3.8.15

Нужна ли этика пентестерам?! Да, опять про этику!

Произошедшие недавно события вновь подняли вопрос об этике компаний, занимающихся пентестами и исследованиями в области информационной безопасности. И родился у меня некоторый список вопросов, который если и не требует ответов, то задуматься о них стоит.

  1. Этично ли промолчать о найденной случайно у заказчика проблеме вне скоупа оговоренных работ? Ведь заказчик за нее не платил. Но именно через нее заказчика впоследствии могут сломать.
  2. Этично ли обвинять компанию, в решениях которой ты что-то нашел, в уязвимости, при этом не приводя никаких доказательств найденного?
  3. Этично ли обвинять какого-либо вендора в сознательном оставлении уязвимостей (закладок), не имея никаких доказательств этого?
  4. Этично ли обвинять какого-либо вендора, в решениях которого ты нашел уязвимость, но при этом даже не попытался связаться с вендором?
  5. Этично ли упоминать публично про то, что тебе конфиденциально дали исследовать кого-то?
  6. Этично ли нанимать на работу тех, кто имел проблемы с законом в этой же сфере?
  7. Этично ли брать заказ на исследования от "плохих" парней? А от от тех, кто работает с плохими парнями? Или все-таки деньги не пахнут?
  8. Этично ли поливать говном всех, кого взломали, даже не приложив ни малейших усилий к тому, чтобы узнать причины и детали взлома? Может жертва все-таки не виновна?
  9. Этично ли найти дыру в продукте, отвечающем за жизнь миллионов людей, и требовать за это деньги, в противном случае пугать публичным раскрытием данных?
  10. Этично ли поливать публично и в кулуарах говном бывшего заказчика, прекратившего с тобой сотрудничество?
  11. Этично ли публично поливать говном компанию, за кулисами прося у нее деньги и набиваясь на сотрудничество?
  12. Этично ли публиковать пресс-релизы о взаимодействии с вендором, не ставя его в известность об этом?
  13. Этично ли не связываться с взломанным клиентом, которому ты делал пентест?
  14. Этично ли поливать говном взломанные компании, не являющиеся твоими клиентами, и молчать как рыба об лед о взломе клиентов, где ты проводил пентест?
Вопросы... Есть ли на них универсальные или "правильные" ответы? Скорее всего нет. Каждый сам и по своему отвечает на эти вопросы. Все-таки это не математика (хотя и в ней есть задачи без ответов). Главное - на эти вопросы ответить самому себе, а не зарывать голову в песок. Кто-то готов к этому. Кто-то нет. Кто-то будет с пеной у рта доказывать, что этика и пентесты не совместимы, и пентест - это вообще искусство, которому чужда этика как таковая. 

Кадры из знаменитого альбома Лени Рифеншталь о поездке к нубийцам
Тут нельзя не вспомнить Лени Рифеншталь, по мнению экспертов, великий режиссер и фотограф 20-го века, которая сотрудничала для достижения своих целей с нацистами. Она говорила ровно тоже самое - главное для нее была карьера и творчество, которым она занималась; а все остальное было вторично. Верно ли это? Каждый выбирает для себя...

6 коммент.:

Unknown комментирует...

Этично ли обвинять какого-либо вендора в сознательном оставлении уязвимостей (закладок), не имея никаких доказательств этого?
Мне кажется, это не совсем к пентестам. Я вот обвиняю гугл, что он следит за мной. Вчера этот гад вычислил, где я живу. Спустя час я нашла карту собственных перемещений за день. Но обвиняла я его задолго до этого. Все шпионят, все оставляют закладки. Таков уж современный мир.

Алексей Лукацкий комментирует...

Он следит за тобой с твоего согласия. Это раз. И у тебя есть доказательства, что он следит. А когда делается голословное утверждение, то ситуация немного иная

Vlad Styran комментирует...

>Вопросы... Есть ли на них универсальные или "правильные" ответы? Скорее всего нет.

Почему это? Я нашел быстрый ответ на каждый.

Алексей Лукацкий комментирует...

Ты - да. Но это твои ответы, а не универсальные

Vlad Styran комментирует...

Тогда нужно было не пост писать, а создавать опросник.

Алексей Лукацкий комментирует...

Зачем? Каждый из заметки выносит что-то свое