Dovresti avvisare i produttori di software che il loro software è stato violato?

5

Chiedo scusa se questo non è il posto giusto per porre questa domanda, lo mando volentieri su un altro sito Stack Exchange se necessario.

Prima di spiegare la logica alla base della domanda, permettimi di chiarire alcune cose.

  1. Mi piacciono i software di cracking, per i miei scopi didattici.
  2. Non partecipo o lavoro per nessun gruppo di cracking.
  3. Non rilascio mai né pubblicizzo cracks / keygens e non li uso per guadagno personale.
  4. Tento di proteggere meglio il mio software basandomi sui difetti che scopro nel software di altre persone.
  5. Io stesso sono un fornitore di software e odierò che il mio lavoro venisse piratato, quindi pago volentieri le licenze e sarei grato se qualcuno mi contattasse e indicasse difetti nel mio software.

Con ciò, la mia domanda è, se riesco a decifrare con successo un pezzo di software (giochi, componenti, ecc.) dovrei informare il venditore che il software è vulnerabile, o semplicemente tenerlo per me ?

Ho notificato alcune persone / aziende (in genere sviluppatori di piccole dimensioni) in passato in cui tutti hanno apprezzato il feedback e successivamente hanno rafforzato il controllo delle licenze di conseguenza. Dovrei farlo regolarmente o posso mettermi nei guai seri anche solo per tentare di decodificare qualcosa? Non addebito né provo a ricattare persone, totalmente al di sopra del bordo con piena divulgazione.

Il mio EULA recita " La ridistribuzione del codice sorgente è severamente proibita mediante reverse engineering o altro " che evidenzia chiaramente la redistribuzione, non il guadagno personale o anche l'auto miglioramento (non ho idea, non sono un avvocato).

Questo dilemma morale mi ha infastidito per un bel po 'e mi piacerebbe fare rapporto ai fornitori in modo che possano evitare di essere compromessi. Non sono sicuro se tutti saranno disponibili a riguardo e potrebbero anche essere offesi.

    
posta BrutalDev 22.02.2014 - 22:29
fonte

5 risposte

1

Sei eticamente obbligato a segnalarlo, ma per la tua stessa protezione dovresti farlo in modo anonimo.

Ci sono alcune aziende che accolgono le persone per aver segnalato difetti di sicurezza nei loro prodotti. Alcuni hanno persino programmi di taglie di bug pubblici in cui ricompensano finanziariamente le persone per averlo fatto.

Ma sfortunatamente non tutte le aziende hanno questa posizione.

Ci sono anche aziende, di solito guidate da manager meno esperti di tecnologia, che hanno una mentalità completamente diversa. Credono che quando vengono hackerati, non è colpa loro, è colpa degli hacker. Quindi sparano al messaggero. Ci sono incidenti di aziende che perseguitano hacker bianchi e persino i loro stessi impiegati per sabotaggio e spionaggio informatico, anche quando non hanno fatto alcun danno e hanno avuto solo le migliori intenzioni.

Per essere salvato da tale procedimento, assicurati di:

  • Segnala il problema in modo anonimo
  • Non essere accondiscendente
  • Fai notare che non hai fatto alcun danno
  • Fai notare che non hai esposto la vulnerabilità a una terza parte e che non intendi farlo.
  • Cerca di non sembrare troppo allarmista, quindi il tuo messaggio non può essere confuso con un tentativo di minaccia o estorsione.
risposta data 23.02.2014 - 13:46
fonte
2

Tutti i produttori di software sanno che il loro software può e sarà sempre rotto. Il software è stato violato per tutto il tempo che c'è stata la licenza o la protezione dalla copia. I gruppi di cracking risalgono agli anni '80 e gli schemi di protezione delle copie arrivavano fino a perforare i buchi fisici in un settore specifico nei dischetti. A quel settore non è mai stato possibile scrivere sul disco originale e quindi, se si è tentato di scrivere su di esso, e ha funzionato, sapevi che il software era stato copiato. Questo problema è stato risolto e il software è stato copiato e distribuito in tutto il paese su BBS. Ogni schema di protezione e licenza del software che è stato provato è stato violato. Il licensing del software non è pensato per essere sicuro al 100%, è pensato per mantenere oneste le persone oneste. Questo è tutto.

Dovresti dirglielo? Se ti interessa il software in questione e vuoi migliorarlo di più, probabilmente no. O accadrà una delle due cose. Il venditore (giustamente) lo ignorerà. Oppure qualcuno della compagnia avrà l'idea che la protezione debba essere "riparata" perché qualcuno l'ha sconfitta. Sarà quindi necessario spendere inutilmente per creare uno schema di protezione ancora diversa, e il ciclo continuerà.

In ogni caso, stai sprecando il tuo tempo a segnalarlo o gli sviluppatori software hanno il tempo di "aggiustare" il software danneggiato.

Con tutti i mezzi continui a scansionare il software. È un gioco interessante da giocare e molti si sono divertiti a scavalcare la barriera solo per la sfida. Ma non illuderti di aver trovato qualche difetto critico, che se qualcuno lo risolve sarà di nuovo indistruttibile.

    
risposta data 10.02.2015 - 00:06
fonte
1

Credo che tutto dipenda dalla compagnia che è.

Ma come risposta, raccomanderei di non avvisare. Perché se la compagnia decide di citare in giudizio, perderai così tanto tempo e fatica per nulla. E anche se questo ha una bassa probabilità di accadere, in particolare con le aziende più piccole, il bilanciamento del rischio è ancora molto negativo.

Sono stato nello stesso caso come te, e mai informato. E sono felice di questa decisione 10 anni dopo.

    
risposta data 22.02.2014 - 23:23
fonte
1

Se ti infilo in un software che ho scritto, preferirei essere il primo a saperlo piuttosto che l'ultimo .. Se tu mi dicessi come lo hai fatto ed è stato abbastanza creativo potrei persino parlare con i miei datori di lavoro pagandoti come consulente. Finché è stato fatto per ragioni non dannose, sono d'accordo.

Ma se entri in un sistema che eseguo, mantieni o ti ho costruito e ne arrechi danno, o lo usi per altri mezzi (come lanciare istanze aws che mi costano denaro o usarlo come parte di una rete bot, rubare i dati degli utenti, danneggiare il database, interrompere i processi che devono essere eseguiti, ecc.), ho una serie speciale di abilità, ti troverò, ti darò la caccia.

    
risposta data 09.02.2015 - 19:22
fonte
-1

Dovresti sempre segnalarlo. Utilizza mezzi anonimi.

Hai violato un sistema e molto probabilmente hai lasciato una traccia di log. Se qualcuno rileva cerca di analizzare la violazione, spenderà risorse che altrimenti non avrebbero. Questo è uno spreco di risorse e danneggia economicamente tutti.

Che cosa succede se non si segnala la violazione del cappello bianco e quindi una violazione dei cappelli neri e si rilascia informazioni private, ferendo persone e imprese? La società ha perso di nuovo. Rifiuti.

Penso che se puoi passare diverse ore a hackerare un sistema, puoi dedicare 5 minuti a dire ai proprietari di cosa c'è di sbagliato nel loro sistema. Sei abbastanza competente da farlo in modo anonimo per mitigare eventuali ritorsioni.

Non permettere ai tuoi desideri egoistici di ferire inutilmente gli altri.

    
risposta data 23.02.2014 - 08:44
fonte

Leggi altre domande sui tag