Im Laufe des Sommers initiierte einige Ambitionen-Hacker einen distributed-Denial of Service-Angriff, die der Web Site von einer kalifornischen Sicherheitsfirma zu Fall brachte.
Ihre eigene Website.
Als erwiesene Mittwoch auf der jährlichen Sektor Security-Konferenz in Toronto, die Hacker waren die Mitarbeiter von White Hat Security Ltd., die der Welt einen Punkt zeigen wollte: Angreifer kann leicht verbringen $50, die Platzierung einer Anzeige mit bösartigen Javascript auf ein online Web-Netzwerk, mit denen Millionen Hits generiert.
Diese Anzeige, Matt Johnson, Manager von White Hat Bedrohungsforschung, sagte vor der Konferenz etwas auslösen könnte — Kennwörtern, brute force Angriffe oder hacking Browser wer auf die Anzeige geklickt.
Es ist gesagt worden, dass Sie zu deinen Feind zu besiegen ihn (oder sie), weshalb IT Security-Personal und Software-Programmierer erforschen die Grenzen der Software zu erfahren, wo die Löcher sind.
Manchmal genannt, ethical hacking, untersuchte eine Konferenz-Panel früher in den Tag, ob rechtliche, ethische und moralische Linien werden, um eine qualifizierte professionelle IT-Sicherheit werden überquert müssen.
Experte James Arlen, eine hochrangige Sicherheitsberater mit Sitz in Hamilton, Ontario, mit Leviathan Sicherheitsgruppe, wies in einem Interview, dass Fähigkeiten, die Entwicklung der Industrie zählen Ausbildung erhalten Sie in der Schule oder am Arbeitsplatz können nicht.
Manche fühlen sich "um eine ausgezeichnete Penetrationtester oder Dinge zu sein, du musst gegen das Gesetz verstoßen, zu erfahren, dass Sie wirklich verstehen, was du tust."
Das Problem ist, er sagte, die Linien über die rechtlichen, ethischen und moralischen Verhalten "sind gummiartige und haben im Laufe der Zeit verändert."
Wenn Sie einen Fehler in einem Unternehmen das Entdecken Produkt, wie bald musst du es mitteilen? Musst du zuerst die Firma zu benachrichtigen, oder nehmen Sie es an die Medien? Sollten Sie zu den Medien (oder Ihrem Blog oder Twitter) gehen, wenn das Unternehmen nicht scheinbar etwas gegen den Fehler tun will? Wie lange sollten Sie warten, bevor auf die Firma aufgegeben?
Wenn Sie können innerhalb des Netzwerks einer Organisation und schlendern aber nicht kopieren oder alle Daten oder Security-Einstellungen zu ändern, ist das illegal, unmoralisch, unmoralisch?
Diese Arten von Fragen sind, die eine ethische Hacker steht, sagte Arlen.
MEHR AUS DER KONFERENZ
Tipps von Cybersecurity Experte G. Mark Hardy
Compoundierung diese Fragen ist, dass es fast schwer, einen Computer zu nutzen, ohne irgendein Gesetz verletzen, sagte Arlen.
Zum Beispiel sagte er, in der U.S. Andrew Auernheimer, ein Mitglied einer Gruppe von Computer-Experten namens Goatse Sicherheit, rechtlich herumgespielt mit einer URL auf einer AT&T-Website, da kann jeder auf jedem Browser. Aber Auernheimer — Wer verwendet den online Namen Weev — entdeckt, er konnte die e-Mail-Adresse von mehr als 100.000 AT&T-Abonnenten waren über iPad-Benutzer zugreifen.
Goatse offenbart den Fehler zu Gawker Media, bevor AT&T unterrichtet wurde. Aber auch die Daten der Abonnenten veröffentlicht wurde.
November letzten Jahres war er verurteilt Identitätsbetrug und Verschwörung Zugriff auf einen Computer ohne Genehmigung und einer Geldstrafe und zu 41 Monaten Haft verurteilt.
Das ist ein Beispiel für die gesetzliche Trennungslinie, sagte Arlen.
Ethische Maßstäbe durch das Testen von Organisationen wie der ISC2 (International Information Systems Security Certification Consortium), gibt die Anmeldeinformationen für IT-Experten, die Kurse zu übergeben. Aber Arlen sagte, einige Standards lassen viel zu wünschen übrig.
Man verbietet Fachleute aus mit Hacker zu paktieren — d. h. kriminelle Hacker. Aber Alren sagte, möglicherweise Wer eine Konferenz beachtet wie Defcon ethische Standards verletzen könnte.
Der Geist der Norm stimmt, sagte er, aber manchmal Menschen verbiegen die Regel.
Für moralische Fragen, das fällt in die "ist dies das richtige zu tun?" Manchmal sagte Hacker Illegal (oder in der Nähe von illegalen) Dinge in eine Schwachstelle entdecken, Arlen. Was tust du dann mit den Informationen? Rufen Sie die Firma oder Sendung den Fehler?
Leider sagte er, klagen einige Unternehmen sofort Informanten, auch wenn die Schwachstelle ist nicht öffentlich gemacht.
Aber moralisch, wenn der Fehler Sicherheit oder die öffentliche Gesundheit auswirkt, wie lange kann die Hacker Schweigen?
In jeder Situation ein Hacker oder Forschung würde die Aussicht ethisch zu einer Firma, die moralisch Börsengang, wenn der Fehler ist von entscheidender Bedeutung, aber das Unternehmen wird nicht, es behoben drohen (oder langsam ist zu beheben) und rechtlich offen, dann wird verklagt oder strafrechtlich belastet.
Das Problem ist, Arlen sagte, um Schwachstellen zu finden machen Sie "hängen mit den bösen Jungs?"
"Um einen guten Job als Verteidiger du verstehen musst, wie sie denken zu tun," sagte er.
Aber wie? Computer Schulen unterrichten viel, sagte er, aber – aus verständlichen Gründen — nicht, wie man einige Dinge abzuschließen. Bildung Konferenzen wie Sektor gibt es Sicherheit. Und er fügte hinzu, es spricht mit Menschen in den Gängen auf Konferenzen.
Diskussionsteilnehmer Gord Taylor wies da draußen ist eine weitere Alternative: Legen Sie einen Server einrichten und hack es selbst, oder, mit Zustimmung, hack eines Freundes Server.
"Um ein gute Sicherheit-Praktiker, den Sie nicht tun, böse Dinge zu lernen müssen sein," sagte er in einem Interview. "Sie können in einem Klassenzimmer Lernen, können Sie von Ihren Kollegen lernen."
"Wir sehen ethischen Dilemmata fast täglich außerhalb", sagte er. Aber, fügte er hinzu, oft gibt es eine kleine Stimme in Ihrem Kopf fragend "ist diesem ethischen?"
"Wenn du dich fragst wenn es ethisch ist, ist es wahrscheinlich nicht."
Wie Matt Johnson und seine Anzeige-Netzwerk-Test, er keinen Zweifel daran hat war was er getan hat ethische, weil alles, was geschah, war seine Unternehmens-Website anzugreifen.
Die Lehre für Ad-Networks, sagte er, ist, dass sie Javascript zulassen sollte nicht. Die meisten nicht, aber einige noch nicht.