısından olgunlaşmış bir kuruluş, güvenlik açıkları olasılığını azaltacak ve hatta tüm güvenlik açığı sınıflarını kaldıracak tam bir SDLC kullanacaktır. Sızma testi neredeyse sadece sürecin sonunda bir onaydır.

11
Rory Alsop

Dikkat: Ben bir avukat değilim, sadece dikkatli olunan bir inek.

Kumda yasadışı saldırıları "izinsiz test" ten ayıran belirli bir hat var mı? Yoksa tüm bu senaryo kaçınmam gereken gri bir alan mı (büyük olasılıkla). Bu tamamen gri alanda bilgimi genişletebilecek herhangi bir bağlanabilir çevrimiçi kaynak var mı? Bunun üstesinden gelen özel kanunlar veya kanunlar nelerdir?

Hayır. Hangi yargı bölgelerindeki yasaların çok daha az uygulandığı konusunda bir anlaşma bile yoktur. Cezai cezaları görmezden gelseniz bile, bunu sadece medeni cezalar yüzünden yapmaktan kaçınmalısınız.

Bu listedeki şeylerin yarısını yaparsanız, hizmet şartlarını ihlal etmiş olursunuz ve bilgisayar kaynaklarının iyi niyetli olmayan kullanımı sizi sivil dava tehlikesine sokabilir. Gereksiz kaynakları kullanmadığınız konusundaki argümanlarınız, makul mühendislerin sistemleri nasıl tasarlayacağı/dağıtacağı konusundaki spekülasyonlara dayanmaktadır. Çok haklı olabilirsiniz, ancak bu iddiaları önceden doğrulamayın veya onlara karşı sigortalamayın. Eğer sunucu odalarındaki bir erime sadece araştırmanızla çakışıyorsa, buna neden olmadığınızı kanıtlamak istemezsiniz.

Görünüşe göre zararsız yükler, birçok ziyaretçi ile çarpıldığında bir sorun haline gelebilir. Örneğin, enjekte edilen alert(1) yükünüz zararsız görünebilir, ancak kalıcı bir XSS güvenlik açığı bulursanız ve ana sayfada x gün boyunca x potansiyel müşteri tarafından görüldüğü yerde görünür. Bazı x ve d değerleri için zararsız değildir ve bu değişkenleri azaltma gücünüz yoktur.

Sözleşme kalem testçileri bile izin verilen çalışmalarda sorumluluk sigortasına sahip olmalıdır "Sızma Testi: Üçüncü Taraf Hacker"

Tüm sızma testi hizmet sağlayıcıları, bir müşterinin mülkiyet bilgilerini kaybetme riski ve faaliyetlerinden kaynaklanan beklenmedik arıza sürelerinden kaynaklanabilecek olası gelir kaybıyla ilişkili maliyetleri karşılamak için yeterli sorumluluk sigortasına sahip olmalıdır. Servis sağlayıcının sorumluluk sigortası yoksa, yükümlülüğü "Şartlar ve Koşullar" bölümünde nasıl belirttiklerine dikkat edin. Yönetim ayrıca, test başlamadan önce geliştirilmiş ve doğrulanmış yeterli olay yanıtı ve olağanüstü durum kurtarma planları uygulayarak test sırasında veri kaybından kurtulabilmesini sağlamalıdır.

Şirket tarafından sözleşmeniz yapılmışsa, araştırmanız üretim sistemlerini devraldığında veri/iş kaybından sorumlu olabilirsiniz. Sözleşme veya önceden ilişki olmadan hareket ederseniz ve kendi yararınız için, sistemlerinde (problama işleminize başlamadan önce yedeklemeyi bilmedikleri) gıdıklayan kusurlar varsa daha da fazla risk altındasınız demektir.

Diyelim ki devam edersiniz ve bu bir hukuk davasıyla sonuçlanır. Eğer sizi halletmek için baskı yapmak istiyorlarsa, cezai cezaların hayaletini artırabilir veya eylemlerinizi cezai cezaları olanlara benzeterek cezai zararlar almaya çalışabilirler. Yargıçlar ve jüriler "Siber Vandalizm ve İnternet 'Hacktivism'" 'a dayalı olarak aşağıdaki argümana duyarlı olabilirler:

"Bir çilingirin hangi kilidin satın alınacağına karar vermek istediğini düşünün, bu yüzden bir müşteri listesi için bir kilit üreticisi ister. Çilingir, kilitlerini kullanan ve mağazayı gece için kapalı bulan bir markete gider. Mağaza sahibi ertesi sabah gelip kilidi açamayacak şekilde kilidin kırılması için geldi ve o sabah kahve içmedi.Çoğu ülkede vandal yasaları var ve çilingir aleyhine kullanılabilirler. çilingir için geçerli çünkü toplumun vandalları cezalandırmaya ilgisi var. "

Bir kilit satın almak isteyen çilingiri bulup bulmamanıza bakılmaksızın, hakimler ve jüriler olabilir ve teknoloji meraklıları arasında "hackerların (gevşek olarak tanımlanmış) bağlantısını tıklayın.

TLDR: Kovboylara giderek pahalı bir dava açmayın.

10
Mike Samuel

Bu sizin özel sorunuza cevap vermez, ancak uygulamalarının güvenliğini test etme izniniz varsa varsayımsal durumunuz için yukarıdakilerin hepsi% 100 yasaldır. Daha da iyisi, adaydan bir test sistemi (gerçek web sitesi değil) kurmasını istemek ve daha sonra bu test sistemine saldırmayı denemek olacaktır. Bu şekilde testleriniz yanlışlıkla canlı bir sistemi düşürürse (veya birisi tehdidi fark ederse ve sistemi düşürürse), zararlardan sorumlu olmazsınız.

Sızma testi talep etmeyen sistemlere bağlı olmadığınız sistemler için; Güvenlik kusurlarını test etmem. Evet, XYZ şirketinin web sitesinin test edilmeden SQL enjeksiyon saldırılarına karşı korunduğunu gerçekten bilemeyeceksiniz, ancak test etmeyi kabul etmedikleri sürece - test etmek sizin işiniz değil ve eğer yakalanırsanız böylece sizi yargılayabilir.

Onun gibi sormak, kontrol etmek ve komşumun ev kilitli olup olmadığını görmek için Tamam mı? Ya da kilidi kolayca alıp alamayacağımı görün (kapıyı açıp içeri girmeden)? Ya da sıkabileceğiniz bir pencere açıp açamayacağınızı görmek için test mi yapıyorsunuz? Komşunuz veya polis bu şeylerden herhangi birini yaptığınızı fark ederse ve basın suçlamalarına mecbur hissediyorsanız, meşru bir nedeniniz yoksa (içeride yardım için çığlık duyduğumu duydum; evlerinde bir şey bırakıyordum ve yapmadım) yağmurda dışarıda bırakmak istiyorum; bu yüzden kapıyı açıp açamayacağımı görmeye çalıştım).

6
dr jimbob

Şirketiniz adına web geliştirme firması kiraladığınızı varsayarsak, şirketinizin hukuk departmanından tavsiye isterim. Şirketiniz adına güvenliği araştırıyorsanız ve birisi dava açmak isterse, kişisel olarak sizden ziyade şirketinizin daha derin ceplerine dava açacaklardı. Bunun olması halinde hukuk departmanınızın kesinlikle arkanızda olmasını istiyorsunuz.

Şirketinizin hukuk departmanı, ulusal ve eyalet yasalarınızın nelere izin verdiğini bilmek için çok daha iyi bir konumdadır. Herhangi bir ceza soruşturması varsa, yasal konseyinize danışmış olmanız sizi tazmin etmeyecektir, ancak kesinlikle sizin lehinize bir nokta olacaktır.

5
Justin Cave