http://haker.edu.pl/2014/10/25/267kk-pr ... keylogger/
art. 267 i 268 kk.
Chodzi Ci o skanowanie portów chyba a nie sniffowanie.
Art. 267. § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.
§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.
§ 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.
Skanery portów są legalne i służą do badania siecowej funkcjonalności systemów operacyjnych. Dla przykładu pentester może sprawdzić czy na komputerze klienta nie ma backdoora lub czy oprogramowanie nie jest przestarzałe skanując całą grupę komputer w sieci. Mogą też służyć do diagnostyki nieprawidłowego działania sieci. Do tego sniffery zostały właśnie stworzone lub nawet do inżynierii odwrotnej oprogramowania (jak działa dana aplikacja sieciowa). Dodatkowo jeżeli oprogramowanie które instalujesz w firmie/w swojej sieci LAN ma być dostępne tylko w tej sieci to możesz zaudytować sobie czy powyżej routera tego nie udostępniasz. Możesz sobie chcieć mieć serwer www tylko w swojej sieci lokalnej w celu udostępniania Twoich prywatnych plików. Możesz przetestować czy to czasem nie jest widoczne poza NAT.
Kluczową kwestią jest ten zapis akurat w tym przepisie:
Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej
Tutaj trzeba by stoczyć wielką batalie w sądzie z bardzo dobrym prawnikiem, aby udowodnić że informacje o wersjach oprogramowania są dostępne defakto publicznie. Mimo to mam wątpliwości czy ta informacja jest dla nas przeznaczona i czy jej znajomość jest wymagana do korzystania z danej usługi np: strony www (nie musisz znać wersji oprogramowania serwera http aby wyświetlić naszego blożka).
Podsumowując: Jeśli masz pozwolenie od danej osoby/organizacji na takie testu lub prowadzisz je we własnym zakresie na własnej infrastrukturze to jest to jak najbardziej legalne ale tutaj uwaga. To że ktoś korzysta z Twojego komputera lub WiFi nie oznacza że można go podsłuchiwać. Tutaj dochodzą przepisy do tajemnicy korespondencji. Nawet pracodawca na służbowych komputerach bez odpowiedniego poinformowania pracownika nie może monitorować co on robi sobie na komputerze.
--
Druga kwestia która często pada to brute-force. Trzeba pamiętać, że jak zapomnimy hasła to nie atakujemy konta swojego tylko infrastrukturę jakiejś zewnętrznej firmy (np: wp.pl, gmail.com). Tutaj też jest kwestia czy jak robimy to 24/7 to czy czasem nie zakłócamy pracy infrastruktury tej usługi (tak samo jak DDos).
Art. 268. § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Sam hacking nie jest nielegalny, nielegalne jest do czego go ktoś wykorzystuje. Multum ofert pracy przecież jest dla hakerów bo ktoś musi bronić dobro firmy i ich klientów.