Hallo, die gesetze zum thema internet hacking finde ich sehr kompliziert. Scheinbar ist es auch illegal hacking tools zu besitzen. Wenn man ein unternehmen hackt dann darf es eine Anzeige machen und wenn man glück hat wird die fallengelassen und man wird für das auffinden der sicherheits lücke belohnt. Aber es gibt Internet seiten bei denen man sich für das suchen von sicherheits lücken anmelden kann und kleine geldbeträge kassieren kann, das ist legal, solange man sich an die regeln hält. unklar ist mir was für legalen regeln das sind aber noch viel wichtiger ist mir die frage: wie wird man bugbounty ohne hackingtools zu nutzen ? wie könnte man sich die nötigen fähigkeiten aneignen?
Soweit mir bekannt ist, darfst Du alles an "Toolz" haben was Du möchtest, Du darfst sogar selbst welche programmieren und damit Dein eigenes Netzwerk zugrunde richten. Wo die Probleme anfangen ist, wenn durch Deine Experimente oder einen vorsätzlichen Angriff Schaden jeglicher Art entsteht. Also angefangen über den typischen (d)DoS-Angriff bis zur einfachen (mglw. bezahlten) Netzwerktraffic auf fremden Leitungen oder ein "entwischter" Virus/Wurm... wenn man Dich erwischt, bist Du fällig. Einige Unternehmen unterhalten z.B. auch Rechner, die nirgendwo gelistet sind, die in keinem DNS aufgeführt sind... wenn da ein einzelnes Ping von Dir ankommt, bist Du für die schon interessant und tauchst als potentieller Angreifer auf.
wenn man sich 2 kleine rechner holt und die ohne wlan per lan verbindet, könnte eigntlich auch niemand eigne spionage tools entwenden. wenn man dann einen job annimt, kann man sich ja immer noch vom anwalt vorher vorher rechtlich beraten lassen, danke Ben B.
Wenn du ein fremdes System auf schwachstellen prüfst brauchst du die Erlaubnis von dessen Eigentümer. Wenn dieser ein Bugbounty macht hat er häufig ziemlich willkürliche Regeln was man testen darf. Wenn du eine Sicherheitslücke in einem Programm findest, dan meldet man das im Bugtracker oder beim ersteller, wobei bei Sicherheitskritischen dingen teils weitere dinge zu beachten sind, weil davon häufig eine kleinere Personengruppe dafür zuständig ist. Bei einigen Bugtrackern kann man bugs als sicherheitskritisch markieren. Bei kommunikationen per mails verwendet man dann häufig GPG. Wenn man eine Sicherheitslücke zufällig in einem proprietären Program oder einem System das einem nicht gehört findet, sollte man vorsichtig sein. Man sollte diese zwar kontaktieren, aber es gab schon fälle in denen die helfenden dann einfach verklagt wurden. Manchmal wird auch versucht dinge unter den Teppig zu kehren, viele security reasearcher veröffentlichen es einfach wenn nach 90 Tagen nichts passiert ist. Würde ich aber alles höchstens anonym oder pseudonym machen. Um die Situation für Security researcher bei Webservern etwas sicherer zu machen wird momentan die security.txt standardisiert, wo man reinschreiben kann wo sowas gemeldet werden soll, ob man nach lücken suchen darf, usw. Bei Servern kann man mit whois manchmal noch kontaktdaten finden. Ich glaube es gab auch einen DNS RR dafür, den aber keiner verwendet. Und bei domains gibt es standardisierte E-Mail Addressen, wie z.B. security@domain, abuse@domain, etc. (rfc2142), wobei ich nicht weiss wie verbreitet oder aktiv diese sind.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.