Mis amigos han expresado su interés en la piratería, pero no queremos hacer nada ilegal y consideramos CTF365, pero era demasiado caro. ¿Es posible / legal que uno de nosotros cree un sitio web privado para que podamos piratear o jugar ataque / defensa con dos sitios web propios?
Que yo sepa, sí, es legal. Todas las leyes contra la piratería que conozco se refieren al acceso no autorizado , y si tiene permiso para piratearlo, no está no autorizado, ¿verdad?
Tenga en cuenta que hay algunas cosas que deberá tener en cuenta. Algunas jurisdicciones prohíben la posesión de "herramientas de pirateo" (similar a prohibir la posesión de lockpicks, pero menos bien definidas), y algunas técnicas, como la suplantación de paquetes o (D) DoS, pueden tener daños colaterales que podrían ser contrarios a la ley .
También querrá consultar la opinión de su proveedor de alojamiento web sobre lo que está haciendo. Es posible que no lo permitan debido a posibles efectos en otros clientes; Si está alojando el sitio web en su conexión doméstica, podría estar violando los términos de servicio de su ISP.
Si desea estar completamente seguro, haga esto en una red dedicada que esté completamente aislada de Internet. Un conmutador Ethernet barato y una Raspberry Pi o dos pueden brindarte una configuración con la que puedes jugar por menos de $ 100.
Como dice Mark, más o menos tiene ser legal para hacer esto, ya que efectivamente es acceso autorizado , aunque quizás por rutas no convencionales.
También considere los numerosos concursos de piratería en los que el premio es la máquina pirateada (o lo que sea). Algunos (si no muchos) de estos concursos no son no en una red privada, sino que se realizan a través de la Internet pública. Busque "pwn to own" y "leetspellings" similares de esa frase, y estoy seguro de que encontrará sitios para tales eventos, y sus términos y condiciones deberían ser de su interés.
Aquí en Dinamarca, Henrik Kramshøj es una gran autoridad en todo lo relacionado con la seguridad de TI (y especialmente de la red), y con frecuencia afirma que se puede (intentar) hackear su sitio web siempre que se le notifique con antelación. Y eso está sobre la Internet pública, aunque en este caso, en realidad posee su proveedor de Internet, por lo que es un factor de riesgo menor.
Eche un vistazo a la respuesta de Rory a una pregunta similar , que incluye un enlace a una lista de hackers. sitios de bienvenida.
En primer lugar: nadie puede responder esta pregunta porque no sabemos de qué país está hablando. Incluso si supiéramos que no somos abogados y no podemos contestar esto. Supongo que en la mayoría de los países la situación legal sobre esto no sería clara de todos modos. Probablemente estaría en una zona gris.
En realidad, no importa si es legal porque su servidor será hackeado y su proveedor / ISP lo desconectará de todos modos.
Haga que el sistema no sea público (VPN o similar) y no tendrá problemas.
Necesitas ser un poco más lateral en tu pensamiento. Para practicar la piratería en un sitio web, no necesita un sitio web público; de hecho, no quiere un sitio web público porque una vez que es público, ya no tiene control sobre quién puede intentar piratearlo. También sugeriría, sin querer ser grosero, que según su pregunta, es poco probable que usted y sus amigos tengan las habilidades necesarias para configurar un sitio web público de tal manera que permita la piratería, pero controlan / administran quién puede piratearlo. .
El gran problema con un sitio web público para piratería es que no muchas organizaciones de hosting estarán dispuestas a hacerlo. Para ellos, es un riesgo demasiado alto, ya que cualquier persona que pueda hackear el sitio con éxito podría terminar obteniendo el acceso suficiente como una amenaza para los demás clientes / sitios que alojan. La mayoría de las empresas de hosting harán que los sitios que aloja construyan sobre su propia infraestructura, que está diseñada para hacer que su trabajo de alojamiento sea lo más fácil posible y no hay garantía de que un hack exitoso no esté al nivel de su infraestructura, es decir exponiéndolos a la piratería, no solo a su sitio. Esto no significa que no encontrará una empresa de alojamiento que esté dispuesta a permitirlo, ya que podría verse como un tipo de prueba de lápiz para ellos, pero es poco probable.
La mejor solución es configurar un sitio utilizando una máquina virtual. Incluso si no está en la misma red local, puede hacer que cada persona ejecute su propia máquina virtual. Puede usar una de las muchas máquinas virtuales de "pirateo" que han sido diseñadas específicamente para este tipo de cosas, o puede crear un rollo propio, crear una instantánea y luego darle una instantánea a cada persona para que ejecute. Esto permitirá que todos puedan piratear en su propio sitio sin interferir entre sí.
A menudo, cuando intentas piratear cosas, puedes hacer cosas que pueden hacer que el sitio / host sea inestable o incluso hacer que no pueda ejecutarse. Cuando aprende a hackear, regularmente debe restaurar todo a un estado conocido para que pueda confirmar que un hack exitoso funciona y que comprende completamente cómo funciona. Una vez que crea que ha encontrado una 'receta' que funciona, puede restaurar su VM a un estado conocido e intentar repetir el proceso. Si tienes éxito, entonces tienes más confianza en que sabes exactamente cómo hacerlo. Por otro lado, si falla, entonces sabe que a su receta le falta algo, probablemente un efecto secundario causado por un intento anterior.
El otro beneficio de usar el enfoque de VM es que evita cualquier posible problema legal. Lo estás haciendo todo en un host privado y en un entorno que controlas. También es relativamente barato de hacer. Todo lo que necesita es una PC con memoria suficiente para ejecutar una o más imágenes de vmware o virtual box. Yo uso una caja de Linux ejecutando virtuabox con 16Gb de RAM. Puedo ejecutar varias máquinas virtuales a la vez, simulando un netowrk, etc.
Para tener una idea de cómo puedes hacer esto, consulta Configura tu red de laboratorios de pruebas de lápiz / pirateo usando un sistema único .
Las respuestas mencionan que la piratería es legal cuando está autorizado.
Este no es el caso en todas partes, Alemania tiene desde 2007 un wicked law que hace ilegal todo lo relacionado con la piratería, legal o no.
La medida en que esta ley tiene sentido y se aplica y se hace cumplir es otra historia.
En la mayoría de los hospedajes de sitios web, la parte que es "su sitio web" es muy delgada y no hay mucho que hackear excepto el saneamiento de entrada de php / asp. La parte más grande y hackeable no es realmente suya, es la infraestructura del proveedor compartida entre su sitio web y muchos otros.
Debes considerar esto: a menos que ejecutes el sitio web en tu propia computadora, tus amigos no están pirateando tu sitio web . Están pirateando equipos del proveedor de alojamiento .
Este es uno de los motivos por los que CTF tiene que ser caro: es necesario dedicar un conjunto actualizado de infraestructura comercial para crear un área de juegos que represente con precisión el entorno comercial, sin comprometer un entorno comercial real.
Debe configurar una computadora dedicada para esta tarea, posiblemente en la red local y no accesible desde Internet. Tiene sus beneficios: nadie sabrá nunca que fue pirateado, excepto tú y tus amigos.
¿Es legal? En la mayoría de las jurisdicciones, sí, pero lea primero la legislación local . Algunas de las respuestas anteriores resaltan las jurisdicciones donde el pirateo es ilegal incluso cuando está autorizado, pero en su mayor parte, los tipos de ejercicios de los que está hablando están autorizados, ya que el propietario de la máquina lo está configurando de manera deliberada y expresamente para el propósito. de pruebas de seguridad.
¿Es una buena idea? Solo si eres muy cuidadoso . Recuerda que si puedes hackearlo, también puede hacerlo alguien más. Mantenga las máquinas vulnerables alejadas de la Internet abierta: esto significa que tendrá que llegar a las máquinas a través de una LAN o VPN, pero esto es aún mejor que que alguien o algo que no esperaba lo secuestre.
Lea otras preguntas en las etiquetas legal