¿Debe notificar a los proveedores de software que su software ha sido descifrado?

5

Le pido disculpas si este no es el lugar adecuado para hacer esta pregunta; con mucho gusto lo moveré a otro sitio de Stack Exchange si es necesario.

Antes de explicar la razón detrás de la pregunta, permítame aclarar algunas cosas primero.

  1. Disfruto del software de craqueo, para mis propios propósitos educativos.
  2. No participo ni trabajo para ningún grupo de cracking.
  3. Nunca libero ni doy a conocer ningún crack / keygens y no los uso para beneficio personal.
  4. Intento proteger mejor mi propio software en función de las fallas que descubro en el software de otras personas.
  5. Yo mismo soy un proveedor de software y odiaría que mi trabajo fuera pirateado, así que con gusto pago las licencias y agradecería que alguien se me acercara y señalara fallas en mi software.

Con eso fuera del camino, mi pregunta es, si soy capaz de descifrar con éxito una parte del software (juegos, componentes, etc.) si debo notificar al proveedor que su software es vulnerable o simplemente lo guardo para mí ?

En el pasado, notifiqué a algunas personas / empresas (generalmente desarrolladores de poco tiempo) que todos apreciaron los comentarios y, como resultado, fortalecieron la verificación de sus licencias. ¿Debería estar haciendo esto de forma regular o puedo meterme en serios problemas incluso por intentar hacer ingeniería inversa en algo? Tampoco cobro ni trato de chantajear a las personas, totalmente por encima del tablero con la divulgación completa.

Mi propio EULA dice " La redistribución del código fuente está estrictamente prohibida por medio de ingeniería inversa o de otra manera " que claramente resalta la redistribución, no la ganancia personal o incluso la superación personal (no tengo idea, no estoy un abogado).

Este dilema moral me ha molestado durante bastante tiempo y me encantaría informar a los proveedores para que puedan evitar ser comprometidos. No estoy seguro de si todos se comunicarán al respecto e incluso pueden sentirse ofendidos.

    
pregunta BrutalDev 22.02.2014 - 22:29
fuente

5 respuestas

1

Usted está éticamente obligado a reportarlo, pero para su propia protección debe hacerlo de forma anónima.

Hay algunas compañías que dan la bienvenida a las personas por señalar fallas de seguridad en sus productos. Algunos incluso tienen programas públicos de recompensas de errores en los que recompensan económicamente a las personas por hacerlo.

Pero desafortunadamente no todas las compañías tienen esa postura.

También hay empresas, generalmente lideradas por gerentes menos expertos en tecnología, que tienen una mentalidad completamente diferente. Creen que cuando son hackeados, no es su culpa, es la culpa de los hackers. Así que disparan al mensajero. Hay incidentes de empresas que persiguen a piratas informáticos y hasta a sus propios empleados por sabotaje informático y espionaje, incluso cuando no causaron ningún daño y solo tuvieron las mejores intenciones.

Para salvarse de dicha acusación, asegúrese de que:

  • Reportar el problema de forma anónima
  • No seas condescendiente
  • Señala que no hiciste ningún daño
  • Indique que no expuso la vulnerabilidad a un tercero y que no tiene la intención de hacerlo.
  • Intenta no sonar demasiado alarmista, para que tu mensaje no pueda confundirse con una amenaza o intento de extorsión.
respondido por el Philipp 23.02.2014 - 13:46
fuente
2

Todos los proveedores de software saben que su software puede, y siempre será resquebrajado. El software ha sido descifrado durante el tiempo que ha habido licencia o protección de copia. Los grupos de cracking se remontan a la década de 1980, y los esquemas de protección contra copia llegaron hasta perforar agujeros físicos en un sector específico en los disquetes. Ese sector nunca podría escribirse en el disco original, por lo que si se intentaba escribir en él y funcionaba, sabía que el software se había copiado. Esto se rompió, y el software se copió y distribuyó en todo el país en BBS. Todos los esquemas de protección y licencia de software que se han probado han sido rotos. Las licencias de software no están diseñadas para ser 100% seguras, sino para que las personas honestas sean honestas. Eso es todo.

¿Debes decirles? Si te preocupa el software en cuestión y quieres que mejore más, probablemente no. Cualquiera de las dos cosas sucederá. El vendedor lo ignorará (con toda razón). O alguien de la empresa tendrá la idea de que la protección debe ser "arreglada" porque alguien la ha derrotado. Luego, se hará un esfuerzo innecesario para crear otro esquema de protección, y el ciclo continuará.

De cualquier manera, estás perdiendo tu tiempo informándolo, o los desarrolladores de software dedican tiempo a "arreglar" el software resquebrajado.

Por todos los medios mantener el software de craqueo. Es un juego interesante para jugar, y muchos han disfrutado de saltar la cerca solo para el desafío. Pero no te hagas ilusiones de que has encontrado algún defecto crítico, que si alguien simplemente lo arregla, será inquebrantable nuevamente.

    
respondido por el Steve Sether 10.02.2015 - 00:06
fuente
1

Supongo que todo depende de qué compañía sea.

Pero como respuesta, recomendaría no notificar. Porque si la empresa decide demandar, perderás tanto tiempo y esfuerzo por nada. E incluso si esto tiene pocas posibilidades de ocurrir, particularmente con las empresas más pequeñas, el balance de riesgos sigue siendo muy malo.

He estado en el mismo caso que tú, y nunca he sido notificado. Y estoy feliz con esta decisión 10 años después.

    
respondido por el ack__ 22.02.2014 - 23:23
fuente
1

Si entras en el software que he escrito, preferiría ser el primero en saberlo en lugar del último ... Demonios, si me dices cómo lo hiciste y fue lo suficientemente creativo, incluso podría hablar con mis empleadores. pagándote como consultor Siempre y cuando se haya hecho por razones no maliciosas, estoy de acuerdo con eso.

Pero si entras en un sistema que ejecuto, mantengo o he construido y lo dañas, o lo usas para otros medios (como lanzar instancias aws que me cuestan dinero o usarlo como parte de una red bot, robo los datos de mis usuarios, daña la base de datos, detiene los procesos que necesitan ejecutarse, etc.) luego tengo un conjunto especial de habilidades, te encontraré y te buscaré.

    
respondido por el Damian Nikodem 09.02.2015 - 19:22
fuente
-1

Siempre debes reportarlo. Utilizar medios anónimos.

Has pirateado un sistema y lo más probable es que dejes un rastro de registro. Si alguien detecta que trata de analizar la violación, gastará recursos que de otra manera no harían. Esto es un desperdicio de recursos y perjudica económicamente a todos.

¿Qué sucede si no informa su incumplimiento de sombrero blanco y luego un incumplimiento de sombrero negro y libera información privada, perjudicando a personas y empresas? La sociedad ha perdido de nuevo. Residuos.

Creo que si puedes pasar varias horas pirateando un sistema, puedes pasar 5 minutos informando a los propietarios de lo que está mal con su sistema. Eres lo suficientemente competente como para hacerlo de forma anónima para mitigar cualquier posible represalia.

No permitas que tus deseos egoístas lastimen innecesariamente a otros.

    
respondido por el Matrix 23.02.2014 - 08:44
fuente

Lea otras preguntas en las etiquetas