Hackeando su propia computadora [cerrado]

Descargo de responsabilidad: no soy abogado, ni sé nada acerca de ser abogado. Aunque entiendo lo que se requiere para realizar un pentest contra los sistemas de un cliente.

Como está atacando su propio dispositivo, es probable que no esté infringiendo ninguna ley. Como tiene permisos expresos de su novia (espero que así sea), para realizar esta tarea probablemente será seguro realizarla.

Dado que esto se basa en la legalidad, si tiene la aprobación adecuada para realizar el pentest, es probable que esté seguro de esto. (Nuevamente quiero enfatizar mi descargo de responsabilidad).

Para fines de demostración, yo personalmente crearía algunas máquinas virtuales y les demostraría lo que puede hacerles localmente. Como se mencionó, colocar una máquina vulnerable en internet es solo una mala idea. Si puedes piratearlo, también pueden hacerlo otros ... y, como lo indican mis registros de firewall, siempre hay alguien que hurgue ...

Presentando el punto de abogado mencionado por @ m3r1n, en el pasado me habían contratado para revisar una máquina para una persona que estaba preocupada por ser hackeada por su ex., para buscar spyware u otra mala conducta. Esto fue el preludio de una demanda. Al final no lo hizo, pero si lo hubiera hecho, y ella no estaba al tanto o no entendía lo que estaba haciendo, él habría estado en un verdadero problema.

IANAL y todo eso, pero desde un punto de vista legal, hackear su propia máquina debería estar bien. , incluso si era ilegal, es poco probable que presentes cargos contra ti mismo.

Sin embargo, la única palabra de precaución es tener cuidado con los daños colaterales, si ha realizado pruebas de lápiz antes de que probablemente ya esté al tanto de esto. Hay algunas cosas en las que podría no pensar, por ejemplo, estaba ejecutando un montón de escaneos Nmap desde mi casa contra el rango de IP pública de mi trabajo solo para compruebe que el servidor de seguridad estaba haciendo lo que yo pensaba que era.

Todo estuvo bien y en la pizarra, pero me olvidé de informar a mi ISP del trabajo y sus IDS lo recogieron y automáticamente envié un correo electrónico a aubse @ HomeISP diciendo que había visto sospechosas desde la dirección IP de mi casa.

Además, no estoy seguro de cómo planea configurarlo tener un servidor vulnerable que se enfrenta públicamente no es una buena idea. Si configura intencionalmente un servidor vulnerable, luego fue pirateado y utilizado de manera malintencionada, podría estar en un área legalmente gris y podría violar los Términos de servicio de su ISP.

Si está planeando conectarse a través de una VPN o algún tipo de túnel seguro y luego atacar el servidor, debería estar bien.

No soy un abogado, pero la mayoría de las leyes contra piratería se reducen a ser leyes de intrusión. Si está utilizando un sistema informático, solo se le permite usarlo de la forma que pretendía el propietario. Dado que usted es el propietario de ambos sistemas, lo está utilizando de la forma en que lo hizo el propietario, ya que lo intentó como una demostración de pruebas de penetración.

Si este no fuera el caso, sería ilegal usar sitios como hackthissite.org, pero ese no es el caso. Existen algunas leyes de casos especiales, como las leyes sobre la omisión de protecciones en teléfonos inteligentes que ahora son ilegales, pero eso es principalmente un caso especial y no tengo conocimiento personal de nada que pueda hacer que algo como lo que usted dice sea ilegal.

Dicho esto, la preocupación por las personas que ingresan a su sistema es una preocupación válida. Es posible que no tenga nada de valor en el servidor, pero olvida que el servidor en sí es probablemente más valioso que los datos que contiene. Si alguien puede comprometer su servidor, puede usarlo como un punto de lanzamiento para sus propios ataques en otros sistemas y si las personas a las que atacan señalan que debería haberlo sabido mejor, podrían ser responsables de poner un sistema expuesto. por ahí (no estoy seguro de si esto se ha intentado o no, pero puede ser una posibilidad).

Su mejor opción es usar uno de los múltiples sitios que ya tienen cuadros de demostración configurados de manera segura donde parecen estar en peligro, pero en realidad solo están ejecutando una simulación de espacio de pruebas muy grande que le permite Demuestre las técnicas básicas sin tener realmente un sistema abierto a un compromiso real. Hackthissite.org es mi favorito personal de estos, aunque no es el único.

¿Compró realmente su cable módem (y el de su novia) o vino con su paquete de Internet? Si este último, no es "equipo de propiedad personal". Bajo ninguna circunstancia, los dispositivos de infraestructura intermedios a través de los cuales se conectará a través de Internet, algunos de los cuales ni siquiera pueden ser controlados por Bright House.

Las leyes relacionadas con delitos informáticos aún están en desarrollo y a menudo se aplican a los casos en que los acusados pueden haber asumido razonablemente que no han hecho nada malo.

La mejor manera de evitar ser atrapado en estas redes no definidas es simplemente evitar el uso de cualquier otro equipo que no sea el suyo (o el equipo al que se le otorgó explícitamente un uso sin restricciones, o que se le permita utilizarlo en particular para pruebas de penetración, en escribiendo) para cosas como esta. Haga un laboratorio de pruebas con máquinas virtuales en una computadora portátil (aquí, "portátil" puede incluir un escritorio o un servidor pequeño), llévelo a la casa de su novia y nunca lo conecte a Internet mientras se usa para su demostración pentest.