Произошедшие недавно события вновь подняли вопрос об этике компаний, занимающихся пентестами и исследованиями в области информационной безопасности. И родился у меня некоторый список вопросов, который если и не требует ответов, то задуматься о них стоит.
- Этично ли промолчать о найденной случайно у заказчика проблеме вне скоупа оговоренных работ? Ведь заказчик за нее не платил. Но именно через нее заказчика впоследствии могут сломать.
- Этично ли обвинять компанию, в решениях которой ты что-то нашел, в уязвимости, при этом не приводя никаких доказательств найденного?
- Этично ли обвинять какого-либо вендора в сознательном оставлении уязвимостей (закладок), не имея никаких доказательств этого?
- Этично ли обвинять какого-либо вендора, в решениях которого ты нашел уязвимость, но при этом даже не попытался связаться с вендором?
- Этично ли упоминать публично про то, что тебе конфиденциально дали исследовать кого-то?
- Этично ли нанимать на работу тех, кто имел проблемы с законом в этой же сфере?
- Этично ли брать заказ на исследования от «плохих» парней? А от от тех, кто работает с плохими парнями? Или все-таки деньги не пахнут?
- Этично ли поливать говном всех, кого взломали, даже не приложив ни малейших усилий к тому, чтобы узнать причины и детали взлома? Может жертва все-таки не виновна?
- Этично ли найти дыру в продукте, отвечающем за жизнь миллионов людей, и требовать за это деньги, в противном случае пугать публичным раскрытием данных?
- Этично ли поливать публично и в кулуарах говном бывшего заказчика, прекратившего с тобой сотрудничество?
- Этично ли публично поливать говном компанию, за кулисами прося у нее деньги и набиваясь на сотрудничество?
- Этично ли публиковать пресс-релизы о взаимодействии с вендором, не ставя его в известность об этом?
- Этично ли не связываться с взломанным клиентом, которому ты делал пентест?
- Этично ли поливать говном взломанные компании, не являющиеся твоими клиентами, и молчать как рыба об лед о взломе клиентов, где ты проводил пентест?
Вопросы… Есть ли на них универсальные или «правильные» ответы? Скорее всего нет. Каждый сам и по своему отвечает на эти вопросы. Все-таки это не математика (хотя и в ней есть задачи без ответов). Главное — на эти вопросы ответить самому себе, а не зарывать голову в песок. Кто-то готов к этому. Кто-то нет. Кто-то будет с пеной у рта доказывать, что этика и пентесты не совместимы, и пентест — это вообще искусство, которому чужда этика как таковая.
Кадры из знаменитого альбома Лени Рифеншталь о поездке к нубийцам |
Тут нельзя не вспомнить Лени Рифеншталь, по мнению экспертов, великий режиссер и фотограф 20-го века, которая сотрудничала для достижения своих целей с нацистами. Она говорила ровно тоже самое — главное для нее была карьера и творчество, которым она занималась; а все остальное было вторично. Верно ли это? Каждый выбирает для себя…
Этично ли обвинять какого-либо вендора в сознательном оставлении уязвимостей (закладок), не имея никаких доказательств этого?
Мне кажется, это не совсем к пентестам. Я вот обвиняю гугл, что он следит за мной. Вчера этот гад вычислил, где я живу. Спустя час я нашла карту собственных перемещений за день. Но обвиняла я его задолго до этого. Все шпионят, все оставляют закладки. Таков уж современный мир.
Он следит за тобой с твоего согласия. Это раз. И у тебя есть доказательства, что он следит. А когда делается голословное утверждение, то ситуация немного иная
>Вопросы… Есть ли на них универсальные или "правильные" ответы? Скорее всего нет.
Почему это? Я нашел быстрый ответ на каждый.
Ты — да. Но это твои ответы, а не универсальные
Тогда нужно было не пост писать, а создавать опросник.
Зачем? Каждый из заметки выносит что-то свое