Нужна ли этика пентестерам?! Да, опять про этику!

Нужна ли этика пентестерам?! Да, опять про этику!
Произошедшие недавно события вновь подняли вопрос об этике компаний, занимающихся пентестами и исследованиями в области информационной безопасности. И родился у меня некоторый список вопросов, который если и не требует ответов, то задуматься о них стоит.

  1. Этично ли промолчать о найденной случайноу заказчика проблеме вне скоупа оговоренных работ? Ведь заказчик за нее не платил. Но именно через нее заказчика впоследствии могут сломать.
  2. Этично ли обвинять компанию, в решениях которой ты что-то нашел, в уязвимости, при этом не приводя никаких доказательств найденного?
  3. Этично ли обвинять какого-либо вендора в сознательном оставлении уязвимостей (закладок), не имея никаких доказательств этого?
  4. Этично ли обвинять какого-либо вендора, в решениях которого ты нашел уязвимость, но при этом даже не попытался связаться с вендором?
  5. Этично ли упоминать публично про то, что тебе конфиденциально дали исследовать кого-то?
  6. Этично ли нанимать на работу тех, кто имел проблемы с законом в этой же сфере?
  7. Этично ли брать заказ на исследования от "плохих" парней? А от от тех, кто работает с плохими парнями? Или все-таки деньги не пахнут?
  8. Этично ли поливать говном всех, кого взломали, даже не приложив ни малейших усилий к тому, чтобы узнать причины и детали взлома? Может жертва все-таки не виновна?
  9. Этично ли найти дыру в продукте, отвечающем за жизнь миллионов людей, и требовать за это деньги, в противном случае пугать публичным раскрытием данных?
  10. Этично ли поливать публично и в кулуарах говном бывшего заказчика, прекратившего с тобой сотрудничество?
  11. Этично ли публично поливать говном компанию, за кулисами прося у нее деньги и набиваясь на сотрудничество?
  12. Этично ли публиковать пресс-релизы о взаимодействии с вендором, не ставя его в известность об этом?
  13. Этично ли не связываться с взломанным клиентом, которому ты делал пентест?
  14. Этично ли поливать говном взломанные компании, не являющиеся твоими клиентами, и молчать как рыба об лед о взломе клиентов, где ты проводил пентест?
Вопросы... Есть ли на них универсальные или "правильные" ответы? Скорее всего нет. Каждый сам и по своему отвечает на эти вопросы. Все-таки это не математика (хотя и в ней есть задачи без ответов). Главное - на эти вопросы ответить самому себе, а не зарывать голову в песок. Кто-то готов к этому. Кто-то нет. Кто-то будет с пеной у рта доказывать, что этика и пентесты не совместимы, и пентест - это вообще искусство, которому чужда этика как таковая. 

Кадры из знаменитого альбома Лени Рифеншталь о поездке к нубийцам
Тут нельзя не вспомнить Лени Рифеншталь, по мнению экспертов, великий режиссер и фотограф 20-го века, которая сотрудничала для достижения своих целей с нацистами. Она говорила ровно тоже самое - главное для нее была карьера и творчество, которым она занималась; а все остальное было вторично. Верно ли это? Каждый выбирает для себя...
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь