¿Está generalmente autorizado para ejecutar herramientas de recopilación de información sistemática? Estoy hablando de herramientas como nmap, knock, dirb y así sucesivamente. Obviamente, estoy hablando de publicarlos en sitios web públicos sin consentimiento.
En general, siempre que no esté utilizando un sitio web de forma autorizada, puede asumir que no está autorizado de forma predeterminada.
Algunos sitios web pueden autorizar explícitamente el uso de herramientas de análisis automatizadas. Un ejemplo clásico de esto es la página ScanMe de Nmap . En este caso, la página indica claramente la autorización y las limitaciones asociadas.
Algunos sitios web generales también ofrecen una gran cantidad de errores, lo que permite ampliar la búsqueda de vulnerabilidades en sus sistemas. Dicho sitio web puede o no autorizar el uso de herramientas automatizadas, esto generalmente se establece claramente en los detalles de la recompensa de errores.
Sin embargo, las declaraciones "autorizadas" y "no autorizadas" deben distinguirse de las declaraciones "legales" e "ilegales". En algunos casos, los primeros pueden no tener nada que ver con los posteriores. En particular, antes de participar en cualquier actividad que pueda, incluso de forma remota, considerarse ofensiva, asegúrese de que la persona explícita haya emitido la autorización explícita para emitirla y con pleno conocimiento de las posibles consecuencias (en particular, antes de permitir dicho uso, el objetivo debe verificar si su compañía de hosting lo permite).
Las leyes que controlan dicha actividad son mucho más complejas de lo que uno podría pensar, incluso más cuando el origen y el destino del escaneo (ya sea su sede central o sus servidores) se encuentran en diferentes jurisdicciones. Las cosas pueden ir rápidamente mal y fuera de la mano. ¿Qué sucede si el servidor que estaba analizando se bloqueó durante su exploración y el administrador del sistema local no realizó ninguna copia de seguridad? Incluso si su escaneo puede no tener relación técnica con el choque, espere ser designado como el principal responsable de todos los daños y las pérdidas asociadas.
En caso de duda, póngase en contacto con un abogado antes de hacer cualquier cosa o absténgase.
Como nota al margen, usted permanece libre para escanear sus propios dispositivos en su propia red. El uso de máquinas virtuales en su propia LAN suele ser suficiente para la mayoría de las pruebas personales.
Lea otras preguntas en las etiquetas tools