Question:
À quel moment le «piratage» devient-il illégal? (NOUS)
Moses
2011-08-17 22:27:21 UTC
view on stackexchange narkive permalink

Situation hypothétique: avant d'embaucher une société de développement Web, je souhaite tester sa capacité à concevoir des applications Web sécurisées en consultant les sites Web de son client précédent.

Problème: cette situation soulève un gros drapeau rouge: en ce qui concerne la consultation d'un site Web, qu'est-ce qui relève ou non de la portée de la loi? Ou en d'autres termes: à quel moment fouiller sur un site Web devient-il illégal ?

  • Afficher la source avec Firebug? Naturellement, ce serait légal.
  • Mais que se passe-t-il si je change le HTML (comme une valeur de formulaire masquée avant la soumission)?
  • Peut-être que je modifie ou supprime ensuite JavaScript, comme un script de validation côté client . Serait-ce légal?
  • Et si je mets% 3Cscript% 3Ealert (1)% 3C / script% 3E à la fin de l'URL.
  • Ou peut-être que je tape l'URL: example.com/scripts/ et que je suis capable de voir leur répertoire en raison de paramètres d'autorisation erronés?
  • Que faire si je manipule des données transmises via HTTP en-têtes, par exemple une quantité / prix de produit négatif pour voir s'ils font une validation côté serveur (naturellement, je ne terminerai pas la commande).

Pour moi, tout cela me semble parfaitement inoffensif car:

  1. Je ne cause pas de stress excessif à leur serveur en envoyant du spam, en mettant en miroir le site avec wget ou en injectant du SQL potentiellement dangereux.
  2. Je ne cause aucune perte potentielle ou des dommages pécuniaires, car je n'exploiterai jamais les vulnérabilités, testez uniquement leur existence (preuve de concept).
  3. Aucune de mes actions n'aura d'implication pour la confidentialité des données utilisateur. En aucun cas, aucune de mes actions ne pourrait révéler des informations confidentielles ou privées sur qui que ce soit.
  4. Si je trouvais quelque chose, j'informerais immédiatement le webmestre de l'exploit potentiel afin qu'il puisse le corriger.

    5. Mais même si je suis logiquement capable de justifier mes raisons de tester le site, cela ne rend pas nécessairement mes actions légales. En fait, les lois cybernétiques sont notoirement inversées aux États-Unis, et même les actions les plus ridiculement insignifiantes peuvent être considérées comme du piratage.

    Questions: Y a-t-il une ligne définie dans le sable qui sépare le piratage illégal du "test sans permission"? Ou est-ce que tout ce scénario est une zone grise que je devrais éviter (probablement le cas). Existe-t-il des ressources en ligne connectables qui pourraient élargir mes connaissances dans cette zone entièrement grise? Quels sont les actes ou lois spécifiques qui gèrent cela?

    Veuillez garder à l'esprit que le choix le plus logique serait simplement : demander des autorisations. Cependant, en raison de lourdes contraintes de temps, au moment où j'obtiendrais l'autorisation, tout serait pour rien.

Cela ne répond pas directement à votre question, mais je pense que vous devriez lire ma réponse sur [Est-ce éthique de pirater de vrais systèmes] (http://serverfault.com/questions/7678/is-it-ethical-to-hack -systèmes-réels / 7680 # 7680). Une partie du problème lié à la manipulation de quelque chose comme la modification des données envoyées est que vous pouvez endommager un système. Si un site est cassé et que vous êtes la personne qui a envoyé la demande qui a supprimé la base de données principale, pensez-vous vraiment qu'ils se soucieront que vous ne changiez que quelque chose de mineur que quelqu'un d'autre pourrait changer?
La loi dépend de l'endroit où vous vous trouvez et de votre «marque» (et change également avec le temps). Dans quel pays êtes-vous?
@Moses * veuillez * ajouter au début de votre question le nom des pays) où vos travaux seront réalisés. Tous les systèmes juridiques diffèrent.
Juste pour ajouter sans soumettre une réponse complète;déterminer si un véritable attaquant effectuerait la même étape au cours de la tentative de piratage du service.Si oui, pourquoi l'entreprise devrait-elle croire que vous n'essayez pas de pirater le service?Beaucoup d'infosec n'essaient pas de voir du point de vue de l'entreprise;sauf si vous en avez l'autorisation, vous * essayez * en fait de faire en sorte que le service fasse quelque chose que les propriétaires n'ont pas l'intention de faire.
Six réponses:
Robert David Graham
2011-08-18 08:13:35 UTC
view on stackexchange narkive permalink

La loi n'est pas claire. Tout ce que vous faites, aussi innocent soit-il, peut être considéré comme un crime. Tout ce que le propriétaire du site Web doit faire est de dire "Je ne voulais pas que cela se produise", et vous pourriez être condamné pour un crime.

Avant de faire un don à un site Web de secours aux victimes du tsunami, Daniel Cuthbert a tapé ../../../ dans l'URL. Il a été reconnu coupable d '"intention de pirater" (au Royaume-Uni).

Lori Drew a été reconnue coupable de piratage de MySpace, car elle a enfreint les conditions de service de MySpace en créant un faux compte, qui a ensuite été utilisé par sa fille de 14 ans pour harceler une autre fille, qui s'est suicidée par la suite. Les condamnations ont été annulées plus tard, et le gouvernement a décidé de ne pas faire appel - mais c'est toujours une expérience à éviter.

Andrew "weev" Auernheimer a été reconnu coupable de vol d'identité, car AT&T a fourni des informations de compte client pour le premier iPad propriétaires sur leur site Web, et il a écrit un script qui énumère simplement les URL et les télécharge.

Brian K. West a été menacé de poursuites parce qu'il a cliqué sur un bouton intitulé "Modifier" sur un site Web de journal - et a été surpris de découvrir que cela lui permettait de modifier la page Web actuelle. Après avoir signalé le problème au journal, le FBI a enquêté sur lui (y compris la fouille du lieu de travail de West et la saisie de certains documents) et un procureur l'a apparemment menacé de poursuites pour crime.

Dans une affaire récente, il a été constaté que lorsque vous faites remplir une boîte de réception de spam, donc en le faisant, vous êtes coupable de «piratage» tel que défini par la loi sur la fraude et les abus informatiques.

Je fais tout ce que vous décrivez. Il y a des lignes que je ne franchirai pas: je testerai l'injection SQL, mais je n'accéderai pas à la base de données. Mais je fais cela parce que je peux me permettre des avocats très chers pour me défendre. De plus, je ne ferai pas de choses stupides. Par exemple, Daniel Cuthbert a été condamné pour "intention de pirater" parce qu'il n'arrêtait pas de changer son histoire lorsqu'on lui a demandé pourquoi il l'avait fait, donc le tribunal n'a cru à aucune histoire.

Apparemment, certaines personnes vérifient souvent les journaux s'ils ont remarqué que quelqu'un tapait `../../../ etc / passwd` dans la barre d'URL: P
TL; DR utilise un proxy anonyme fiable puis «pirate» ce que vous voulez
@JonathanReez: depuis que Ross Ulbricht a été arrêté, combien d'entre nous pensent encore que "utiliser un proxy anonyme fiable" est une stratégie réalisable?Cas extrême, bien sûr, puisque les autorités étaient extrêmement motivées pour le retrouver en particulier.
@SteveJessop il a été arrêté car il était assez stupide pour tenter d'embaucher des «assassins» en ligne.S'il était assez prudent, il serait libre jusqu'à ce jour.En outre, tenter une injection SQL! = Gérer le plus grand magasin de drogue illicite au monde.
@Arin: btw, oui, ils vérifiaient très souvent leurs journaux.Selon The Register à l'époque, "cette action a déclenché un système de détection d'intrusion dans une salle de serveurs BT et la compagnie de télécommunications a contacté la police".Autrement dit, ils ont en effet (bien que ne sachant pas avec certitude à l'avance que cela fonctionnerait) ont créé une URL tarpit que toute personne visitant est condamnée pour une infraction.
@JonathanReez: "s'il était assez prudent".D'accord, mais dans quelle mesure une personne peut-elle être sûre qu'elle sera toujours assez prudente, si elle pose même cette question en ligne via un compte qu'elle utilise habituellement?;-) Vous avez raison cependant, ils seront probablement assez prudents pour la sonde d'injection SQL occasionnelle.Connaissez simplement vos limites.«Piratez ce que vous voulez» peut conduire à l'extradition.
@SteveJessop Ullbricht a été arrêté grâce à une activité d'enquête à l'ancienne plutôt que de briser l'anonymat du proxy qu'il a utilisé
@usr-local-ΕΨΗΕΛΩΝ: d'accord, mais ce que je veux dire, c'est que quand les gens disent "utilisez un proxy anonyme et tout ira bien", c'est comme dire à quelqu'un qui s'inquiète des données illégales dont il dispose, "utilisez un cryptage fort et tout ira bien".Si votre * seul * problème est que des personnes essaient de vous tracer à partir d'adresses IP capturées dans les journaux, alors bien sûr, JonathanReez a fourni une solution.Mais ce n'est pas votre * seul * problème si vous prévoyez de «pirater tout ce que vous voulez» de façon continue.Ulbricht a été attrapé quand il a fait quelque chose que son mandataire n'a pas aidé.
@SteveJessop, `ils ont créé une URL tarpit que toute personne visitant est reconnue coupable d'une infraction` pourriez-vous s'il vous plaît décrire cette technique ou donner un lien vers des informations pertinentes?Si jamais j'appelle accidentellement une telle URL, comment éviter ce risque?
@Suncatcher: comme je l'ai dit, ce n'était pas une "technique".L'URL particulière que Daniel Cuthbert a entrée manuellement dans son navigateur a déclenché une sorte de système de détection d'intrus en direct géré par BT (un important fournisseur de télécommunications, donc je suppose qu'ils doivent avoir été les hébergeurs Web).Ils ont appelé la police.La police l'a arrêté.Il a été inculpé, condamné et condamné à une amende.Il a demandé que l'affaire soit rejetée au motif que la norme d'intention était absurde, mais le juge a refusé de le faire.https://www.theregister.co.uk/2005/10/06/tsunami_hacker_convicted/
Ce n'était pas * conçu * pour être une URL de goudron qui a conduit à une condamnation, mais c'était l'effet pratique, essentiellement parce que le système avait appelé la police, personne n'était intéressé à écrire cette activité comme une perte de temps malheureuse qui n'était pasCe n'est pas la faute de l'accusé.Voir les commentaires du magistrat dans l'article.Si vous tapez * accidentellement * une telle URL, je suppose que vous pourriez avoir une défense que vous n'aviez * complètement * aucune intention d'accéder au site.Dans ce cas, la loi était si draconienne que l'intention de Cuthbert d'explorer le site constituait un accès non autorisé.
Cela dit, il ne s'agissait que du tribunal d'instance, il ne s'agit donc pas exactement d'un précédent de haut niveau sur la façon dont la loi pourrait être interprétée par des juges appropriés plus expérimentés.
D.W.
2011-08-18 11:26:42 UTC
view on stackexchange narkive permalink

Ne le fais pas! Ne fais pas ça! Si vous êtes aux États-Unis, la loi est très large. Vous ne voulez même pas aller sur la pointe des pieds.

La loi pertinente est le Computer Fraud and Abuse Act (18 U.S.C.1030). En un mot (et en simplifiant légèrement), en vertu de la CFAA, c'est un crime fédéral «d'accéder intentionnellement à un ordinateur sans autorisation ou de dépasser l'accès autorisé». Ce langage est très large, et j'imagine qu'un procureur ambitieux pourrait essayer de l'utiliser pour rechercher tout ce qui figure sur votre liste sauf le n ° 1 (voir la source).

Orin Kerr, l'un des principaux juristes dans ce domaine , qualifie la statue de "vague" et "extraordinairement large", et a déclaré que "personne ne sait vraiment ce qu'elle interdit".

Et , comme l'explique @Robert David Graham, il y a eu des cas où des gens ont été poursuivis, menacés de poursuites ou poursuivis pour avoir fait aussi peu que taper un guillemet simple dans une zone de texte, ajoutant un ../ à une URL, ou en vous inscrivant à Facebook sous un pseudonyme. C'est assez sauvage que cela constitue à lui seul une infraction fédérale, même s'il n'y a pas d'intention malveillante. Mais c'est l'environnement juridique dans lequel nous vivons.

Je dirais, ne prenez pas de risques. Obtenez une autorisation écrite de la société dont vous souhaitez tester les sites Web.

Que fait exactement l'ajout de ../ à une URL?
@nitrl, dans certains cas (applications Web très mal codées), il peut permettre de contourner les restrictions de contrôle d'accès ou d'accéder à du contenu auquel le développeur n'avait pas l'intention / s'attendait à ce que vous puissiez accéder. Voir aussi la notion de vulnérabilité de traversée de chemin.
@D.W., Merci, je n'ai pas pu le trouver par moi-même. Lié ci-dessous pour toute autre personne qui pourrait rencontrer cela. http://en.wikipedia.org/wiki/Directory_traversal_attack
Très bonne réponse! Juste pour y ajouter un peu. En publiant cette question sur un site Web public si vous deviez «pirater» ce site maintenant, même ce message pourrait être utilisé contre vous pour montrer l'intention de commettre volontairement un acte illégal. Si vous l'aviez déjà fait et que vous vous demandiez ensuite si ce que vous aviez fait était illégal, vous pourriez au moins invoquer la négligence et le manque de compréhension de ce que vous avez fait.
"tout sur votre liste sauf # 1 (voir la source)" - Je ne suis pas sûr que nous ne commencerons pas à voir "en utilisant ce site Web, vous acceptez de ne pas afficher la source, et l'autorisation d'utiliser ce site Web est retirée si vous le faites".De cette façon, il est clair que dès que vous «affichez la source», le propriétaire du site a l'intention de dépasser l'accès autorisé.La question de savoir si elle sera jugée comme un retrait effectif de l'autorisation est une autre question.Mais deCSS nous a appris que de nombreuses personnes ont recours à des recours juridiques lorsqu'elles exposent leur précieuse propriété intellectuelle à leurs clients, et les scripts côté client représentent un vaste corpus de propriété intellectuelle.
Merci @DepressedDaniel, pour toutes les précisions et informations!Super truc.J'ai supprimé cette partie de ma réponse.Pensez-vous qu'il y ait d'autres éléments qui posent également problème?
Rory Alsop
2011-08-18 00:21:14 UTC
view on stackexchange narkive permalink

La seule constante dans de nombreuses juridictions semble être que la seule action sûre sur votre liste est le numéro 1.

Dans certains domaines, vous seriez d'accord pour modifier les données, mais vous ne devriez vraiment pas le risquer .

J'irais jusqu'à dire que vous abordez cela de manière totalement incorrecte.

Meilleure approche:

Informez la société de développement Web que si elle veut votre entreprise, elle doit fournir la preuve que l'application a été testée selon une norme particulière. Au Royaume-Uni, vous pouvez le faire en exigeant un test par une personne ou une équipe approuvée par CREST ou CHECK. Ou vous pouvez obtenir une assurance en utilisant l'un des cabinets d'audit Big-4. S'ils ont passé un test, vous pouvez demander la visibilité de la méthodologie et des résultats.

Meilleure approche:

Demandez-leur de démontrer les contrôles de sécurité et de gouvernance dans leur cycle de vie de développement. Une organisation mature en sécurité utilisera un SDLC complet qui réduira la probabilité de vulnérabilités et supprimera même des classes entières de vulnérabilités. Les tests de pénétration ne sont quasiment qu'une confirmation à la fin du processus.

Mike Samuel
2011-08-17 23:22:48 UTC
view on stackexchange narkive permalink

Mise en garde: je ne suis pas un avocat, juste un geek qui suggère la prudence.

Y a-t-il une ligne définie dans le sable qui sépare le piratage illégal du "test sans permission"? Ou est-ce que tout ce scénario est une zone grise que je devrais éviter (probablement le cas). Existe-t-il des ressources en ligne connectables qui pourraient élargir mes connaissances dans cette zone entièrement grise? Quels sont les actes ou lois spécifiques qui gèrent cela?

Non. Il n'y a même pas d'accord sur les juridictions qui s'appliquent et encore moins sur les lois applicables dans ces juridictions. Même en ignorant les sanctions pénales, vous devriez éviter de le faire simplement à cause des sanctions civiles.

Si vous faites la moitié des choses sur cette liste, vous enfreignez probablement les conditions de service et toute utilisation non de bonne foi de l'ordinateur les ressources peuvent vous mettre en danger de poursuites civiles. Vos arguments selon lesquels vous n'utilisez pas de ressources indues sont basés sur des spéculations sur la manière dont des ingénieurs raisonnables concevraient / déployeraient des systèmes. Vous pouvez très bien avoir raison, mais vous n'avez pas et ne pouvez pas vérifier ces affirmations à l'avance ou vous assurer contre elles. Si un effondrement dans leur salle de serveurs coïncide simplement avec votre sondage, vous ne voulez pas être en mesure de prouver que vous ne l'avez pas causé.

Des charges utiles apparemment inoffensives peuvent devenir un problème lorsqu'elles sont multipliées par plusieurs visiteurs. Par exemple, votre charge utile alert (1) injectée peut sembler anodine, mais si vous trouvez une vuln XSS persistante et qu'elle se manifeste sur la page d'accueil où elle est vue par x client potentiel pendant d jours. Pour certaines valeurs de x et d, ce n’est pas anodin et vous n’avez pas le pouvoir d’atténuer ces variables.

Même les testeurs sous contrat devraient avoir une assurance responsabilité civile lorsqu'ils travaillent avec une autorisation selon "Test de pénétration: le pirate informatique tiers"

Tous les fournisseurs de services de test d'intrusion doivent disposer d'une assurance responsabilité civile suffisante pour couvrir les coûts associés au risque de perte des informations exclusives d'un client et à toute perte potentielle de revenus pouvant résulter de temps d'arrêt imprévus causés par leurs activités. Si le fournisseur de services n’a pas d’assurance responsabilité civile, faites attention à la manière dont il spécifie la responsabilité dans ses «Conditions générales». La direction doit également s'assurer qu'elle peut se remettre d'une perte de données pendant les tests en mettant en place des plans de réponse aux incidents et de reprise après sinistre adéquats qui ont été développés et vérifiés avant le début des tests.

Si vous étiez contracté par l'entreprise, vous pourriez être responsable de la perte de données / affaires lorsque votre sondage met hors service des systèmes de production. Si vous agissez sans contrat ni relation préalable, et pour votre propre bénéfice, vous courez encore plus de risques de poursuites si leurs systèmes (qu'ils ne savaient pas sauvegarder avant de commencer votre enquête) ont des défauts que vous chatouillez.

Disons que vous allez de l'avant, et cela entraîne un procès civil. S'ils veulent vous faire pression pour que vous vous régliez, ils pourraient soulever le spectre des sanctions pénales ou essayer d'obtenir des dommages-intérêts punitifs en comparant vos actions à celles pour lesquelles il existe des sanctions pénales. Les juges et les jurys peuvent être sensibles à l'argument suivant, basé vaguement sur le "Cyber ​​vandalisme et" hacktivisme "d'Internet":

"Imaginez qu'un serrurier veuille décider quelle serrure acheter, alors il demande à un serrurier une liste de clients. Le serrurier se rend dans un dépanneur qui utilise ses serrures et trouve le magasin fermé pour la nuit. Il tripote Le propriétaire du magasin arrive le lendemain matin pour trouver la serrure cassée, donc il ne peut pas l'ouvrir et ne vend donc pas de café ce matin-là. La plupart des juridictions ont des lois contre les vandales et elles pourraient être utilisées contre le serrurier. Des dommages-intérêts punitifs devraient s'appliquer au serrurier parce que la société a intérêt à punir les vandales. "

Que vous trouviez ou non le serrurier qui veut acheter une serrure une bonne analogie pour vous, les juges et les jurés pourraient, et là est un mème parmi les non-férus de technologie que les "hackers" (définis de manière approximative) sont des vandales comme décrit dans le lien ci-dessus.

TLDR: Ne vous préparez pas à un procès coûteux en devenant cow-boy.

dr jimbob
2011-08-18 19:49:37 UTC
view on stackexchange narkive permalink

Cela ne répond pas à votre question particulière, mais pour votre situation hypothétique, si vous êtes autorisé à tester la sécurité de leur application, tout ce qui précède est 100% légal. Encore mieux serait de demander au candidat de configurer un système de test (pas son vrai site Web), puis d'essayer d'attaquer ce système de test. De cette façon, si vos tests arrêtent accidentellement un système actif (ou si quelqu'un remarque la menace et arrête le système), vous n'êtes pas responsable des dommages.

Pour les systèmes auxquels vous n'êtes pas affilié et qui ne demandent pas tests de pénétration; Je ne ferais pas le tour de tester les failles de sécurité. Oui, vous ne serez pas en mesure de vraiment savoir que le site Web de la société XYZ est protégé contre les attaques par injection SQL sans test, mais à moins qu'ils n'aient convenu que vous devriez le tester - ce n'est pas votre travail de le tester, et si vous êtes surpris en train de le faire pour que cela puisse et devrait vous poursuivre.

C'est comme demander, est-ce que je peux essayer de vérifier si la maison de mon voisin est fermée à clé? Ou voir si je pourrais facilement crocheter la serrure (sans jamais ouvrir la porte et entrer à l'intérieur)? Ou tester pour voir si vous pouviez ouvrir une fenêtre dans laquelle vous pourriez vous faufiler? Si votre voisin ou la police remarque que vous faites l'une de ces choses et se sent obligé de porter plainte, vous êtes foutu à moins que vous n'ayez une raison légitime (j'ai entendu crier à l'aide à l'intérieur; je déposais quelque chose chez eux et je n'ai pas je veux le laisser dehors sous la pluie; j'ai donc essayé de voir si je pouvais ouvrir la porte).

Le système de test peut être installé dans une machine virtuelle ou développé sur place.De cette façon, vous pouvez faire ce que vous voulez sans enfreindre aucune loi.
Justin Cave
2011-08-18 07:43:01 UTC
view on stackexchange narkive permalink

En supposant que vous embauchez la société de développement Web au nom de votre entreprise, je demanderais conseil au service juridique de votre entreprise. Si vous enquêtez sur la sécurité au nom de votre entreprise et que quelqu'un voulait intenter une action en justice, il poursuivrait presque certainement les poches les plus profondes de votre entreprise plutôt que vous personnellement. Vous voulez vraiment que votre service juridique vous soutienne si cela devait arriver.

Le service juridique de votre entreprise est également bien mieux placé pour savoir ce que vos lois nationales et nationales permettent. S'il y a une quelconque enquête criminelle, le fait que vous ayez consulté votre conseil juridique ne vous indemniserait pas, mais ce serait certainement un point en votre faveur.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...