Domanda Legalità penetration testing in Italia.

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
L

Luis8

Utente Silver
17 Aprile 2015
67
2
24
58
Ciao ragazzi,

Mi sto avvicinando al mondo del penetration testing usando Kali linux e mi stavo domandando una cosa.
Come privato posso secondo la legge Italiana effettuare penetration testing su web application reali a fin di bene senza autorizzazione del proprietario?

Il mio scopo non sarebber sfruttare falle per sottrarre dati sensibili, nel caso trovassi vulnerabilità che possono essere sfruttate le comunicherei immediatamente al proprietario del sito o spazio web.

Molti di voi mi diranno di sperimentare su un vps o cose simili... Come molti credono scontrarsi con qualcosa di reale da molte più varianti e possibilità di imparare cose nuove (mio parere personale), ecco il perchè della mia richiesta.

Qualcuno sa a livello giuridico in Italia come siamo messi? Rischio qualcosa anche se sono un whitehat?

Grazie mille a chi mi darà delucidazioni in merito.
 
Senza il consenso del proprietario è puramente illegale, per tutelarti basterebbe anche una semplice mail dove lui da il consenso a prova di penetration testing per scopi di sicurezza/didattici e dovresti essere tutelato.
 
Come in molti casi, la legge Italiana è secoli dietro rispetto alla "concorrenza" degli altri stati.
A livello legale, l'etica non è considerata attenuante in un processo, ragion per cui se vuoi fare esperienza devi o usare macchine di tua proprietà (e non violare i ToS dell'azienda che ti offre i servizi, siano essi di hosting-server o semplicemente internet) oppure accordarsi con i proprietari del server e, in formula scritta, stipulare l'accordo.
Le mail, a meno che non siano PEC, non sono valide in sede legale.
 
Grazie per le risposte.

Ho già provato ad richiedere autorizzazioni via e-mail a proprietari casuali ma nella quasi totalità dei casi non ottengo neanche risposta probabilmente a causa del fatto che ignorano anche l'esistenza del penetration testing...

Mi sembra un po' assurdo che con la diffusione massiccia delle pratiche di penetration testing nessuno testi le proprie conoscenze con target reali o che lo faccia rischiando di essere intercettato.

Come la pensate in merito? Si nascondono usando tor e compagnia bella?

Esiste un limite nella legalità? Effettuare scanning di porte e vulnerabilità senza sfruttarle costituisce violazione delle leggi italiane secondo voi?

Non trovo informazioni concrete in merito da nessuna parte.
 
Oh perfetto, questo già mi basta per prendere un po' di pratica.
Mi limiterò a fare scanning ed eventualmente cercherò di riprodurre le stesse situazioni in un vps di mia proprietà in modo da essere a posto.

Grazie mille rolandoz e murdercode :)
 
Ultima modifica:
crystalboy ha detto:
Oh perfetto, questo già mi basta per prendere un po' di pratica.
Mi limiterò a fare scanning ed eventualmente cercherò di riprodurre le stesse situazioni in un vps di mia proprietà in modo da essere a posto.

Grazie mille rolandoz e murdercode :)
Clicca per espandere...
non esattamente,ok per il port scan che potrebbe non dare nell occhio ma se usi tool per scannerizzare le vulnerabilità e considerato comunque come reato perchè il tool cerca e inietta i punti fragili quindi effettivamente e come se volessi bucare(e se ne accorgono perche viene tutto loggato es. metti su un sito e ammazzalo con sqlmap e nel frattempo vatti a leggere un pò /var/log/apache2/access.log asd).
Misà che per non finire nei guai ti devi far dare una licenza apposta.
 
.Mike. ha detto:
non esattamente,ok per il port scan che potrebbe non dare nell occhio ma se usi tool per scannerizzare le vulnerabilità e considerato comunque come reato perchè il tool cerca e inietta i punti fragili quindi effettivamente e come se volessi bucare(e se ne accorgono perche viene tutto loggato es. metti su un sito e ammazzalo con sqlmap e nel frattempo vatti a leggere un pò /var/log/apache2/access.log asd).
Misà che per non finire nei guai ti devi far dare una licenza apposta.
Clicca per espandere...
Cosa intendi per: "Il port scanning non dovrebbe dare nell'occhio"?
Quando fai Port Scan con Nmap per vedere se la porta 80 è aperta(esempio),dai log non si dovrebbe vedere una semplice richiesta di connessione uguale a quella di un comune browser?
 
MarcoPerformance ha detto:
Cosa intendi per: "Il port scanning non dovrebbe dare nell'occhio"?
Quando fai Port Scan con Nmap per vedere se la porta 80 è aperta(esempio),dai log non si dovrebbe vedere una semplice richiesta di connessione uguale a quella di un comune browser?
Clicca per espandere...
non è che non potrebbero dare nell' occhio XD
intendevo semplicemnte dire che se l'amministratore se è "nabbone" se si va a leggere i log quelli del port scan non ci farà nemmeno caso..
mentre invece quella di una sql injection risalta subito all' occhio volendo o non volendo.
 
  • Mi piace
Reazioni: MarcoPerformance
Grazie ragazzi ho ricevuto il messaggio, sto facendo dell'innocuo port scanning a caso sul web mentre le prove di exploit le faccio su una metasploitable. Più sicuro di così non si può! :D
 
Stato
Discussione chiusa ad ulteriori risposte.

DISCUSSIONI SIMILI

0
Discussione Ufficiale I migliori siti dove praticare Ethical Hacking nel 2024
  • Release
  • In evidenza
  • 10
  • 5K
10
5K
Pentesting e Ethical Hacking
MRPants
0
Guida I migliori libri per studiare l'Ethical Hacking e Penetration Testing nel 2024
  • Release
  • In evidenza
  • 29
  • 8K
29
8K
Pentesting e Ethical Hacking Guide e Tools
0xbro
0
Guida Android Application Penetration Testing - Concetti e Basi
  • Release
  • 3
  • 2K
3
2K
Pentesting e Ethical Hacking Guide e Tools
0xbro
0
Guida Cosa studiare per imparare l'Hacking e diventare un Ethical Hacker
  • In evidenza
  • 20
  • 13K
20
13K
Pentesting e Ethical Hacking Guide e Tools
Explosssive
0
Guida Cosa è un Penetration Test e quali sono le sue fasi
  • Release
  • In evidenza
  • 2
  • 3K
2
3K
Pentesting e Ethical Hacking Guide e Tools
MRPants
Top Bottom
Indietro