¿En qué momento se convierte en ilegal el "pirateo"? (NOSOTROS)

¡No lo hagas! No lo hagas Si estás en los Estados Unidos, la ley es muy amplia. Ni siquiera quieres ir de puntillas a la línea.

La ley pertinente es la Ley de abuso y fraude informático (18 U.S.C. 1030). En pocas palabras (y simplificando un poco), según el CFAA, es un delito federal "acceder intencionalmente a una computadora sin autorización o exceder el acceso autorizado". Este lenguaje es muy amplio, e imagino que un fiscal ambicioso podría intentar usarlo para buscar todo lo que está en su lista, excepto el número 1 (ver código fuente).

Orin Kerr, uno de los principales estudiosos legales en esta área, llama a la estatua "vaga" y "extraordinariamente amplio" , y ha dicho que " nadie sabe realmente lo que prohíbe ".

Y, como explica @Robert David Graham, ha habido casos en los que se procesó a personas, se las amenazó con enjuiciarlas o se las demandó por tan solo escribir una comilla simple en un cuadro de texto, agregando un ../ a una URL, o registrarse en Facebook bajo un seudónimo. Es bastante descabellado que esto solo constituya un delito federal, incluso si no hay una intención maliciosa. Pero ese es el entorno legal en el que vivimos.

Yo diría, no te arriesgues. Obtenga la autorización por escrito de la compañía cuyos sitios web desea probar.

La ley no está clara. Cualquier cosa que hagas, por inocente que sea, podría considerarse un crimen. Todo lo que debe hacer el propietario del sitio web es decir "No quería que eso sucediera", y usted podría ser condenado por un delito.

Antes de realizar una donación a un sitio web de ayuda contra el tsunami, Daniel Cuthbert escribió ../../../ en la URL. Fue declarado culpable de "intento de piratería" (en el Reino Unido).

Lori Drew fue condenada por piratear MySpace, porque violó los términos de servicio de MySpace al crear una cuenta falsa, que luego fue utilizada por su hija de 14 años para acosar a otra niña, quien luego se suicidó. Las condenas se revocaron más tarde y el gobierno decidió no apelar, pero sigue siendo una experiencia que se debe evitar.

Andrew "weev" Auernheimer fue declarado culpable de robo de identidad, porque AT & T proporcionó información de la cuenta del cliente para los primeros propietarios de iPad en su sitio web, y escribió un script que simplemente enumeró las URL y las descargó.

Brian K. West fue amenazado con ser procesado porque hizo clic en el botón "Editar" en el sitio web de un periódico, y se sorprendió al descubrir que esto le permitió editar la página web real. Después de informar sobre el problema al periódico, el FBI lo investigó (incluida la búsqueda en el lugar de trabajo de West y la incautación de algunos materiales) y un fiscal aparentemente lo amenazó con un proceso penal.

En un caso reciente, se descubrió que cuando se llena una bandeja de entrada con correo no deseado, por lo tanto, se le hace culpable de "piratearlo" tal como lo define la Ley de abuso y fraude informático.

Hago todas las cosas que describes. Hay líneas que no cruzaré: probaré la inyección de SQL, pero no accederé a la base de datos. Pero hago esto porque puedo pagar abogados de alto precio para que me defiendan. Además, no voy a hacer cosas que sean estúpidas. Por ejemplo, Daniel Cuthbert fue declarado culpable de "intento de piratería" porque siguió cambiando su historia cuando se le preguntó por qué lo hizo, por lo que el tribunal no creyó en ninguna historia.

La única constante en muchas jurisdicciones parece ser que la única acción segura en su lista es el número 1.

En algunas áreas estaría de acuerdo con la modificación de los datos, pero en realidad no debería arriesgarse.

Iría tan lejos como para decir que te estás acercando a esto de manera totalmente incorrecta.

Mejor enfoque:

Informe a la empresa de desarrollo web que, si quieren su negocio, deben proporcionar una prueba de que la aplicación ha sido probada según un estándar en particular. En el Reino Unido, puede hacer esto requiriendo una prueba por parte de una persona o equipo aprobado por CREST o CHECK. O puede obtener seguridad utilizando una de las firmas de auditoría Big-4. Si han tenido una prueba, puede solicitar visibilidad de la metodología y los resultados.

Mejor enfoque:

Pídales que demuestren los controles de seguridad y gobierno en su ciclo de vida de desarrollo. Una organización madura en seguridad utilizará un SDLC completo que reducirá la probabilidad de vulnerabilidades, e incluso eliminará toda clase de vulnerabilidades. Las pruebas de penetración son casi una confirmación al final del proceso.

Advertencia: no soy abogado, solo soy un geek que sugiere cautela.

  

¿Hay una línea definida en la arena que separa el pirateo ilegal de "probar sin permiso"? ¿O es todo este escenario un área gris que debería evitar (probablemente el caso)? ¿Hay algún recurso en línea que pueda vincularse que pueda ampliar mi conocimiento en esta área completamente gris? ¿Cuáles son las leyes o leyes específicas que manejan esto?

No. Ni siquiera existe un acuerdo sobre qué jurisdicciones aplican mucho menos que las leyes dentro de esas jurisdicciones. Incluso ignorando las sanciones penales, debe evitar hacer esto solo debido a sanciones civiles.

Si hace la mitad de las cosas en esa lista, es probable que esté violando los términos de servicio, y cualquier uso de recursos informáticos que no sea de buena fe puede ponerlo en peligro de demandas civiles. Sus argumentos de que no está utilizando recursos indebidos se basan en especulaciones sobre cómo los ingenieros razonables diseñarán / desplegarán sistemas. Es posible que tenga razón, pero no puede y no puede verificar esas afirmaciones de antemano o asegurarse contra ellas. Si una fusión en su sala de servidores simplemente coincide con su sondeo, no quiere estar en la posición de probar que no lo causó.

Las cargas útiles aparentemente inocuas pueden convertirse en un problema cuando son multiplicadas por muchos visitantes. Por ejemplo, su carga útil alert(1) inyectada puede parecer inocua, pero si encuentra un XSS vuln persistente y se manifiesta en la página de inicio, donde x cliente potencial lo ve por d días. Para algunos valores de x y d no es inocuo y no tiene el poder de mitigar esas variables.

Incluso los examinadores de la pluma por contrato deberían tener un seguro de responsabilidad civil cuando trabajan con permiso de acuerdo con " Pruebas de penetración: el pirata informático de terceros "

  

Todos los proveedores de servicios de pruebas de penetración deben tener un seguro de responsabilidad civil suficiente para cubrir los costos asociados con el riesgo de perder la información de propiedad de un cliente y cualquier posible pérdida de ingresos que pueda resultar de un tiempo de inactividad inesperado causado por sus actividades. Si el proveedor de servicios no tiene un seguro de responsabilidad civil, preste atención a cómo especifican la responsabilidad en sus "Términos y condiciones". La gerencia también debe asegurarse de que pueda recuperarse de una pérdida de datos durante las pruebas teniendo en cuenta   coloque planes adecuados de respuesta a incidentes y recuperación ante desastres que se hayan desarrollado y verificado antes de que comiencen las pruebas.

Si fue contratado por la empresa, podría ser responsable de la pérdida de datos / negocios cuando su sondeo desactive los sistemas de producción. Si actúa sin contrato o relación anterior, y para su propio beneficio, corre aún más riesgo de que se adapte si sus sistemas (que no sabían respaldar antes de iniciar el sondeo) tienen fallas que hacen cosquillas.

Digamos que sigue adelante, y da lugar a una demanda civil. Si quieren presionarlo para que se resuelva, pueden aumentar el espectro de las sanciones penales o intentar obtener daños punitivos comparando sus acciones con aquellas para las cuales existen sanciones penales. Los jueces y jurados podrían ser susceptibles al siguiente argumento basado libremente en "Ciber vandalismo e Internet 'Hacktivism'" :

"Imagina que un cerrajero quiere decidir qué candado comprar, así que le pide a un cerrajero una lista de clientes. El cerrajero va a una tienda de conveniencia que usa sus cerraduras y encuentra que la tienda está cerrada por la noche. con el candado, y lo daña. El dueño de la tienda llega a la mañana siguiente para encontrar el candado roto, por lo que no puede abrirlo y por lo tanto no vende café esa mañana. La mayoría de las jurisdicciones tienen leyes contra los vándalos y podrían usarse contra el cerrajero. Los daños punitivos deben aplicarse al cerrajero porque la sociedad está interesada en castigar a los vándalos ".

Independientemente de si encuentra que el cerrajero que quiere comprar un candado es una buena analogía para usted, los jueces y los jurados podrían hacerlo, y hay un meme entre los no expertos en tecnología que los "piratas informáticos" (vagamente definidos) son vándalos como descrito en el enlace de arriba.

TLDR: no te prepares para una demanda costosa yendo de vaquero.

Suponiendo que está contratando a la empresa de desarrollo web en nombre de su empresa, le pediría consejo al departamento legal de su empresa. Si está investigando la seguridad en nombre de su empresa y alguien quería demandar, es casi seguro que demandaría a los bolsillos más profundos de su empresa en lugar de a usted personalmente. Definitivamente, usted quiere que su departamento legal esté detrás de usted si eso sucediera.

El departamento legal de su compañía también está en una posición mucho mejor para saber lo que permiten sus leyes nacionales y estatales. Si hay algún tipo de investigación criminal, el hecho de que haya consultado con su consejo legal no lo indemnizaría, pero definitivamente sería un punto a su favor.

Esto no responde a su pregunta en particular, pero para su situación hipotética, si tiene permiso para probar la seguridad de su aplicación, todo lo anterior es 100% legal. Aún mejor sería pedirle al candidato que configure un sistema de prueba (no su sitio web real) y luego intente atacar ese sistema de prueba. De esta manera, si sus pruebas desbaratan accidentalmente un sistema activo (o alguien se da cuenta de la amenaza y desactiva el sistema), usted no será responsable por daños.

Para los sistemas con los que no está afiliado, no está solicitando pruebas de penetración; No probaría fallas de seguridad. Sí, no podrá saber realmente que el sitio web de la empresa XYZ está protegido contra los ataques de inyección de SQL sin realizar pruebas, pero a menos que hayan acordado que debe probarlo, no es su trabajo probarlo y, si lo sorprenden, para que pueda y deba procesarlo.

Es como preguntar, ¿está bien probar y comprobar si la casa de mi vecino está cerrada con llave? ¿O ver si puedo abrir fácilmente la cerradura (sin abrir la puerta y entrar)? ¿O está probando para ver si podría abrir una ventana por la que podría pasar? Si su vecino o la policía se da cuenta de que está haciendo algo de eso y se siente obligado a presentar cargos, está jodido a menos que tenga una razón legítima (escuché gritos de ayuda dentro de la casa; estaba dejando algo en su casa y no lo hice. quiero dejarlo afuera bajo la lluvia, así que traté de ver si podía abrir la puerta).