Sé que es un gran no-no en términos de etiqueta, pero ¿es ilegal en Canadá realizar pruebas de penetración contra una empresa comercial sin autorización?
solicitado por: enlace
P.S. Según tengo entendido, es probable que se le cobre en una serie de artículos (la mayoría de los cuales no son específicos del reino de TI).
Dado que no somos, y no pretendemos proporcionar, asesoramiento legal (ya que no somos abogados), es un tema realmente difícil de tratar. Dicho esto, generalmente se considera una buena idea obtener un permiso por escrito de la organización, firmado por alguien dentro de la organización que está autorizado para firmar tales cosas, lo que le permite realizar cualquier tipo de examen de exploración o penetración. Sin esa autorización, hay una línea muy fina entre "Verifiqué si la corrección se realizó sin intención maliciosa" y "Verifiqué si la corrección se realizó con mala intención".
Dentro de Canadá, las partes relevantes más probables serán Sección 184 y Sección 342 de El Código Penal de Canadá. No intentaré interpretar el contenido, ya que, francamente, tengo miedo de la posibilidad de dar asesoría legal accidentalmente.
El problema es que si el niño era o no penalmente responsable por lo que hizo, en mi opinión, era un tonto por no obtener el permiso antes de realizar una evaluación de vulnerabilidad / prueba de penetración.
Se necesitaría un abogado (o varios) para dar una respuesta verdadera a su pregunta, y no tengo derecho a dar asesoramiento legal de ninguna manera. Sin embargo, en la mayoría de los países, las pruebas de penetración sin el consentimiento del objetivo tienden a generar problemas legales, de la misma manera que ir por la calle y probar el agarre de todas las puertas de la casa para ver cuáles abrir es arriesgado. Incluso en los países en los que probar el embrague no sería ilegal (solo lo sería ingresar a la casa), le resultaría difícil explicar a la policía y a los jueces que su actividad sospechosa no se realizó con una intención maliciosa inmediata.
Para usar una analogía aún más gráfica (y aproximada): si te apresuras hacia otra persona (llamémosle Bob) mientras blandes un cuchillo grande, pero un policía te agarra antes de que se cumpla la acción, podrías intentar decirle el juez: "Pero no está demostrado que intenté matar a Bob; solo quería ver si era posible apuñalarlo, pero por supuesto tendría Se detuvo justo antes de perforar la piel de Bob. La intervención del policía fue innecesaria ". Mi apuesta es que el juez no estará convencido.
En resumen, los asuntos legales son intrincados, pero no se necesita un abogado para predecir que las pruebas de penetración sin el consentimiento del objetivo pueden terminar con su procesamiento, sin una vía segura de escape legal. Si esto es bueno es otro debate (los libertarios extremos dirían que cualquier servidor abierto es un juego justo para cualquier tipo de prueba de penetración, e incluso una intrusión directa y un saqueo de datos).
Usted siempre requiere un acuerdo por escrito del objetivo. En el Reino Unido, las empresas de pruebas de penetración tienen abogados y acuerdos predeterminados que incluyen los nombres, los IP, el tiempo (horas) del objetivo y algunos de ellos también incluyen los tipos de herramientas que se utilizarán.
Por lo tanto, afirmaría que incluso si no soy abogado, es probable que pierda el caso si lo atrapan y si el objetivo no sabía qué estaba haciendo. Hay muchos casos de personas que ponen a prueba la seguridad y terminan en la corte, por lo que no recomendaría hacerlo de todos modos.
Un nuevo ejemplo Estudiante expulsado por hacking después Investigando el agujero de seguridad
Sin embargo, algunas empresas como Facebook y Google tienen muchas posibilidades de encontrar errores, por lo que en este caso es legal probar la seguridad y buscar fallas como XSS y SQLi.
Lea otras preguntas en las etiquetas penetration-test legal