Si encuentro o creo un exploit de 0 días, ¿puedo ser responsable de liberarlo al público?

16

Si encontré o creé un 0día y decidí liberarlo inmediatamente en el campo (Dando un P.o.c w / source). Pero no usarlo para explotar realmente nada. ¿Puedo ser responsable de ello?

    
pregunta Digital fire 22.10.2012 - 17:04
fuente

3 respuestas

17

Primero, no soy abogado. En segundo lugar, esto depende completamente de sus leyes locales. Solo puedo hablar por mi experiencia limitada con las leyes del Reino Unido y EE. UU.

En la mayoría de los países, está cubierto por las leyes de libertad de expresión, asumiendo que la información que está liberando no está protegida por algún tipo de acuerdo de no divulgación, y no está clasificada como un secreto militar. Si encontró el día 0 como parte de una prueba que realizó mientras fue contratado por la empresa, es probable que esté restringido por obligaciones contractuales (por ejemplo, un NDA ). Cualquier tipo de información que un gobierno clasifique como secreto estará cubierta por un estatuto (por ejemplo, la Ley de Secretos Oficiales en el Reino Unido o la Ley de Espionaje de 1917 en los Estados Unidos), que hace que la distribución de esa información sea ilegal. En los casos privados en los que no tiene afiliación con la compañía que produce el software, generalmente no es responsable. Usted está publicando información de investigación sobre uno de sus productos, que debería tener derecho a hacer como parte de la legislación estándar de libertad de expresión.

Sin embargo, esto no quiere decir que estaría 100% descolgado en casos privados. Dependiendo de la situación, una compañía puede decidir proceder con una demanda civil para reclamar daños y perjuicios. No tengo conocimiento de ningún caso tan exitoso, pero es algo a tener en cuenta.

Al final, siempre es mejor seguir Ley de Wheaton : "Don ¡No seas un imbécil! ": practica divulgación responsable y mantén una buena relación con los proveedores que usted contacto. Podría terminar siendo muy lucrativo desde el punto de vista de las recompensas y las perspectivas de empleo.

    
respondido por el Polynomial 22.10.2012 - 17:21
fuente
2

Depende de dónde estés, pero en general no. En Alemania, te podrían acusar teóricamente de un delito, no solo de una demanda, aunque es muy poco probable que suceda. En la mayor parte del mundo, nada te sucedería, además de ser flameado, castigado y vilipendiado. Después de todo, esto ha ocurrido antes, varias veces, y aunque probablemente reciba una gran cantidad de dolor, no hay precedentes para una demanda basada en la divulgación de información sobre una vulnerabilidad.

Piénsalo de esta manera, ¿por qué podrían demandarte? Usted no escribió el software, lo hizo un desarrollador, y los desarrolladores no son demandados por errores de seguridad (si lo hicieran, las cosas cambiarían rápidamente, ¿no es así?), ¿Cómo puede ser demandado por encontrar uno? Establecería un terrible precedente ya que nadie buscaría errores si los demandaran por encontrarlos, por lo que los únicos que encontrarían errores serían los criminales, y no los sacarían a la luz.

Éticamente, aunque realmente deberías notificar al desarrollador del software y darles la oportunidad de parchearlo antes de lanzarlo. Es un buen karma.

    
respondido por el GdD 22.10.2012 - 17:21
fuente
2

Nuevamente, no soy abogado ni nada, pero sé que en el Reino Unido y en virtud de la Ley de uso indebido de computadoras de 1990, sección 3a:

  

3a: Fabricación, suministro u obtención de artículos para su uso como delito en la sección 1 o 3

     
  1. Una persona es culpable de una ofensa si hace, adapta, suministra o   ofrece suministrar cualquier artículo que pretenda ser utilizado para cometer, o para   asistir en la comisión de una ofensa bajo la sección 1 o 3.
  2.   
  3. A   la persona es culpable de un delito si suministra u ofrece para suministrar   artículo creyendo que es probable que se use para cometer, o para ayudar   en la comisión de, una ofensa bajo la sección 1 o 3.
  4.   
  5. una persona es   culpable de un delito si obtiene algún artículo con miras a su   siendo suministrados para su uso para comprometerse, o para asistir en la comisión de,   una ofensa bajo la sección 1 o 3.
  6.   
  7. En esta sección, el "artículo" incluye   Cualquier programa o dato en formato electrónico.
  8.   
  9. Una persona culpable de un   la ofensa bajo esta sección será responsable— (a) en sentencia sumaria   En Inglaterra y Gales, a prisión por un período no superior a 12   meses o hasta una multa que no exceda el máximo legal o a ambos;   (b) en sentencia sumaria en Escocia, a prisión por un término no   superior a seis meses oa una multa que no supere el máximo legal   oa ambos; (c) en sentencia condenatoria, a prisión por un término   no más de dos años o una multa o ambos.
  10.   

Por lo tanto, en el Reino Unido estaría suministrando un exploit y, por lo tanto, infringiría la Ley, ya que esto puede tener un efecto en las Secciones 1-3.

    
respondido por el LukeJenx 23.10.2012 - 22:41
fuente

Lea otras preguntas en las etiquetas