Comments 15
насколько этично для данного исследователя проводить такую работу, может ли он проводить такие исследования, и насколько этично исследование само по себе
Если уязвимость существует, то рано или поздно её применят для нехорошего и размышлять про этику и прочие светлые вещи будет уже некогда.
Так что единственная вещь которую должен совершить приличный исследовать, хотя бы попытаться донести информации о проблеме ответственному лицу. Собственно вот и вся этика.
Это следующий этап. Прежде, чем донести информацию до ответственного лица — ее нужно получить.
Не довод.
Бывают случаи, когда эта самая информация буквально вываливается тебе под ноги.
Бывают случаи, когда эта самая информация буквально вываливается тебе под ноги.
Такое тоже бывает, но нужно суметь понять и оценить то, что «падает», для одного это набор символов, для другого клад на миллион.
Бывает же так, что на простое действие, ненаправленное на исследование — «вываливается» ценная информация. Наверное, это случайность.
А если при исследовании получается какой-то результат — это нормально. Вопрос в том насколько корректно и полно это исследование. Иначе, история будет напоминать заметку про столовую и хакера.
Донесение информации до ответственных лиц, публикация — это отдельный вопрос, который тоже требует изучения.
Бывает же так, что на простое действие, ненаправленное на исследование — «вываливается» ценная информация. Наверное, это случайность.
А если при исследовании получается какой-то результат — это нормально. Вопрос в том насколько корректно и полно это исследование. Иначе, история будет напоминать заметку про столовую и хакера.
Донесение информации до ответственных лиц, публикация — это отдельный вопрос, который тоже требует изучения.
? Три закона робототехники?
Довольно частая проблема — некий конфликт интересов: условно, публикация уязвимости приводит к урону для компании, иногда даже невосполнимому (если уязвимость исправить нельзя по какой-то причине), а пользователи могут получить пострадать с некой вероятностью, если кто-то еще использует или найдёт эту уязвимость. Можно причинить ущерб сразу, либо с некой вероятностью он будет в будущем, но в гораздо большем объеме.
1. Классное начало, но несколько сумбурное развитие материала. Как выше сказали, сильно напоминает «законы робототехники», которые никакого отношения к этике не имеют, а являются лишь жесткими защитными механизмами. Так и перечисленные правила следует рассматривать именно в контексте прецедентного права и связанной с ним западной юридической практики защиты крупного корпората.
2. Медицина. Мощная, но ложная аналогия. Взять хоть морально-этические экстремумы — неизлечимые заболевания, эвтаназию, аборты, смерть мозга, отказ от реанимации, ятрогенные заболевания и т.д. Есть ли аналогии этому в пентестах? Нет. Максимум похожего, что можно «выдавить» — врачебная тайна. Но и она напоминает случай, цитируемый В.В. Вересаевым в «Записках врача»(1900):
Кстати, настоятельно рекомендую «Записки» к прочтению всем. С тех пор морально-этические вопросы ни в жизни, ни в медицине существенно не сдвинулись.
3. Этика исследования. Придумана, по большей части, для обеспечения интересов крупных корпораций. Чтобы бюрократический и финансовый порог был настолько велик, а занесенная над буйной головушкой секира настолько остра, чтобы как только идея какая — трижды подумай, четырежды взвесь как бы чего не вышло. Задумал какой экспериментальный клистир поставить — нарисуй план ягодиц, пройди этический комитет, доклинику, клинику, двойное слепое рандомизированное мультицентровое… я уж не говорю об экстремистах типа Фрейда, Кюри, Эдисона, Тесла, Бутлерова или Мечникова или живодерах типа Гальвани
2. Медицина. Мощная, но ложная аналогия. Взять хоть морально-этические экстремумы — неизлечимые заболевания, эвтаназию, аборты, смерть мозга, отказ от реанимации, ятрогенные заболевания и т.д. Есть ли аналогии этому в пентестах? Нет. Максимум похожего, что можно «выдавить» — врачебная тайна. Но и она напоминает случай, цитируемый В.В. Вересаевым в «Записках врача»(1900):
К частному глазному врачу обратился за помощью железнодорожный машинист. Исследуя его, врач попутно открыл, что больной, страдает дальтонизмом. Это – недостаток зрения, при котором человек не может различать некоторых цветов, чаще всего не может отличать зеленого цвета от красного. Но, как известно, вся железнодорожная сигнализация основана как раз на различении зеленого цвета от красного; зеленый флаг или фонарь знаменует свободный путь, красный – дает сигнал, что грозит опасность. Врач сообщил машинисту о его болезни и сказал, что ему нужно отказаться от работы машиниста. Больной ответил, что он никакой другой работы не знает и от службы отказаться не может. Что должен был сделать врач? Манасеин отвечал: «Молчать. Виновато железнодорожное управление, что оно не устраивает периодических врачебных осмотров своих служащих. А врач не имеет права выдавать тайн, которые узнал благодаря своей профессии, это – предательство по отношению к больному».
Кстати, настоятельно рекомендую «Записки» к прочтению всем. С тех пор морально-этические вопросы ни в жизни, ни в медицине существенно не сдвинулись.
3. Этика исследования. Придумана, по большей части, для обеспечения интересов крупных корпораций. Чтобы бюрократический и финансовый порог был настолько велик, а занесенная над буйной головушкой секира настолько остра, чтобы как только идея какая — трижды подумай, четырежды взвесь как бы чего не вышло. Задумал какой экспериментальный клистир поставить — нарисуй план ягодиц, пройди этический комитет, доклинику, клинику, двойное слепое рандомизированное мультицентровое… я уж не говорю об экстремистах типа Фрейда, Кюри, Эдисона, Тесла, Бутлерова или Мечникова или живодерах типа Гальвани
Спасибо за комментарий.
1. Кодексы этики и являются некими защитными механизмами, построенными на моральных началах. И ведь ни кто не заставляет следовать им — это некая полярная звезда, на которою можно ориентироваться.
2. Почитаю. Однако, вопрос не в пентесте, а в пентесте как исследовании, которое должно обладать определенными параметрами, чтобы считаться обоснованным, объективным.
Описанный случай, это пример врачебной тайны, которая в определенных случаях может быть передана без согласия гражданина см. ст. 13 ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
3. Не полностью согласен. Этика исследования существует для того, чтобы исследования были действительно исследованиями и не были бесчеловечными. Пример: история появления «Нюрбергского кодекса» 1947.
Относительно ограничений — это больше правовые запреты, лакуны в законах, которые действительно могут использоваться для извлечения выгоды крупными корпорациями.
Или такая ситуация: если инженер создает ПО, в которое вложил средства семьи, и хочет обеспечить хорошее образование детям на деньги, полученные от продажи. Но, некий начинающие пентестер «влез» в хранилище с исходниками, при этом случайно, уничтожив большой «кусок» кода (год работы) и после этого опубликовал сообщение об успешном пентесте.
Можно ли описанное выше считать этичным поведением (до и после)? Нужно ли было так поступать? И как должен отнестись к этому инженер-разработчик?
1. Кодексы этики и являются некими защитными механизмами, построенными на моральных началах. И ведь ни кто не заставляет следовать им — это некая полярная звезда, на которою можно ориентироваться.
2. Почитаю. Однако, вопрос не в пентесте, а в пентесте как исследовании, которое должно обладать определенными параметрами, чтобы считаться обоснованным, объективным.
Описанный случай, это пример врачебной тайны, которая в определенных случаях может быть передана без согласия гражданина см. ст. 13 ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
3. Не полностью согласен. Этика исследования существует для того, чтобы исследования были действительно исследованиями и не были бесчеловечными. Пример: история появления «Нюрбергского кодекса» 1947.
Относительно ограничений — это больше правовые запреты, лакуны в законах, которые действительно могут использоваться для извлечения выгоды крупными корпорациями.
Или такая ситуация: если инженер создает ПО, в которое вложил средства семьи, и хочет обеспечить хорошее образование детям на деньги, полученные от продажи. Но, некий начинающие пентестер «влез» в хранилище с исходниками, при этом случайно, уничтожив большой «кусок» кода (год работы) и после этого опубликовал сообщение об успешном пентесте.
Можно ли описанное выше считать этичным поведением (до и после)? Нужно ли было так поступать? И как должен отнестись к этому инженер-разработчик?
Спасибо за ответ! Приятно с вами дискутировать.
Давайте весь этот ком интересного материала для размышлений переведем в одну плоскость и разделим на законно/незаконно, морально/аморально, научно/ненаучно. Судя по заголовку и посылу статьи — нас должна интересовать лишь средняя часть. Мораль, которая является предметом изучения этики, как науки.
То есть, этические кодексы должны одинаково осуждать как законные и научные аморальные методы, так и незаконные и ненаучные. А этого нет.
Есть концепция вреда, испрошенного/неиспрошенного/информированного согласия, и т.д. А вот этично ли дергать ручки дверей в туалете? Научно ли? Каким специалистом нужно быть, чтобы делать это законно?
Давайте весь этот ком интересного материала для размышлений переведем в одну плоскость и разделим на законно/незаконно, морально/аморально, научно/ненаучно. Судя по заголовку и посылу статьи — нас должна интересовать лишь средняя часть. Мораль, которая является предметом изучения этики, как науки.
То есть, этические кодексы должны одинаково осуждать как законные и научные аморальные методы, так и незаконные и ненаучные. А этого нет.
Есть концепция вреда, испрошенного/неиспрошенного/информированного согласия, и т.д. А вот этично ли дергать ручки дверей в туалете? Научно ли? Каким специалистом нужно быть, чтобы делать это законно?
Почему этические кодексы вообще должны что-то осуждать?
Этический кодекс или моральный кодекс — система правил или этических принципов, управляющих поведением членов определенного сообщества (социальной, профессиональной или этнической группы), выражающих понимание достойного поведения в соответствии с этическими принципами, моралью данного сообщества. Вики.
Тот же самый «Нюрнбергский кодекс» 1947 не осуждает, а лишь говорит о принципах проведения медицинских экспериментах над людьми,
Если поднимать вопрос о правовых кодексах, то Уголовный кодекс РФ носит диспозитивный характер, т.е. в нем нет ни одной статьи, которая является запретительной.
Любопытство часто бывает неэтичным, умение пройти по грани — в этом, видимо, и состоит зрелость исследования и исследователя.
Этический кодекс или моральный кодекс — система правил или этических принципов, управляющих поведением членов определенного сообщества (социальной, профессиональной или этнической группы), выражающих понимание достойного поведения в соответствии с этическими принципами, моралью данного сообщества. Вики.
Тот же самый «Нюрнбергский кодекс» 1947 не осуждает, а лишь говорит о принципах проведения медицинских экспериментах над людьми,
Если поднимать вопрос о правовых кодексах, то Уголовный кодекс РФ носит диспозитивный характер, т.е. в нем нет ни одной статьи, которая является запретительной.
Любопытство часто бывает неэтичным, умение пройти по грани — в этом, видимо, и состоит зрелость исследования и исследователя.
Потому, что это так работает. Пионер — всем ребятам пример.
Вот вы, например, напишете «этический кодекс ит аудиторов». Казалось бы, — благое дело. Но будет ли обязан им руководствоваться любой любопытствующий, кто фактически проводит аудит, но не причисляет себя к этой славной гильдии? Увы, будет. И будет осужден и наказан, если не будет. И в первую очередь — этой самой гильдией.
Будут ли должны им руководствоваться те, кто писал Stuxnet? Нет.
Коль скоро взлом, кражу, порчу в ИТ уже осуждает УК, предлагаю обойтись без очередного «кодекса корпоративной этики» а-ля Ростелеком. Пусть «незрелые» исследователи спокойно набивают шишки, а для пущей этики кладут себе на стол «Нравственные письма» Сенеки.
Вот вы, например, напишете «этический кодекс ит аудиторов». Казалось бы, — благое дело. Но будет ли обязан им руководствоваться любой любопытствующий, кто фактически проводит аудит, но не причисляет себя к этой славной гильдии? Увы, будет. И будет осужден и наказан, если не будет. И в первую очередь — этой самой гильдией.
Будут ли должны им руководствоваться те, кто писал Stuxnet? Нет.
Коль скоро взлом, кражу, порчу в ИТ уже осуждает УК, предлагаю обойтись без очередного «кодекса корпоративной этики» а-ля Ростелеком. Пусть «незрелые» исследователи спокойно набивают шишки, а для пущей этики кладут себе на стол «Нравственные письма» Сенеки.
В 4 часа утра ответ — оценил. Спасибо :)
Хорошо, когда есть разные мнения на вопрос.
Можно написать массу кодексов этики, но если понимания этичности нет в человеке, то кодексы не помогут.
Если же человек по своей натуре понимает границы, то ему кодексы не нужны.
В иных случаях кодекс может стать подспорьем, чтобы не «наломать дров».
Хорошо, когда есть разные мнения на вопрос.
Можно написать массу кодексов этики, но если понимания этичности нет в человеке, то кодексы не помогут.
Если же человек по своей натуре понимает границы, то ему кодексы не нужны.
В иных случаях кодекс может стать подспорьем, чтобы не «наломать дров».
Почему этические кодексы вообще должны что-то осуждать?
Этический кодекс или моральный кодекс — система правил или этических принципов, управляющих поведением членов определенного сообщества (социальной, профессиональной или этнической группы), выражающих понимание достойного поведения в соответствии с этическими принципами, моралью данного сообщества. Вики.
Тот же самый «Нюрнбергский кодекс» 1947 не осуждает, а лишь говорит о принципах проведения медицинских экспериментах над людьми,
Если поднимать вопрос о правовых кодексах, то Уголовный кодекс РФ носит диспозитивный характер, т.е. в нем нет ни одной статьи, которая является запретительной.
Любопытство часто бывает неэтичным, умение пройти по грани — в этом, видимо, и состоит зрелость исследования и исследователя.
Этический кодекс или моральный кодекс — система правил или этических принципов, управляющих поведением членов определенного сообщества (социальной, профессиональной или этнической группы), выражающих понимание достойного поведения в соответствии с этическими принципами, моралью данного сообщества. Вики.
Тот же самый «Нюрнбергский кодекс» 1947 не осуждает, а лишь говорит о принципах проведения медицинских экспериментах над людьми,
Если поднимать вопрос о правовых кодексах, то Уголовный кодекс РФ носит диспозитивный характер, т.е. в нем нет ни одной статьи, которая является запретительной.
Любопытство часто бывает неэтичным, умение пройти по грани — в этом, видимо, и состоит зрелость исследования и исследователя.
Sign up to leave a comment.
Этика поиска и исследования уязвимостей