Matthias Ungethüm im Interview: Hacken zwischen Moral & Kriminalität

Das moralische Hacken, gibt es das überhaupt? Wo ist die Grenze zwischen Gut und Böse? Wir haben Matthias Ungethüm (Unnex) befragt.

Das moralische Hacken, gibt es das überhaupt? Wo ist die Grenze zwischen Gut und Böse? Wie tief sollte man in die Systeme Dritter eindringen? Wir haben Matthias Ungethüm (Unnex) befragt.

Viele Hacker sind vor dem Gesetz erwachsen oder sie sollten es zumindest sein. Im Alter von achtzehn und mehr Jahren sollte man sich im Vorfeld sehr genau überlegen, ob man wirklich alles tut, was technisch möglich wäre. Auch wenn uns die deutschen Hackerparagrafen wirklich alles an Aktivitäten untersagen, so erscheinen dennoch die Übergänge zwischen Gut und Böse sehr verschwommen. Welches hacken ist noch moralisch vertretbar, wo fängt der Blackhat an? Wir versuchen diese Fragestellung im Gespräch mit dem Penetrationstester Matthias Ungethüm zu klären.

Matthias Ungethüm: „Man kann sich nur schwer verstecken (…)„

Tarnkappe.info: Du hackst zumeist ohne Verwendung von einem Proxy oder einem VPN, warum? Hast Du keine Angst vor Repressionen wegen eines möglichen Verstoßes gegen die Hackerparagrafen?

Matthias Ungethüm (Unnex): In Fällen, bei denen ich mir sicher bin, dass ich die gefundenen Schwachstellen melden werde, nutze ich für gewöhnlich keinen Proxy, da ich den Kontakt zur Administration sowieso unter meinem echten Namen herstelle.

Wenn man eine Lücke findet und diese beheben möchte, kann es vorkommen, dass die Administrationen der Aufgabe nicht gewachsen sind. In diesem Fall kann man helfen, um das Problem schnellstmöglich zu lösen. Man kann sich nur schwer verstecken und gleichzeitig ehrlich und konsequent mit jemandem zusammenarbeiten. Die Hackerparagrafen sind dementsprechend ein Risiko, welches ich eingehen muss, wenn ich ehrlich und effizient Lücken schließen will oder bei der Schließung derselben helfen (muss), falls die Administration Hilfe benötigt.

Unnex: „Man muss sich nicht zwangsweise strafbar machen.“

Tarnkappe.info: Ist man als Penetrationstester nicht sowieso bei jeder Aktivität sofort im illegalen Bereich? Von daher warst Du bei der Kommunikation mit den Firmen bzw. Behörden stets in der Defensive, oder?

Unnex: Man muss sich nicht zwangsweise strafbar machen. Als Penetrationstester hat man die Möglichkeit, Verträge zu vereinbaren, welche eindeutig die Erlaubnis zum Penetrationstest sowie dessen Konditionen, Risiken und Aufgabengebiete festlegen.

Doch auch bei nicht vertraglich geregelten Penetrationstests gibt es Ausnahmen. Viele IT-Firmen bieten mittlerweile ein „Bug Bounty Program“ an. Was nichts anderes heißt, als dass eine bestimmte Reihe von Schwachstellen-Arten bekannt gegeben werden für dessen Meldung das jeweilige Unternehmen den Finder belohnt. Firmen, die ein Bug-Bounty System betreiben, tolerieren Angriffe auf ihren Systemen, solange die gefundene Lücken gemeldet und nicht missbraucht werden.

Bug Bounty Programme

Unter anderem besitzt die Deutsche Telekom und Google ein solches Bug Bounty Program! Bei Lücken, welche ich melde, setze ich stets eine ausreichend lange Wartezeit an, um zu sehen, ob die Lücken behandelt werden.

Bei meiner Kommunikation mit den Behörden aufgrund einer Schwachstellenmeldung von mir wurde ich, ehrlich gesagt, noch nie in eine defensive Situation gedrängt. Woran das liegt, kann ich nur vermuten. Entweder haben die Behörden verstanden, dass das Melden einer Lücke hilft und nicht schadet. Oder es lag an der Medienpräsenz, welche nach langfristig klaffenden Lücken oftmals aufkam.

Unterscheidung zwischen Gut und Böse schwierig

Tarnkappe.info: Rechtsanwalt Jens Ferner warnt zum Beispiel davor, sich blind auf die Zusagen der Firmen bei einem Bug-Bounty-Programm zu verlassen. Doch kommen wir zur Kernfrage: Was ist noch moralisch okay, wo fängt das moralisch verwerfliche Hacken an? Ist das Austesten von clientseitigen Bugs (z.B. XSS) noch moralisch vertretbar? Oder um das andere Extrem zu nennen: Sind 20.000 automatisierte Angriffe per Script bei einem Pen-Test akzeptabel Wo ziehst Du die Grenze? Und wenn ja, kannst Du das bitte begründen?

Matthias Ungethüm aka Unnex: Client-seitige Angriffe, wie beispielsweise XSS-Angriffe, lassen sich gut kontrollieren und haben für gewöhnlich keinen Einfluss auf den Server oder dessen Besucher. D.h. sofern man diese nicht ausnutzt. Sie agieren in den meisten Fällen nur clientseitig und können gefahrlos ausgetestet werden, ohne Schäden anzurichten. Hierzu muss man Folgendes erklären: Beim Aufruf einer Website verbindet sich der Browser zur Website (Server), versendet eine Anfrage, erhält anschließend die Antwort des Servers und stellt diese im Browserfenster dar. Beim XSS manipuliert der Angreifer die Anfrage des Browsers so, dass der Server eine unter Einfluss des Angreifers selbst gewählte Antwort liefert. Diese Antwort wird dann vom Browser wie beim normalen Aufruf einer Website verarbeitet.

Thema XSS-Angriffe

Der Angriff kann vom Server gesperrt werden, indem bestimmte Angriffstypen erkannt und entfernt werden. Dieses Vorgehen ist in den meisten Fällen sehr leicht umsetzbar. Kommt aber doch einmal ein Code durch die Serversperre, weil diese fehlt oder fehlerhaft umgesetzt wurde, dann landet der Angriff beim Browser und wird auch nur dort Wirkung zeigen. Erst ab diesem Punkt kann die Lücke ausgenutzt werden, ebenso entzieht sie sich an dieser Stelle vollkommen dem Einflussbereich des Servers. Die Entstehung der Lücke ist dementsprechend zwar die Schuld des Servers, allerdings ist immer der Browser der Leidtragende! Das Austesten dieser Art von Lücke kann sich deshalb sehr einfach auf ein kontrolliertes und ungefährliches Ziel beschränken lassen, wie beispielsweise dem eigenen Browser. Dementsprechend sehe ich absolut keine moralischen Probleme beim verantwortungsvollen Austesten von typischen XSS-Schwachstellen.

Das massenhafte Crawlen von Website’s, Adressen, Pfaden usw. sehe ich ebenfalls nicht als moralisch problematisch an. Hierbei sehe ich erst ein Problem, wenn der Angriff oder Crawl so massiv ist, dass er die Verfügbarkeit der Website maßgeblich behindert, wie es z.B. bei einem HTTP-Flood der Fall wäre.

Automatisierte Angriffe oder ein intensiver Crawler?

Automatisierte Angriffe sind im Grunde nichts anderes als ein intensiver Crawl. Die Frage ob ein derartiger Crawl moralisch vertretbar ist, stellt sich für mich nicht, da sie von verschiedensten Softwareherstellern bereits beantwortet wurde, welche völlig legal und zum Zwecke des Pentests Schwachstellen-Crawler herstellen, ohne dessen Hilfe so mancher Pen-Test „ewig“ dauern würde. Hier ein Beispiel für einen in Deutschland ansässigen Hersteller namens Greenbone Networks GmbH, welcher unter anderem mit seinem Pen-Test-Script (OpenVas) vom BSI (Bundesamt für Sicherheit in der Informationstechnik) referenziert wird.

Der Sinn und Zweck der IT-Technik ist es nicht, möglichst wenig Daten in möglichst langer, sondern möglichst viele in möglichst kurzer Zeit zu erfassen! Dementsprechend benötigt jeder professionelle Pen-Test letztendlich auch einen Crawler, um alles das zu erfassen, was man sich nicht per Hand einfach mal so notieren könnte. Beispielsweise kann man 1.000 Links crawlen lassen, um zu sehen ob diese existieren oder man testet selber 100 per Hand durch. Derjenige mit dem Crawler kann schon nach wenigen Minuten damit beginnen, die übrig gebliebenen Adressen auf Schwachstellen zu untersuchen, der andere manuelle Sucher hingegen wird wahrscheinlich erst übermorgen mit seiner eigentlichen Arbeit beginnen können. Das unnötige Verlängern der Arbeitszeit ist schlicht und einfach unprofessionell.

Matthias Ungethüm: „Automatisiertes Crawlen (…) halte ich für unbedenklich.“

Tarnkappe.info: Wie sieht es beim Versuch eines Datenbankzugriffs auf das Password-File aus? Das Ziel eines solchen Angriffs ist es, sensible Password-Daten zu erbeuten. Geht das schon zu weit?

Matthias Ungethüm aka Unnex: Einen Angriff auf die Passwort-Datei eines Servers kann jeder Internet-Nutzer selbst einmal schnell und einfach nachstellen. Hierzu muss man nur eines wissen: Wo liegen die Passwortdateien? Bei Linux basierten Systemen befinden sich die Passwortdateien meistens unter /etc/passwd und /etc/gshadow. Hängt man diese Zeilen z.B. an das Ende eines X-beliebigen Links, dann wird diese Aktion manchmal schon als Angriff gewertet. Ebenso werden oftmals schon einfache Zeichenabfolgen, wie z.B. zwei Punkte hintereinander, als Angriff auf das innere Dateisystem vermerkt, weil „..“ in den meistens Systemen als Weg-Angabe zum Zurückwechseln eines Pfades innerhalb eines Dateisystem genutzt wird. Ruft man beispielsweise folgenden Link auf, dann erhält man vom BKA eine Hacking-Meldung (siehe Screenshot):

Zum Vergleich: Der normale Link ohne Hacking-Meldung unterscheidet sich tatsächlich nur an den zwei Punkten gegen Ende des Links.

Ein Zugriff auf eventuelle Passwortdateien ist dementsprechend oftmals nur ein Crawl und verfolgt nicht das Ziel, sensible Passwortdateien abzugreifen. Ebenso ist es ungefährlich einen solchen Test durchzuführen und sicherlich wird niemand eine Anzeige wegen dem Aufruf des Links erhalten. Das hat einen einfachen und wichtigen Grund: Angriffe dieser Art können auch leicht ohne Wissen und Ambition des Angreifers geschehen, sie können verlinkt sein, als Iframe eingebunden werden oder beispielsweise von einer Suchmachine wie Google automatisch aufgerufen werden. Yahoo, Bing, Google und alle anderen Suchmaschinen rufen derartige Links täglich tausende Male auf und erhalten dementsprechend viele Hacking-Meldungen.

Suchmaschinen sind auch erlaubt.

An dieser Stelle ist nun Vorsicht geboten. Wenn wir das automatisierte Crawlen (Durchsuchen) von Webseiten grundsätzlich verbieten oder nicht mehr billigen, beschneiden wir das Internet und verlieren nützliche Dinge, wie beispielsweise Suchmaschinen, weil dann je nach Systemart fast schon jeder X-beliebige Link als Angriff gewertet werden kann. Möchte man dennoch bestimmte Teile seiner Website unbesucht wissen, dann verwendet man eine so genannte robots.txt-Datei.

Automatisiertes Crawlen, bei dem mir kürzlich der Angriff auf sensible Nutzerdaten vorgeworfen wurde, halte ich dementsprechend ebenso wie das BKA, alle Suchmaschinen und der WWW-Standard selbst für unbedenklich. Wer nicht möchte, dass bestimmte Pfade ausgelesen werden, kann diese auf seiner Serverseite sperren oder schlicht und einfach eine robots.txt erstellen, damit der Crawler eine Richtlinie erhält, mit der er arbeiten kann.

Kommerzielle Webseiten: Das Verschlüsseln der Nutzerdaten wird viel zu oft vernachlässigt.

Tarnkappe.info: Wieso verbleiben die sensiblen Kundendaten überhaupt so oft bei Unternehmen im Zugriffsbereich des Webservers? Wäre es nicht besser, die komplett vom Internet zu trennen?

Matthias Ungethüm aka Unnex: Die komplette Entfernung von Kundendaten würde in vielen Fällen den Sinn der Website zerstören, wie bei Shops, Kundencentern usw.. Diese Systeme benötigen dein Passwort, deinen Nutzernamen und deine E-Mail-Adresse. Andere Systeme benötigen außerdem noch mehr, wie z.B. Bankverbindungen oder Ident-Nummern. Würde man beispielsweise der Website den Zugriff auf das Passwort oder dessen verschlüsseltes Endresultat verweigern, dann würde der Login nicht mehr funktionieren! Das Entfernen von systemwichtigen Kundendaten sehe ich nicht als sinnvoll an. Als wesentlich sinnvoller sehe ich das Entfernen überflüssiger Daten, wie z.B. alte E-Mail-Adressen, bereits verfallene Passwörter etc. an. Ebenfalls als absolut notwendig sehe ich auch das Verschlüsseln der jeweiligen Nutzerdaten. Letzteres wird leider viel zu oft vernachlässigt und stellt das eigentliche Problem beim Speichern von Daten dar.

Man kann den Kunden keine absolute Sicherheit versprechen!

Tarnkappe.info: Wie relativ oder absolut kann IT Sicherheit überhaupt sein? Gibt es nicht immer jemand Besseres, der in die technische Infrastruktur eines Dritten eindringen kann? Kann bzw. sollte man seinen Kunden in der Werbung überhaupt absolute Sicherheit versprechen?

Matthias Ungethüm aka Unnex: Seinen Kunden vollkommene Sicherheit zu versprechen, ist in jedem Fall ganz klar und faustfrech gelogen. Dieses Zitat von Anton Neuhäusler beschreibt die Realität zu diesem Thema dazu am besten: „Es gibt keine Sicherheit, nur verschiedene Grade der Unsicherheit.“

Tatsächlich sind IT-Systeme nicht perfekt und auch nicht die Menschen, die diese verwenden. Beim professionellen Absichern von IT-Systemen kommt es auch besonders auf die möglichen Situationen, in der neue Schwachstellen entstehen können, an.

Ob eine Lücke entsteht oder nicht, hängt dementsprechend nicht selten von der Situation ab, in welcher sich das jeweilige Bezugssystem befindet! Wenn man beispielsweise einen Trojaner auf einer Website einschleust und versucht, diesen den Besuchern der Website unterzujubeln. Dann kann eine Lücke entstehen und gleichzeitig auch nicht, indem der eine Besucher eine Firewall verwendet, welche den Trojaner erkennt und löscht. Der nächste Besucher verwendet keine Firewall, dessen Hardware wird dann infiziert.

Videointerview aus dem Jahr 2013 mit Matthias Ungethüm aka Unnex.

Viele Webseiten-Betreiber ignorieren die Meldung von Schwachstellen.

Tarnkappe.info: Wie reagieren die meisten Firmen, wenn Du sie kontaktierst? Oder machst Du das ohne Journalist dazwischen gar nicht mehr?

Matthias Ungethüm: Mittlerweile melde ich die meisten Lücken nur noch unter Einbezug eines Journalisten beziehungsweise authentischen Zeugen. Es kommt nicht selten vor, dass man als Lücken-Melder ignoriert wird und trotz Fehlermeldung die Lücken offen bleiben. In diesen Fällen kann es nicht schaden einen Zeugen zu haben oder jemanden, der einen dabei unterstützt, auf die Lücken aufmerksam zu machen. Denn meistens sind die Besucher der Website die Geschädigten einer Schwachstellen und nicht die Webseitenbetreiber selbst. Aus diesem Grund nehmen leider viele Webseitenbetreiber Meldungen von Schwachstellen nicht ernst genug.

…Wie die „meisten“ Firmen reagieren, kann ich leider nicht sagen. Ich habe schon so ziemlich jede mögliche Reaktion erlebt, welche davon aber besonders häufig auftritt, ist schwer zu nennen. Paypal beispielsweise hat bei einer Meldung von mir sehr nett und professionell reagiert. Die Telekom beispielsweise sehr schlecht und meines Erachtens nach eher unprofessionell.

„Eine Schwachstelle will sorgfältig geprüft sein.“

Tarnkappe.info: Wenn ein Fehler bekannt ist, wann ist der beste Zeitpunkt, die Betreiber zu informieren? Am nächsten Tag, oder sind 24 Stunden dazwischen eigentlich schon zu viel?

Unnex: Ich denke nicht das 24h zu lang sind. Eine Schwachstelle will sorgfältig geprüft sein. Schließlich will man nur das melden, was auch wirklich existiert. Sofern die Schwachstelle nicht absolut auffällig und zugleich sehr gefährlich ist, sehe ich kein Problem dabei, wenn man sich einige Tage Zeit nehmen möchte, um die Lücke eingehend zu untersuchen.

Tarnkappe.info: Man könnte Dir vorwerfen, es ginge Dir bei der Meldung von Lücken oder der Vorführung im Fernsehen primär um die Eigenwerbung als Unternehmer. Was sagst Du dazu?

Matthias Ungethüm: Lücken-Meldungen mit Einbezug der Medien mache ich nicht erst, seitdem ich mein Unternehmen leite. Schon Jahre vorher habe ich bereits Lücken gemeldet und manchmal auch via öffentlicher Medien darauf aufmerksam gemacht, falls diese trotz großer Gefahr und langer Wartezeit nicht behoben wurden. Selbstverständlich wirkt sich die Medienpräsenz auch positiv auf meine Auftragslage aus. Allerdings ist das kein primärer Ansatz für mich. Viele von den Lücken, die ich melde, welche missachtet werden und dann an die Öffentlichkeit gelangen, betreffen Millionen von Menschen. Viele von denen, die diese Nachrichten sehen, sind selbst davon betroffen und erfahren es erst dadurch, dass die Existenz der Lücken und dessen Missachtung an die Öffentlichkeit gelangen.

Manchmal werden Lücken erst mit dem entsprechenden öffentlichen Druck wahrgenommen und behoben: Je länger eine schwerwiegende Lücke mit vielen Betroffenen nicht behoben wird, desto mehr Opfer fordert sie. Dementsprechend sehe ich es nicht selten als meine Pflicht an, auf bestimmte Lücken aufmerksam zu machen, Notfalls auch unter Einbezug der Medien.

Die übliche Vorgehensweise in der IT-Security: „Wer lügt und verspricht Gold zu machen, erhält den Auftrag.“

Tarnkappe.info: Thema Pentesting als Geschäftsmodell. Wie schwer oder leicht ist es, sich in diesem Bereich als Einzelperson zu behaupten? Dein Aussehen dürfte bei manchen möglichen Auftraggebern für einige Vorurteile sorgen, oder spielt das im IT Bereich gar keine Rolle?

Matthias Ungethüm aka Unnex: Eigentlich möchte man meinen, dass im IT-Bereich Äußerlichkeiten oder Ähnliches keine Rolle spielt. Doch leider ist genau das Gegenteil der Fall. Ich vergleiche das aktuelle IT-Genre gerne mit der Alchemie des Mittelalters. Wer lügt und verspricht Gold zu machen, erhält den Auftrag. Wer die Wahrheit spricht, wird ignoriert. Ein Großteil der IT-Sicherheits-Firmen sind Quacksalber und Scharlatane. Indem man das Blaue vom Himmel lügt, kann man im IT-Gewerbe das meiste Geld machen.

Denn nachprüfen lassen sich die gemachten Fehler meistens erst dann, wenn es zu spät ist. Wenn du beispielsweise einen Penetrationstester hast, der dir einen Bericht deines Systems liefert, in dem Lücken ignoriert werden, um dem Auftraggeber gefällig zu sein, dann wird sich dieser Fehler erst herausstellen, wenn dein System in Trümmern liegt. Leider kommt so etwas nicht selten vor. Ich erschrecke oft vor der schlampigen Arbeit anderer angeblich professioneller Penetrationstester, welche das betroffene System vor mir unter die Lupe nahmen. Vorurteile, ebenso wie Quacksalber gibt es in jedem Genre. In diesem denke ich, dass die Vorurteile nicht mehr und eventuell auch nicht weniger wiegen als in jedem anderen Gewerbe, die Quacksalber dafür aber um so mehr.

Matthias Ungethüm: Die meisten Hacker machen sich ihre eigenen Regeln!

Tarnkappe.info: Nach welchen Idealen leben die meisten Hacker, die Dir begegnet sind? Etwa: „Heil Dir den Siegerkranz, nimm was Du kriegen kannst?“

Unnex: Die meisten machen ihre eigenen Regeln ohne dabei großartig auf andere zu achten. Viele sind extrem eingebildet. Die flippen komplett aus, wenn sie nicht jedesmal so tun können, als wären sie die Größten und Besten. Probleme dieser Art lassen sich jeden Tag im deutschen Underground beobachten, wobei wie am Fließband Flameposts und Flamethreads auf den einschlägigen Foren erstellt werden. Bei derartigen Starallüren ist oftmals kein Platz für Moral oder Vernunft. Also, in den meisten Fällen nimmt jeder, was er kriegen kann und zerstört das, was er nicht bekommt.

Habgier dominiert den Untergrund

Tarnkappe.info: Welche Folgen hat die Habgier vieler Hacker?

Unnex: Die Habgier im deutschen Underground ist leider derart groß, dass Fraud-Foren die Szene von der Anzahl der Member her absolut dominieren. Fraud-Foren sind Foren, welche sich speziell auf das Betrügen und Geld ergaunern im Internet spezialisiert haben.

Für gewöhnlich trifft man dort sehr junge Menschen an, welche das schnelle Geld wittern und sich nicht über das Ausmaß ihrer Handlungen bewusst sind. Nicht selten endet die Gier nach Geld in einer Hausdurchsuchung! Plätze im Underground, bei denen es ums Hacking geht, anstatt einzig und allein damit oder mit ähnlichen Sachen Geld zu stehlen, sind leider sehr selten geworden.

Tarnkappe.info: Du hast in diesem Zusammenhang auch den Nihilismus nach Nietzsche erwähnt. Was genau meinst Du damit?

Matthias Ungethüm aka Unnex: Der Nihilismus, auf das Individuum angewandt, führt für gewöhnlich zu einem ausgeprägten Narzissmus, welcher weder Moral noch Gewissen beinhaltet. In der Szene ist derartiges Verhalten leider Standard. Dort heißt es oft nur: Jeder ist sich selbst der Nächste und wer am meisten betrügt und stiehlt und dabei kein Gewissen zeigt, ist der Beste.

„Im Kapitalismus war die Ethik schon immer irrelevant bis hinderlich.“

Tarnkappe.info: Du hast einmal geschrieben: „Im Kapitalismus war die Ethik schon immer irrelevant bis hinderlich.“ Ist das so? Kannst Du das genauer erklären?

Matthias Ungethüm aka Unnex: Der Kapitalismus ist ein weites Feld. Ich möchte hier keine wissenschaftliche Erklärung zum Kapitalismus abgeben. Ich möchte nur kurz beschreiben, wie meine Aussage in Bezug auf den Underground gemeint ist. In einer Welt, in der der finanzielle Gewinn flächendeckend wichtiger als Moral und Sicherheit geworden ist, ist leider kein Platz mehr für „nette“ Menschen.

Wer mitfühlt, wird oft nur ausgenutzt. Im Underground, speziell der Fraud-Szene verhält es sich ähnlich. Dort zieht jeder jeden über den Tisch und viele sind auch noch stolz darauf. Dort ist es nicht wichtig, ob du einem Unschuldigen schadest. Es ist nur wichtig, ob dabei Profit für dich herausspringt. Fast niemand im Undergound hat ein Gewissen oder zeigt Reue, wenn er das Konto eines fremden Menschen plündert. Denn Reue oder ein Gewissen halten ihn davon ab, andere Menschen abzuzocken und dementsprechend Geld zu erhalten.

„Hacke niemals aus Rache, Wut, Zwietracht, Böswilligkeit oder Angeberei“

Tarnkappe.info: Nach welchen Idealen hackst du? Wohin wird Dich das führen?

Matthias Ungethüm aka Unnex: Im Bereich des Hackings habe ich mir ein paar einfache Grundsätze gemacht, welche allerdings von fast allen anderen im Underground als absolut spießig angesehen werden. Allein diese Tatsache veranschaulicht sehr gut, dass die meisten ihre eigenen Regeln machen. Sie berücksichtigen dabei nur selten mögliche Opfer.

Meine Regeln für mich:

hacke niemals aus Rache, Wut, Zwietracht, Böswilligkeit oder Angeberei
gefundene Lücken solltest du melden und nicht ausnutzen. Wäge daher immer verantwortungsvoll ab, ob es besser ist vorerst, noch etwas aus der Schwachstelle zu lernen oder sie aus Gefahrengründen schnellstmöglich zu melden
stößt du auf eine Lücke, die besonderen Schaden anrichten kann oder ungewöhnlich viele Nutzer betrifft und die Administration schließt diese trotz Meldung nicht, dann kannst du die Verantwortung nicht einfach von dir weisen. Du solltest nach Kräften versuchen eine Lösung zu finden. Die Lücke sollte man schließen. Man muss die Administratoren überzeugen, die Schwachstellenbeseitigung zeitnah vorzunehmen.
arbeite niemals ernsthaft mit Scriptkiddys, von denen du nicht überzeugt bist, dass sie sich mit zunehmender Erfahrung zum Guten wandeln werden. Gib ihnen kein Wissen, keine Software und keine Hilfestellungen. Was du einem Scriptkiddy gibst, kann sich schnell deinem Einflussbereich entziehen und missbraucht werden.
zerstöre keinem System oder Nutzer Dinge, die es/er vermissen wird
Halte dich in der Rolle des Angreifers von Informationen fern, welche deinen Angriff nicht vorantreiben sowie bei denen du nichts Neues im IT-Bereich lernen kannst. Ein Beispiel: Erpressungen mithilfe von Nacktfotos können dich eventuell beim Hack weiter bringen, allerdings lernst du betreffend dem IT-Bereich nichts dabei, sondern nur etwas über bisher ungeahnte Tiefpunkte deiner selbst.