¿Cuáles son las preocupaciones legales / éticas a tener en cuenta al hackear sitios web con invitaciones abiertas?

17

Estaba leyendo otra pregunta que menciona un sitio que tenía una página que invita a las personas a intentar piratearlo , y me hizo preguntarme.

Supongamos, por el bien de esta pregunta bastante hipotética, que un sitio tiene una página que le pide a la gente que lo piratee, y que la página no especificó qué tipo de piratería fue o no fue aceptable.

¿La colocación de esta página proporciona una indicación legal / éticamente suficiente de que este sitio realmente está esperando ser hackeado? ¿Se deben establecer requisitos legales / contractuales / éticos antes de publicar o ejecutar este tipo de desafíos?

¿Realmente significa que todas las apuestas están apagadas y cualquier tipo de ataque es aceptable?

  

Esta pregunta fue Cuestión de la semana sobre seguridad de TI .
  Lea el 6 de abril de 2012 entrada de blog para obtener más detalles o envía tu propia Pregunta de la semana.

    
pregunta Yoav Aner 02.04.2012 - 10:37
fuente

2 respuestas

9

Comenzaré con el obligatorio No soy abogado, y los abogados son los únicos que pueden brindar el asesoramiento legal adecuado :)

Dicho esto, hay una serie de factores a considerar aquí. En primer lugar, hay algunos sitios que permiten explícitamente realizar pruebas de seguridad (una lista reciente en el blog de Dan Kaminskys ). Por lo que he visto, estos sitios proporcionan reglas de participación (por ejemplo, sin ataques DDoS). Si sigues esas pautas para una gran empresa como Google, me sorprendería que tomaran acciones legales contra ti. Por supuesto, supongo que aún podría estar infringiendo teóricamente una ley local contra la piratería incluso ...

Fuera de esa lista u otras compañías muy conocidas, estaría algo receloso de una página que decía "está bien piratear este sitio". Por ejemplo, en un sitio donde se permite el contenido generado por el usuario, ¿cómo sabe que la persona que creó la página tiene autoridad para tomar esa decisión?

En cualquier caso, me sorprendería ver que un sitio diga "sin restricciones" el ataque está bien. En última instancia, incluso si se trata de una Denegación de Servicio, casi todos los sitios tienen algún nivel de vulnerabilidad ...

    
respondido por el Rоry McCune 02.04.2012 - 13:52
fuente
10

Esta es un área muy interesante, y no creo que nadie haya presentado un caso legal para obtener una decisión de una manera u otra.

En varias jurisdicciones, aún podría ser procesado por actividades delictivas, a pesar de que hay una nota de aprobación en el sitio web.

Como ejemplo, cuando una empresa de pruebas de penetración realiza algún trabajo por usted, los términos y condiciones pueden incluir cláusulas de limitación de responsabilidad, expectativa de comportamiento, protocolos de contacto y escalación de contactos, etc., y aún trabajamos con un elemento de riesgo que si rompemos algo el cliente puede emprender acciones legales. Por lo tanto, cuando comience a atacar un sitio web, tenga en cuenta que, dado que no existe un contrato firmado, es posible que no tengan que cumplir con el contrato implícito en el sitio web.

Por lo menos, siga las pautas, pero además, registre todo que hace en caso de que suceda algo malo y necesite demostrar que no fue usted o no fue deliberado. !

    
respondido por el Rory Alsop 02.04.2012 - 14:20
fuente

Lea otras preguntas en las etiquetas