Si encontré o creé un 0día y decidí liberarlo inmediatamente en el campo (Dando un P.o.c w / source). Pero no usarlo para explotar realmente nada. ¿Puedo ser responsable de ello?
Si encontré o creé un 0día y decidí liberarlo inmediatamente en el campo (Dando un P.o.c w / source). Pero no usarlo para explotar realmente nada. ¿Puedo ser responsable de ello?
Primero, no soy abogado. En segundo lugar, esto depende completamente de sus leyes locales. Solo puedo hablar por mi experiencia limitada con las leyes del Reino Unido y EE. UU.
En la mayoría de los países, está cubierto por las leyes de libertad de expresión, asumiendo que la información que está liberando no está protegida por algún tipo de acuerdo de no divulgación, y no está clasificada como un secreto militar. Si encontró el día 0 como parte de una prueba que realizó mientras fue contratado por la empresa, es probable que esté restringido por obligaciones contractuales (por ejemplo, un NDA ). Cualquier tipo de información que un gobierno clasifique como secreto estará cubierta por un estatuto (por ejemplo, la Ley de Secretos Oficiales en el Reino Unido o la Ley de Espionaje de 1917 en los Estados Unidos), que hace que la distribución de esa información sea ilegal. En los casos privados en los que no tiene afiliación con la compañía que produce el software, generalmente no es responsable. Usted está publicando información de investigación sobre uno de sus productos, que debería tener derecho a hacer como parte de la legislación estándar de libertad de expresión.
Sin embargo, esto no quiere decir que estaría 100% descolgado en casos privados. Dependiendo de la situación, una compañía puede decidir proceder con una demanda civil para reclamar daños y perjuicios. No tengo conocimiento de ningún caso tan exitoso, pero es algo a tener en cuenta.
Al final, siempre es mejor seguir Ley de Wheaton : "Don ¡No seas un imbécil! ": practica divulgación responsable y mantén una buena relación con los proveedores que usted contacto. Podría terminar siendo muy lucrativo desde el punto de vista de las recompensas y las perspectivas de empleo.
Depende de dónde estés, pero en general no. En Alemania, te podrían acusar teóricamente de un delito, no solo de una demanda, aunque es muy poco probable que suceda. En la mayor parte del mundo, nada te sucedería, además de ser flameado, castigado y vilipendiado. Después de todo, esto ha ocurrido antes, varias veces, y aunque probablemente reciba una gran cantidad de dolor, no hay precedentes para una demanda basada en la divulgación de información sobre una vulnerabilidad.
Piénsalo de esta manera, ¿por qué podrían demandarte? Usted no escribió el software, lo hizo un desarrollador, y los desarrolladores no son demandados por errores de seguridad (si lo hicieran, las cosas cambiarían rápidamente, ¿no es así?), ¿Cómo puede ser demandado por encontrar uno? Establecería un terrible precedente ya que nadie buscaría errores si los demandaran por encontrarlos, por lo que los únicos que encontrarían errores serían los criminales, y no los sacarían a la luz.
Éticamente, aunque realmente deberías notificar al desarrollador del software y darles la oportunidad de parchearlo antes de lanzarlo. Es un buen karma.
Nuevamente, no soy abogado ni nada, pero sé que en el Reino Unido y en virtud de la Ley de uso indebido de computadoras de 1990, sección 3a:
3a: Fabricación, suministro u obtención de artículos para su uso como delito en la sección 1 o 3
- Una persona es culpable de una ofensa si hace, adapta, suministra o ofrece suministrar cualquier artículo que pretenda ser utilizado para cometer, o para asistir en la comisión de una ofensa bajo la sección 1 o 3.
- A la persona es culpable de un delito si suministra u ofrece para suministrar artículo creyendo que es probable que se use para cometer, o para ayudar en la comisión de, una ofensa bajo la sección 1 o 3.
- una persona es culpable de un delito si obtiene algún artículo con miras a su siendo suministrados para su uso para comprometerse, o para asistir en la comisión de, una ofensa bajo la sección 1 o 3.
- En esta sección, el "artículo" incluye Cualquier programa o dato en formato electrónico.
- Una persona culpable de un la ofensa bajo esta sección será responsable— (a) en sentencia sumaria En Inglaterra y Gales, a prisión por un período no superior a 12 meses o hasta una multa que no exceda el máximo legal o a ambos; (b) en sentencia sumaria en Escocia, a prisión por un término no superior a seis meses oa una multa que no supere el máximo legal oa ambos; (c) en sentencia condenatoria, a prisión por un término no más de dos años o una multa o ambos.
Por lo tanto, en el Reino Unido estaría suministrando un exploit y, por lo tanto, infringiría la Ley, ya que esto puede tener un efecto en las Secciones 1-3.