Bom, pretendo estudar sobre essa área de pentest, mas uma dúvida é: caso eu encontrar uma falha em um site por exemplo posso comunicar a falha ao dono do site sem problemas? Ou há algum risco de ser processado ou algo assim?
Claro que pode, sempre de forma mais formal possível. Existe até um meio de se ganhar dinheiro com essa prática de bug hunting, muitas empresas (como o Google por exemplo) oferecem enormes recompensas em dinheiro se você achar algum tipo de invulnerabilidade em seus serviços.
1 curtida
Na verdade você tem que tomar cuidado com a empresa que você faz isso. Algumas tem o mal hábito de processar quem faz isso. Se for fazer isso certifique-se de que a empresa que você vai fazer isso aceita esse tipo de prática. Algumas empresas tem programas de recompensa para quem achar falhas. Inclusive há um argentino que atingiu seu primeiro milhão com esse tipo de recompensa. Existe também algumas empresas que contratam pessoas para testar a rede de modo privado para evitar ataques maciços a sua infraestrutura. Pelo que eu li no Brasil não há tanto espaço para ataques pois não há tanto investimento em segurança mas nada impede de você trabalhar remoto para empresas do exterior.
1 curtida
Essas que gostam de processar devem ser as que tem as maiores chances de ter problemas com isso.
Talvez, depende do caso e da suposta falha. Pense, o simples “encontrar” a falha pode indicar que você estaria explorando o domínio em busca de alguma falha na segurança e isso se feito sem autorização pode dar cadeia. A não ser que você relate a falha usando anonimato, é arriscado você estar dando um tiro no próprio pé. Se é pra procurar falhas de segurança em domínios sem autorização de seus proprietários, faça para fins de aprendizado e não relate nada.
1 curtida
Olha, pode dar problema sim, dependendo da atitude do dono do site.
Por mais que você esteja fazendo o teste com boas intenções, você quebrou uma lei ao “tentar invadir”, sem autorização, o domínio a procura de eventuais falhas. O Pentest só deveria ser feito com expressa autorização do dono ou responsável pelo domínio, pois assim você estaria prestando um serviço para ele.
Claro que algumas empresas, como já citado acima, permitem que isso seja feito e até mesmo recompensam o informante por relatar a falha, mas eles deixam isso claro em suas políticas ou documentação, se for o caso.
Também há a possibilidade de o domínio não ter políticas ou documentações que se refiram a isso, mas o dono não se sentir incomodado por você ter relatado o erro, entender que o processo foi feito com boas intenções e não denunciá-lo.
Resumindo, nesse contexto eu vejo os seguinte cenários e atitudes para se tomar para cada um:
-
1° Cenário: Caso o dono não tenha dado a autorização a você e/ou tu não encontres políticas a esse respeito nas documentações do site.
Atitude: Nesse caso, assuma que o Dono vá interpretar mal a situação e, para se proteger, não relate ou, caso deseje relatar, faça-o do forma anônima, tomando as medidas possíveis para proteger sua identidade (camuflar o IP, usar um e-mail “descartável” e anônimo, não deixar rastros, etc.) -
2° Cenário: Caso tenha autorização expressa do responsável/dono do site.
Atitude: Nesse caso, poderia relatar o erro sem problemas. -
3° Cenário: Caso não tenha autorização do dono/responsável pelo site, mas a política do site conte com regulamentos que permitam os testes.
Atitude: Nesse caso, relate o erro, mas tome o cuidado de ter salvo os documentos que justifiquem e deem legalidade a sua tentativa.
Bom, essas são apenas especulações feitas por mim, o ideal mesmo seria procurar alguém que entenda do aspecto jurídico envolvido no assunto, e ler as leis e regulamentações sobre crimes cibernéticos, tal qual a Lei 12.737, de 30 de Novembro de 2012, pioneira na regulamentação de crimes cibernéticos no Brasil (Link abaixo). Dar uma olhada na Jurisprudência, que também é uma das fontes do direito, também é importante.
Link: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm
Espero ter ajudado!
3 curtidas