web analytics
Skip to content Skip to sidebar Skip to footer

Este legal sa accesez sau sa testez sisteme fara permisiune?

Asta e o intrebare importanta si, in acelasi timp, un pic complicata in lumea securitatii cibernetice. Ideea principala aici e sa fim cinstiti si sa respectam legile.

Deci, ideea e ca, daca intri intr-un sistem sau incerci sa-l testezi fara sa ai permisiune de la proprietar, asta e ilegal. Proprietarii de sisteme si site-uri au drepturi asupra a ceea ce le apartine si intrarea fara permisiunea lor poate duce la probleme legale.

E important sa intelegem ca in securitatea cibernetica, etica si legalitatea sunt o linie foarte fina intre libertate si puscarie. Mai ales pentru tinerii interesati de IT, invatarea si dezvoltarea abilitatilor trebuie sa mearga mana in mana cu respectarea legilor si a eticii.

In concluzie, da, trebuie sa avem grija sa nu ne aventuram in teritoriul digital fara sa avem acordul proprietarilor. Asa ca, pastreaza-te pe linia legalitatii si vei fi in siguranta in explorarea ta in lumea IT.

Potrivit art. 360 cod penal, “(1) Accesul, fara drept, la un sistem informatic se pedepseste cu inchisoare de la 3 luni la 3 ani sau cu amenda. (2) Fapta prevazuta in alin. (1), savarsita in scopul obtinerii de date informatice, se pedepseste cu inchisoarea de la 6 luni la 5 ani.

Testul de penetrare, sau “pentesting”, este o practica comuna in securitatea cibernetica, utilizata pentru a evalua securitatea unui sistem. Aceasta implica simularea unor atacuri cibernetice pentru a identifica vulnerabilitatile. Cu toate acestea, este important ca aceasta activitate sa se desfasoare numai cu consimtamantul explicit al proprietarului sistemului / site-ului / aplicatiei.

Testarile fara autorizare pot fi considerate ilegale si pot atrage consecinte serioase.

Daca esti interesat de securitatea cibernetica si testarea de penetrare, este important sa urmezii cateva linii directoare:

Obtine permisiunea explicita: Inainte de a efectua orice testare, asigura-te ca ai permisiunea scrisa din partea proprietarului sistemului. Scrisa. Nu telefonic, nu gentlemen’s agreement. Un contract simplu intre partile implicate in care sa fie definit extrem de clar scopul testarii, care sunt sistemele (cu tot cu adrese IP si URL und eeste cazul), perioada in care are loc testarea si care sunt livrabilele.

In strainatate pentru proiecte mai mari unde poate este inclusa si o testare fizica a sistemelor (ex: daca poti obtine acces intr-o cladire) mai poarta numele de out-of-jail letter :) destul de explicit as putea spune. Conceptul nu este chiar simplu si l-am folosit de cateva ori si in Romania tocmai pentru ca uneori cercul persoanelor care au cunostinte despre faptul ca urmeaza sa aiba loc o campanie de testare este foarte restrans.

Educatie si certificare: Investeste in educatia formala si obtine certificari recunoscute in domeniul securitatii cibernetice, care iti pot oferi cunostintele necesare pentru a practica in mod legal si etic.

Transparenta si comunicare: Mentine o comunicare deschisa cu clientii sau cu angajatorii despre metodele folosite si despre rezultatele testarilor.

Respecta limitele acordului: Nu depasi limitele permisiunii acordate. Daca descoperi alte sisteme sau date in timpul testarii, trateaza-le cu aceeasi precautie si respect pentru confidentialitate. In bransa aceasta este important ca in timpul testarii sa nu iesim din scop, asa cum este definit in contract / acord.

Ok si ce faci daca ai avut un moment de curiozitate si ai incercat totusi? Acest subiect il discutam in articolul “Ce ar trebui sa fac dacă identific o vulnerabilitate?”

Daca in schimb chiar simti nevoia sa depasesti limitele curiozitatii iar proprietarii de sisteme nu iti dau acordul pentru a face un test de penetrare, nu te descuraja. Dimpotriva! Exista zeci de platforme internationale unde ai posibilitatea sa faci lucrul acesta pentru foarte multi bani si super legal.

Sunt companii care inteleg riscurile la care se supun daca nu au sistemele foarte bine protejate, astfel incat sunt dispuse sa plateasca recompense celor care le gasesc vulnerabilitati in sistemele informatice. Si cum totul trebuie reglementat, au aparut platformele de Bug Bounty care se pozitioneaza ca intermediari ai acestor contracte de testare. In termeni populari, nu discuti si ceri acceptul companiei XYZ ci prin intermediul platformelor de Bug Bounty ai acceptul oferit deja.

Aici este un articol foarte bun in care sunt descrise cateva programe si platforme de tip bug bounty. Personal am lucrat foarte bine cu Bugcrowd, YesWeHack si Open Bug Bounty. HackerOne ar mai fi o platforma peste care merita sa arunci un ochi.