Se ho trovato o creato un 0day e ho deciso di rilasciarlo immediatamente in the wild (dando un P.o.c w / source). Ma non usarlo per sfruttare effettivamente qualcosa. Posso essere ritenuto responsabile per questo?
Se ho trovato o creato un 0day e ho deciso di rilasciarlo immediatamente in the wild (dando un P.o.c w / source). Ma non usarlo per sfruttare effettivamente qualcosa. Posso essere ritenuto responsabile per questo?
Per prima cosa, non sono un avvocato. Secondo, dipende completamente dalle leggi locali. Posso solo parlare per la mia limitata esperienza con la legge del Regno Unito e degli Stati Uniti.
Nella maggior parte dei paesi, sei coperto dalle leggi sulla libertà di parola, assumendo che le informazioni che stai rilasciando non siano protette da qualche forma di accordo di non divulgazione e non siano classificate come segreto militare. Se hai trovato il 0day come parte di un test che hai eseguito mentre assunto dalla società, è probabile che tu sia limitato da obblighi contrattuali (ad esempio un NDA ). Qualsiasi forma di informazione classificata da un governo come segreta sarà coperta da uno statuto (ad esempio, la legge sui segreti ufficiali nel Regno Unito o lo spionaggio del 1917 negli Stati Uniti), che rende illegale la distribuzione di tali informazioni. Per casi privati in cui non si ha affiliazione con la società che produce il software, di solito non si è responsabili. Stai pubblicando informazioni investigative su uno dei loro prodotti, che dovresti avere il diritto di fare come parte della legislazione standard sulla libertà di parola.
Tuttavia, questo non vuol dire che sarai al 100% fuori dai guai in casi privati. A seconda della situazione, una società potrebbe decidere di procedere con una causa civile per richiedere il risarcimento dei danni. Non sono a conoscenza di casi di questo tipo, ma è qualcosa da considerare.
Alla fine, è sempre meglio seguire Wheaton's Law : "Don 't be a dick! " - pratica rivelazione responsabile e mantieni una buona relazione con i venditori che contatti. Potrebbe finire per essere molto redditizio dal punto di vista di entrambi i premi e le prospettive di occupazione.
Dipende da dove ti trovi, ma nel complesso no. In Germania si potrebbe teoricamente essere accusati di un crimine, non solo denunciati, anche se è estremamente improbabile che ciò accada. Nella maggior parte del mondo non ti accadrebbe nulla oltre a essere fiammeggiato, castigato e diffamato. Dopotutto, questo è successo prima, molte volte, e anche se probabilmente avrai un carico di dolore, non c'è alcun precedente per una causa basata sul rilascio di informazioni su una vulnerabilità.
Pensaci in questo modo, per cosa potrebbero farti causa? Non hai scritto il software, lo sviluppatore ha fatto e gli sviluppatori non vengono denunciati per problemi di sicurezza (se lo facessero, le cose cambierebbero di fretta, vero?), Quindi come puoi essere denunciato per averne trovato uno? Stabilirebbe un terribile precedente perché nessuno cercherebbe bug se fossero stati citati in giudizio per averli trovati, quindi gli unici che avrebbero trovato bug sarebbero stati i criminali e non li avrebbero portati allo scoperto.
Eticamente però dovresti davvero notificare lo sviluppatore del software e dare loro la possibilità di applicarlo in patch prima di rilasciarlo. È un buon karma.
Ancora una volta non sono un avvocato o altro, ma so che nel Regno Unito e sotto Computer Computer Act Act 1990, sezione 3a:
3a: Making, supplying or obtaining articles for use in offence under section 1 or 3
- A person is guilty of an offence if he makes, adapts, supplies or offers to supply any article intending it to be used to commit, or to assist in the commission of, an offence under section 1 or 3.
- A person is guilty of an offence if he supplies or offers to supply any article believing that it is likely to be used to commit, or to assist in the commission of, an offence under section 1 or 3.
- A person is guilty of an offence if he obtains any article with a view to its being supplied for use to commit, or to assist in the commission of, an offence under section 1 or 3.
- In this section “article” includes any program or data held in electronic form.
- A person guilty of an offence under this section shall be liable— (a)on summary conviction in England and Wales, to imprisonment for a term not exceeding 12 months or to a fine not exceeding the statutory maximum or to both; (b)on summary conviction in Scotland, to imprisonment for a term not exceeding six months or to a fine not exceeding the statutory maximum or to both; (c)on conviction on indictment, to imprisonment for a term not exceeding two years or to a fine or to both.
Pertanto nel Regno Unito forniresti un exploit e quindi infrangere la legge in quanto ciò potrebbe avere un effetto sulle Sezioni 1-3.