Etica e ricerca libera senza soluzione praticabile [duplicato]

Beh, ci sono un paio di aspetti da considerare qui, come è stato detto che non c'è una risposta chiara.

Da una parte hai identificato correttamente i rischi della divulgazione pubblica senza una facile riparazione, ovvero che gli aggressori possono trarre vantaggio dal problema.

Tuttavia ci sono anche dei rischi con il non rilascio pubblicamente. Ad esempio, è del tutto possibile che altre entità abbiano già scoperto e stiano sfruttando il problema che hai riscontrato. Pubblicando, quindi, livellerai il campo di gioco consentendo ai difensori di trovare soluzioni e mitigazioni, cosa che probabilmente non potranno fare senza dettagli sul problema.

Anche se potrebbe non esserci alcuna correzione, parlando in termini generali ci sono altre attenuazioni che possono essere applicate alla maggior parte dei problemi di sicurezza tecnica una volta conosciuti (ad esempio monitoraggio aggiuntivo degli host, blocco dei sistemi di attacco) ecc.

Quello che potresti voler fare è contattare un'agenzia per discutere del problema e vedere come coinvolgere le persone del settore / tecnico appropriato per esaminare la divulgazione coordinata. Se osservi alcuni dei maggiori problemi di impatto che sono emersi negli ultimi due anni, questo è generalmente l'approccio migliore.

Riguardo a chi contattare, un'opzione potrebbe essere quella di parlare a qualcuno come CERT che è abituato a coordinare la divulgazione di problemi.

Eticamente, dovresti essere guidato da quale percorso fa il minimo danno. Questo probabilmente significa che dovresti rilasciare le informazioni responsabilmente . Solo in un mondo in cui sei più intelligente di tutti gli altri il silenzio può limitare i danni.

La mia opinione è che rilasciare le informazioni fa il minimo danno perché:

1. Non puoi presumere di essere l'unica persona abbastanza intelligente da trovare questo problema. Inoltre, è ragionevole presumere che le probabilità che qualcun altro la scopra e che siano maliziose siano superiori a quelle non dannose.
2. Allo stesso modo, tu dici che è difficile o impossibile da applicare, ma esponendo il problema a un numero maggiore di occhi aumenta la possibilità che qualcuno sviluppi una patch o un controllo compensativo che abbassi ragionevolmente il rischio.

In genere, la divulgazione responsabile significa contattare prima il proprietario e inoltrare a un annuncio pubblico se non desidera o non è in grado di risolvere il problema entro un periodo di tempo ragionevole.

Anche se non ho mai pubblicato alcuna ricerca di tale importanza, ogni tanto metto qualche pensiero su questo particolare problema. Questa è la mia opinione sulle cose:

Prima di tutto: non c'è soluzione / risposta corretta a questa domanda. Secondo la natura dell'etica, è supponente.

Si verificano sempre errori e perdite di sicurezza. Gli sviluppatori di software fanno del loro meglio per evitarlo, ma l'errore umano si aggiunge sempre ad esso. Conoscere un problema è meglio del contrario. Se le persone conoscono il difetto di sicurezza che hai scoperto, possono smettere di usare la tecnologia interessata e passare a un'alternativa (che è probabilmente più sicura da usare). Se la gente non lo sapesse e qualcuno con intenzioni malevole scopre il difetto, il danno sarà molto maggiore se le persone possono prendere le percolazioni.

Se fossi nella tua posizione, la pubblicherei.