Esistono leggi per proteggerci dagli hacker che rivelano vulnerabilità prima di avvisare il fornitore?

3

Prendi l'esempio della recente divulgazione delle vulnerabilità di ASP.NET (e Java Server Faces) a una conferenza di hacker in Brasile. Ho capito che lo strumento poeta è stato dimostrato prima che Microsoft fosse a conoscenza del problema.

Esistono leggi per proteggere i clienti legittimi da persone che incitano la comunità degli hacker a iniziare a hackerare tutti i server ASP.NET che possono? Chissà quante aziende legittime sono state compromesse tra quando lo strumento è stato demoato e la patch è stata applicata al server.

    
posta random65537 13.10.2010 - 04:42
fonte

4 risposte

9

Nessuno che io sappia e probabilmente non dovrebbe esserlo neanche.

Who knows how many legitimate businesses were compromised between when the tool was demoed and the patch was applied to the server.

Chissà quanti affari legali sono stati compromessi prima che lo strumento fosse demoato? Sembra che tu stia supponendo che a causa di questa dimostrazione in una conferenza in Brasile, quello sia stato il primo a essere sentito da tutti i cattivi.

    
risposta data 13.10.2010 - 04:51
fonte
5

Dove si applicano le leggi? Se lo strumento è stato demoato in Brasile, presumibilmente dovrebbe essere la legge brasiliana che viene applicata. Quindi, anche se era una legge degli Stati Uniti che proteggeva le aziende, non avrebbe aiutato perché non puoi perseguire qualcuno in Brasile per aver violato una legge degli Stati Uniti.

Potresti riuscire a far passare una legge come quella negli Stati Uniti, e probabilmente anche in altri paesi (sono sicuro che saresti in grado di far passare il mio paese, l'Australia, come anche la legge , con un po 'di lobbying). Ma buona fortuna se ne ottiene uno equivalente in Cina, in Russia o in uno dei tanti paesi in cui "l'hacking" è più diffuso comunque.

    
risposta data 13.10.2010 - 06:41
fonte
3

Nel caso generale, no. Non è illegale scoprire un problema di sicurezza. Non è illegale (e sostengo che non dovrebbe essere) discuterne con altre persone prima di notificare il venditore.

È (in molti, probabilmente la maggior parte delle giurisdizioni) illegale usare un difetto di sicurezza, senza previa autorizzazione del proprietario della macchina su cui lo stai utilizzando.

Tuttavia, se chiedi "è etico", dovrei dare un altro po 'di copertura alle mie risposte. Può essere etico, può non essere etico, dipende da molte variabili.

Hai anche il problema di "cosa fare se il venditore non risponde". Dal mio punto di vista, questo è diventato meno comune in questi giorni, ma in passato ci sono stati diversi casi in cui i ricercatori di sicurezza hanno segnalato a un fornitore una falla di sicurezza esistente e il venditore non ha fatto nulla per anni, finché non hanno finalmente pubblicato il ricerca (a volte, ma non sempre, suggerita dal vedere il buco di sicurezza usato dal cracking degli strumenti in natura).

    
risposta data 13.10.2010 - 13:49
fonte
2

Molti EULA proibiscono il reverse engineering. Questo potrebbe essere un possibile angolo di attacco legale.

    
risposta data 13.10.2010 - 09:45
fonte

Leggi altre domande sui tag