Disclosures responsabili e Inquisizione

Benvenuti nell'enigma del settore della sicurezza e perché è più redditizio essere un cattivo che un buon.

Ricorda questo su "essere citato in giudizio" ... Chiunque può fare causa a qualcuno - anche se non c'è nulla di giustificato da citare in giudizio. Se un'entità ha denaro per citare in giudizio l'entità che non ha denaro per combatterlo perde, quasi automaticamente. 50% del tempo o più, se vieni denunciato per alcune di queste cose, devi anche combattere allo stesso tempo le autorità criminali o regolamentari statali o federali (o equivalenti del tuo paese).

Questo è il motivo per cui l'insicurezza regnerà sempre, e perché sono sicuro che nessuno vorrà ripararlo.

Qui negli Stati Uniti, se persino inavvertitamente trovi un problema e lo comunichi al proprietario di un prodotto potresti trovarti di fronte alla loro collera civile (legale), potresti trovarti di fronte a DMCA e altri. Cosa intendo per inavvertitamente? Potrei fare il debug di quello che penso sia un problema con il mio computer locale che agisce in modo vago e decompilabile, o il codice sorgente di una terza parte (dove trovo il problema). Ora ricorda che stanno causando il problema alla mia macchina e sto cercando di capirlo ... Non appena lo trovo, e lo riferisco, potrei trovarmi in quest'area grigia.

E non sono nemmeno "hackerato" di per sé.

Quindi le regole sono state scritte male e male per consentire la divulgazione pubblica. Penso che sia per questo che le organizzazioni che vogliono trovare bug e problemi di sicurezza hanno creato programmi di "bug bounty" molto aperti e chiari e lo fanno con un approccio molto "open kimono".

Quello che ho visto lavorare in assenza di quelli, è fare quello che molti ricercatori fanno ... creare account anonimi su cui puoi riportare le informazioni alle organizzazioni e non prenderne il merito fino a che dopo che è stato curato - immagino che sia a meno che non si stia hackerando Facebook. Sembra che tutti siano sulla faccia di Facebook a hackerarlo in modo aggressivo e pubblico:).

Se un'azienda riconosce che i problemi di sicurezza sono stati segnalati da test di penetrazione non richiesti, stanno essenzialmente ammettendo di avere sistemi non sicuri disponibili pubblicamente. Inoltre, il test di penetrazione non richiesto è un attacco ai loro sistemi, quindi, mentre potresti essere il cavaliere in armatura splendente per aiutarli a proteggere i loro sistemi e i dati dei loro clienti, stai anche infrangendo la legge e considerando di conseguenza.

Esistono organismi che possono essere informati dei problemi identificati sui siti e che informeranno il sito / imprenditore in un processo di "divulgazione responsabile". Informa il proprietario del problema e fornisci loro il tempo di risolverlo, informale 3 mesi dopo se non risolto, pubblica se non risponde / risolve.

Come fai notare, è più o meno un'area grigia. Detto questo, se un ricercatore di sicurezza rivela una vulnerabilità al venditore senza causare problemi, rilasciando informazioni riservate, ecc., Il venditore non ha motivo di citare in giudizio o portare accuse penali contro il ricercatore - non vorrebbero che i ricercatori rivelassero a piuttosto che rilasciare o usare lo 0-day?

(Cerca "Weev" per un caso che non è andato molto bene ...)