¿Es ilegal publicar un exploit contra una vulnerabilidad conocida en los Estados Unidos?

Consulte a un abogado para cuestiones legales. Las respuestas aquí no te ayudarán si te metes en problemas.

Dicho esto, obviamente hay muchos investigadores en Estados Unidos que publican códigos de prueba de concepto, e incluso el código que se utiliza en herramientas como el marco de metasploit. Además, hay algunas páginas que puede encontrar en fuentes como el Proyecto de Derechos de Coders de la EFF.

A menos que se le solicite explícitamente que descubra vulnerabilidades en un sistema específico (por ejemplo, analice la vulnerabilidad del sistema para una compañía específica), revele información detallada sobre una vulnerabilidad y métodos de explotación que luego pueden ser utilizados por un adversario atacar ese sistema específico permitirá que la compañía propietaria presente una demanda en su contra. Sin embargo, a menos que presenten una demanda, alegando que usted ha puesto a la empresa en algún tipo de riesgo, simplemente divulgar información sobre vulnerabilidades y proporcionar un exploit no causará problemas. Tenga en cuenta que las vulnerabilidades a veces tienen el propósito de demostrar que una vulnerabilidad específica es peligrosa y debe abordarse.

En cuanto a la demanda, los cargos que usted enfrenta variarán dependiendo del daño, pero eso no significa con seguridad que enfrentará un castigo legal. Se puede argumentar que (como consumidor) la divulgación de vulnerabilidades (o la prueba de que las vulnerabilidades son peligrosas, por ejemplo, explotaciones) sobre un producto que consume es su derecho legal. Como ha pagado por el producto / servicio, espera la mejor calidad de servicio y ciertas vulnerabilidades en ese producto pueden perjudicarlo a usted y a otros clientes.

Sin embargo, si su exploit se utiliza para cualquier actividad ilegal (por ejemplo, causando daños financieros a la empresa), usted será legalmente responsable independientemente de que la compañía presente una demanda en su contra o no.