Opinons: segnalare o non segnalare? CFAA vs White Hat [chiuso]

1

Come sono sicuro che la maggior parte delle persone qui sia a conoscenza, di recente c'è stata molta attenzione alla Computer Fraud and Abuse Act (CFAA) degli Stati Uniti. Breve storia: un ricercatore di sicurezza ha scoperto che un operatore di telefonia mobile ha reso disponibili gli indirizzi e-mail dei propri clienti attraverso un servizio non autenticato. Lo ha indicato e ora potrebbe passare diversi decenni dietro le sbarre. Ulteriori informazioni: link

Senza entrare nella mania di "#FreeWeev", sono curioso di sapere come la gente della sicurezza stia elaborando queste informazioni e se possa dissuadere dal segnalare un problema di sicurezza identificato legittimamente. Ovviamente le persone negli Stati Uniti avranno un po 'più di contesto sulla questione, ma accolgo apertamente tutti i punti di vista sulla questione.

Queste sentenze ti terranno lontano dal tuo lavoro o lo cambieranno? Se sì, come?

Grazie!

    
posta grauwulf 22.11.2012 - 00:22
fonte

2 risposte

1

Riguardo al modo (e se) di rivelare le vulnerabilità, quell'argomento è già stato ampiamente trattato su questo sito.

Per quanto riguarda l'affrontare un difetto potenzialmente imbarazzante con una potente organizzazione, ricorda questo piccolo gioiello:

Alle organizzazioni potenti non piace essere imbarazzati. E un modo per salvare la faccia è quello di incriminare il messaggero ("guarda, non siamo irresponsabili, è un terrorista"), e così facendo, è necessaria una certa quantità di autoprotezione. Forse dovresti rimanere anonimo. Forse dovresti cercare un avvocato. Forse dovresti lavorare attraverso una terza parte (ad esempio, una società di sicurezza).

Certamente ciò che dovresti non fare è sfoggiare la vulnerabilità in uno spettacolo di derisione sarcastica e auto-promozione. Può essere sicuro di colpire l'orso con un bastone abbastanza lungo, ma l'unico modo per sapere con certezza è un'analisi post-mortem degli eventi. Probabilmente è meglio non colpire l'orso se vuoi stare dalla parte della sicurezza.

    
risposta data 22.11.2012 - 07:08
fonte
0

Questa area di argomento generale è stata descritta in A che punto "l'hacking" diventa illegale? (USA) , che include riferimenti ad altri professionisti della sicurezza che sono stati interessati da queste leggi.

Vedi anche Trovato vulnerabilità della sicurezza, cosa dovrei fare? , che copre un'area correlata.

    
risposta data 22.11.2012 - 01:45
fonte

Leggi altre domande sui tag