it-swarm-id.com

Pada titik apa "peretasan" menjadi ilegal? (KAMI)

Situasi hipotetis: sebelum saya menyewa perusahaan pengembang web, saya ingin menguji kemampuan mereka untuk merancang aplikasi web yang aman dengan melihat situs web klien sebelumnya.

Masalah: situasi ini menimbulkan bendera merah besar: sehubungan dengan melihat situs web, apa yang bisa dan tidak ada dalam luasnya hukum? Atau dengan kata lain: pada titik apa mengaduk-aduk situs web menjadi ilegal ?

  • Lihat Sumber dengan Firebug? Tentu saja itu legal.
  • Tetapi bagaimana jika saya mengubah HTML (seperti nilai formulir tersembunyi sebelum pengiriman)?
  • Mungkin saya kemudian mengedit atau menghapus JavaScript, seperti skrip validasi sisi klien. Apakah itu legal?
  • Bagaimana jika saya meletakkan% 3Cscript% 3Ealert (1)% 3C/script% 3E di akhir URL.
  • Atau mungkin saya mengetik URL: example.com/scripts/ dan saya dapat melihat direktori mereka karena pengaturan izin yang salah?
  • Bagaimana jika saya memanipulasi data yang dikirimkan dalam header HTTP, misalnya produk qty/harga negatif untuk melihat apakah mereka melakukan validasi sisi server (tentu saja, saya tidak akan menyelesaikan checkout).

Bagi saya, semua ini tampaknya tidak berbahaya karena:

  1. Saya tidak menyebabkan tekanan yang tidak semestinya ke server mereka dengan melakukan spam, mirroring situs dengan wget, atau menyuntikkan SQL yang berpotensi berbahaya.
  2. Saya tidak menyebabkan kerugian potensial atau kerusakan moneter, karena saya tidak akan pernah mengeksploitasi kerentanan, hanya menguji keberadaan mereka (bukti konsep).
  3. Tak satu pun dari tindakan saya yang akan berdampak pada privasi data pengguna. Dengan cara apa pun tindakan saya tidak berpotensi mengungkapkan informasi rahasia atau pribadi tentang siapa pun.
  4. Jika saya menemukan sesuatu, saya akan segera memberi tahu webmaster tentang potensi eksploitasi sehingga mereka dapat menambalnya.

Tetapi meskipun saya secara logis dapat membenarkan alasan saya untuk menguji situs, itu tidak selalu membuat tindakan saya legal. Faktanya, hukum dunia maya terkenal mundur di Amerika Serikat, dan bahkan tindakan sepele yang paling lucu dapat dianggap peretasan.

Pertanyaan: Apakah ada baris tertentu di pasir yang memisahkan peretasan ilegal dari "pengujian tanpa izin"? Atau apakah keseluruhan skenario ini merupakan area abu-abu yang harus saya hindari (kemungkinan kasusnya). Apakah ada sumber daya daring yang dapat ditautkan yang dapat memperluas pengetahuan saya di area yang sepenuhnya abu-abu ini? Apa hukum tindakan spesifik atau yang menangani ini?

Harap diingat bahwa pilihan nomor satu yang paling logis adalah dengan: meminta izin. Namun, karena berat kendala waktu, pada saat saya akan mendapatkan izin semuanya akan sia-sia.

58
Moses

Jangan lakukan itu! Jangan lakukan itu! Jika Anda berada di AS, hukumnya sangat luas. Anda bahkan tidak ingin berjingkat ke garis.

Hukum yang relevan adalah Undang-Undang Penipuan dan Penyalahgunaan Komputer (18 A.S.C. 1030). Singkatnya (dan sedikit disederhanakan), di bawah CFAA, adalah kejahatan federal untuk "secara sengaja mengakses komputer tanpa izin atau melebihi akses yang diizinkan". Bahasa ini sangat luas, dan saya membayangkan seorang jaksa yang ambisius dapat mencoba menggunakannya untuk mengejar semua yang ada dalam daftar Anda kecuali # 1 (sumber tampilan).

Orin Kerr, salah satu sarjana hukum terkemuka di daerah ini, menyebut patung itu "kabur" dan "sangat luas" , dan telah mengatakan itu "tidak ada yang benar-benar tahu apa yang dilarang" .

Dan, seperti yang dijelaskan oleh @Robert David Graham, ada kasus di mana orang dituntut, diancam akan dituntut, atau dituntut karena melakukan hal yang sama seperti mengetikkan kutipan tunggal ke dalam kotak teks, menambahkan ../ ke sebuah URL, atau mendaftar ke Facebook dengan nama samaran. Sangat liar bahwa ini saja merupakan pelanggaran federal, bahkan jika tidak ada niat jahat. Tapi itulah lingkungan hukum tempat kita tinggal.

Menurut saya, jangan ambil risiko. Dapatkan otorisasi tertulis dari perusahaan yang situs webnya ingin Anda uji.

45
D.W.

Hukumnya tidak jelas. Apa pun yang Anda lakukan, tidak peduli seberapa tidak bersalah, dapat dianggap sebagai kejahatan. Yang harus dilakukan pemilik situs adalah mengatakan "Saya tidak ingin itu terjadi", dan Anda bisa dihukum karena kejahatan.

Sebelum menyumbang ke situs web bantuan tsunami, Daniel Cuthbert mengetikkan ../../../ dalam URL. Dia dinyatakan bersalah atas "niat untuk meretas" (di Inggris).

Lori Drew dihukum karena meretas MySpace, karena dia melanggar persyaratan layanan MySpace dengan membuat akun palsu, yang kemudian digunakan oleh putrinya yang berusia 14 tahun untuk melecehkan gadis lain, yang kemudian bunuh diri. Hukuman itu dibatalkan kemudian, dan pemerintah memutuskan untuk tidak mengajukan banding - tetapi itu masih merupakan pengalaman yang harus dihindari.

Andrew "weev" Auernheimer dinyatakan bersalah atas pencurian identitas, karena AT&T memberikan info akun pelanggan untuk pemilik iPad awal di situs web mereka, dan ia menulis sebuah skrip yang baru saja menghitung URL dan mengunduhnya.

Brian K. West diancam akan dituntut karena dia mengklik tombol berlabel "Edit" di situs web surat kabar - dan terkejut mengetahui bahwa ini memungkinkannya untuk mengedit halaman web yang sebenarnya. Setelah melaporkan masalah tersebut ke surat kabar, FBI menyelidikinya (termasuk menggeledah tempat kerja Barat dan menyita beberapa bahan) dan seorang jaksa tampaknya mengancamnya dengan penuntutan kejahatan.

Dalam kasus baru-baru ini, ditemukan bahwa ketika Anda menyebabkan kotak masuk untuk diisi dengan spam, dengan demikian DoSing itu, Anda bersalah karena "meretasnya" seperti yang didefinisikan oleh tindakan Penipuan dan Penyalahgunaan Komputer.

Saya melakukan semua hal yang Anda gambarkan. Ada garis yang tidak akan saya lewati: Saya akan menguji injeksi SQL, tapi saya tidak akan mengakses database. Tetapi saya melakukan ini karena saya mampu membayar pengacara mahal untuk membela saya. Juga, saya tidak akan melakukan hal-hal yang bodoh. Misalnya, Daniel Cuthbert dihukum karena "berniat untuk meretas" karena dia terus mengubah ceritanya ketika ditanya mengapa dia melakukannya, sehingga pengadilan tidak percaya cerita apa pun.

54

Satu konstanta di banyak yurisdiksi tampaknya adalah bahwa satu-satunya tindakan aman dalam daftar Anda adalah nomor 1.

Di beberapa daerah Anda akan baik-baik saja dengan memodifikasi data, tetapi sebenarnya Anda tidak harus mengambil risiko itu.

Saya akan mengatakan bahwa Anda mendekati ini sepenuhnya dengan cara yang salah.

Pendekatan yang lebih baik:

Beri tahu perusahaan pengembang web bahwa jika mereka menginginkan bisnis Anda, mereka harus memberikan bukti bahwa aplikasi tersebut telah diuji dengan standar tertentu. Di Inggris, Anda bisa melakukan ini dengan meminta tes oleh CREST atau PERIKSA individu atau tim yang disetujui. Atau Anda dapat memperoleh jaminan dengan menggunakan salah satu dari perusahaan audit Big-4. Jika mereka telah melakukan tes, Anda dapat meminta visibilitas metodologi dan hasil.

Pendekatan terbaik:

Minta mereka untuk menunjukkan kontrol keamanan dan tata kelola dalam siklus hidup pembangunan mereka. Organisasi yang matang dalam keamanan akan menggunakan SDLC penuh yang akan mengurangi kemungkinan kerentanan, dan bahkan menghapus seluruh kelas kerentanan. Pengujian penetrasi hampir hanya merupakan konfirmasi di akhir proses.

11
Rory Alsop

Peringatan: Saya bukan pengacara, hanya geek yang menyarankan kehati-hatian.

Apakah ada baris tertentu di pasir yang memisahkan peretasan ilegal dari "pengujian tanpa izin"? Atau apakah keseluruhan skenario ini merupakan area abu-abu yang harus saya hindari (kemungkinan kasusnya). Apakah ada sumber daya daring yang dapat ditautkan yang dapat memperluas pengetahuan saya di area yang sepenuhnya abu-abu ini? Apa tindakan atau hukum spesifik yang menangani hal ini?

Tidak. Bahkan tidak ada kesepakatan tentang yurisdiksi mana yang berlaku jauh lebih sedikit dari hukum mana dalam yurisdiksi tersebut berlaku. Bahkan mengabaikan hukuman pidana Anda harus menghindari melakukan ini hanya karena hukuman perdata.

Jika Anda melakukan setengah dari hal-hal dalam daftar itu, Anda kemungkinan melanggar persyaratan layanan, dan penggunaan sumber daya komputer yang tidak beritikad baik dapat membuat Anda dalam bahaya gugatan perdata. Argumen Anda bahwa Anda tidak menggunakan sumber daya yang tidak semestinya didasarkan pada spekulasi tentang bagaimana insinyur yang masuk akal akan merancang/menggunakan sistem. Anda mungkin benar tetapi Anda belum dan tidak dapat memverifikasi pernyataan itu sebelumnya atau memastikannya. Jika kehancuran di ruang server mereka hanya bertepatan dengan pemeriksaan Anda, Anda tidak ingin berada dalam posisi membuktikan bahwa Anda tidak menyebabkannya.

Tampaknya muatan yang tidak berbahaya dapat menjadi masalah ketika dikalikan oleh banyak pengunjung. Misalnya, muatan alert(1) Anda yang disuntikkan mungkin tampak tidak berbahaya tetapi jika Anda menemukan XSS vuln yang terus-menerus dan itu bermanifestasi di laman beranda tempat itu dilihat oleh x calon pelanggan selama d hari. Untuk beberapa nilai x dan d tidak berbahaya dan Anda tidak memiliki kekuatan untuk mengurangi variabel-variabel tersebut.

Bahkan penguji kontrak pena harus memiliki asuransi pertanggungjawaban ketika mereka bekerja dengan izin sesuai dengan "Pengujian Penetrasi: Peretas Pihak Ketiga"

Semua penyedia layanan pengujian penetrasi harus memiliki asuransi pertanggungan yang cukup untuk menutup biaya yang terkait dengan risiko kehilangan informasi hak milik klien dan potensi kerugian dalam pendapatan yang mungkin timbul dari downtime yang tidak terduga yang disebabkan oleh aktivitas mereka. Jika penyedia layanan tidak memiliki asuransi liabilitas, perhatikan bagaimana mereka menentukan liabilitas dalam 'Syarat dan Ketentuan' mereka. Manajemen juga harus memastikan bahwa ia dapat pulih dari kehilangan data selama pengujian dengan memiliki rencana penanganan insiden dan pemulihan bencana yang memadai yang telah dikembangkan dan diverifikasi sebelum pengujian dimulai.

Jika Anda dikontrak oleh perusahaan, Anda dapat bertanggung jawab atas kehilangan data/bisnis saat penyelidikan Anda menghapus sistem produksi. Jika Anda bertindak tanpa kontrak atau hubungan sebelumnya, dan untuk keuntungan Anda sendiri, Anda bahkan lebih berisiko jika sistem mereka (yang mereka tidak tahu untuk membuat cadangan sebelum Anda memulai penyelidikan) memiliki kekurangan yang Anda gelitik.

Katakanlah Anda terus maju, dan itu menghasilkan gugatan perdata. Jika mereka ingin menekan Anda untuk menyelesaikannya, mereka mungkin akan membangkitkan momok hukuman pidana atau mencoba mendapatkan ganti rugi dengan menyamakan tindakan Anda dengan hukuman yang ada hukuman pidananya. Hakim dan juri mungkin rentan terhadap argumen berikut berdasarkan longgar pada "Vandalisme Cyber ​​dan Internet 'Hacktivism'" :

"Bayangkan tukang kunci ingin memutuskan kunci mana yang akan dibeli, jadi dia meminta pembuat kunci untuk daftar pelanggan. Tukang kunci pergi ke sebuah toko yang menggunakan kunci dan menemukan toko tutup untuk malam itu. Dia mengutak-atik kunci. , dan merusaknya. Pemilik toko datang keesokan paginya untuk menemukan kunci rusak sehingga dia tidak bisa membukanya dan tidak menjual kopi pagi itu. Kebanyakan yurisdiksi memiliki undang-undang terhadap pengacau dan mereka dapat digunakan terhadap tukang kunci. Kerusakan hukuman seharusnya berlaku untuk tukang kunci karena masyarakat memiliki minat dalam menghukum vandal. "

Terlepas dari apakah Anda menemukan tukang kunci yang ingin membeli kunci analogi yang baik untuk Anda, hakim dan juri mungkin, dan ada meme di kalangan non-tech-savvy yang "peretas" (longgar didefinisikan) adalah pengacau seperti yang dijelaskan dalam tautan di atas.

TLDR: Jangan mengatur diri sendiri untuk gugatan mahal dengan menjadi koboi.

10
Mike Samuel

Ini tidak menjawab pertanyaan khusus Anda, tetapi untuk situasi hipotetis Anda jika Anda memiliki izin untuk menguji keamanan aplikasi mereka maka semua hal di atas adalah 100% legal. Yang lebih baik adalah meminta kandidat untuk memasang sistem uji (bukan situs web asli mereka), dan kemudian mencoba menyerang sistem uji itu. Dengan cara ini jika pengujian Anda secara tidak sengaja menjatuhkan sistem live (atau seseorang memperhatikan ancaman dan menjatuhkan sistem), Anda tidak bertanggung jawab atas kerusakan.

Untuk sistem Anda tidak berafiliasi dengan yang tidak meminta pengujian penetrasi; Saya tidak akan berkeliling menguji kelemahan keamanan. Ya, Anda tidak akan dapat benar-benar tahu bahwa situs web perusahaan XYZ dilindungi terhadap serangan injeksi SQL tanpa pengujian, tetapi kecuali mereka setuju bahwa Anda harus mengujinya - itu bukan tugas Anda untuk mengujinya, dan jika Anda ketahuan melakukan sehingga dapat dan harus menuntut Anda.

Seperti bertanya, apakah boleh mencoba memeriksa dan melihat apakah rumah tetangga saya terkunci? Atau lihat apakah saya dapat dengan mudah mengambil kunci (tanpa pernah membuka pintu dan masuk ke dalam)? Atau menguji untuk melihat apakah Anda bisa membuka jendela yang bisa Anda peras? Jika tetangga Anda atau polisi melihat Anda melakukan hal-hal itu dan merasa terdorong untuk mengajukan tuntutan, Anda kacau kecuali Anda memiliki alasan yang sah (saya mendengar teriakan minta tolong di dalam; saya sedang mengantar sesuatu di rumah mereka dan tidak ingin meninggalkannya di luar di tengah hujan, jadi coba lihat apakah saya bisa membuka pintu).

6
dr jimbob

Dengan asumsi bahwa Anda menyewa perusahaan pengembangan web atas nama perusahaan Anda, saya akan meminta saran departemen hukum perusahaan Anda. Jika Anda sedang menyelidiki keamanan atas nama perusahaan Anda dan seseorang yang ingin menuntut, mereka hampir pasti akan menuntut kantong perusahaan Anda yang lebih dalam daripada Anda secara pribadi. Anda pasti ingin departemen hukum Anda berdiri di belakang Anda jika itu terjadi.

Departemen hukum perusahaan Anda juga berada dalam posisi yang jauh lebih baik untuk mengetahui apa yang diperbolehkan oleh undang-undang nasional dan negara bagian Anda. Jika ada investigasi kriminal, fakta bahwa Anda telah berkonsultasi dengan dewan hukum Anda tidak akan memberi ganti rugi kepada Anda, tetapi itu pasti akan menjadi poin yang menguntungkan Anda.

5
Justin Cave