Implicatii legale

[malsploit]

Salutare!

Am o nelamurire. Teoretic, eu gasesc un sqli in microsoft/yahoo/google , il raportez, primesc mail cu multumiri. Primesc si confirmarea ca il vor rezolva si dup-aia, cu acordul lor, fac publica vulnerabilitatea.

Se poate trezi vreun nene de pe la vreo institutie a statului si sa ma traga de urechi, pentru vreo incalcare a legii? adica se poate autosesiza, fara vreo plangere oficiala?

Si nu, nu am prea mult timp liber!

[kiss]

Teoretic , totul pleaca de la o sesizare . Nu cred ca se autosesizeaza cineva .

[TheTime]

Se pot autosesiza doar daca vulnerabilitatea facuta publica de tine este folosita de tine sau de altcineva pentru a face pagube. Cum tu publici vulnerabilitatea doar dupa ce a fost reparata, totul ar trebui sa fie roz.

[.Slacker]

Si daca o vor face, le arati confirmarea

[mihaibelu]

Nu va mai speriati asa la orice sesizare si autosesizare. Atunci cand faceti o fapta trebuie sa luati in calcul faptul ca ar putea veni mascatii... Asta nu e sfarsitul lumii!!! Gaborii si procurorii spun de toata lumea ca face fapte, chiar si de cei care nu fac. Ideea e ce zice judecatorul.

In cazul de fata, daca descoperi problema intamplator, iar accesul la un sistem informatic se face fara intentie NU EXISTA INFRACTIUNE!

Chiar daca vine un procuror sau un gabor si zice ceva, e treaba lui... se judeca. Faptul ca a venit sa zica ce are de zis insotit de mascati nu inseamna nimic.

[Andrei]

Cei pe care i-ai exemplificat tu nu au nicio treaba cu chestia asta, e au programe de bug bounty, atata timp cat nu folosesti tu in chestii rele vulnerabilitatea si victima ta intra in legatura cu organe abilitate sa te salte, nu ai de ce sa iti faci griji.

In principiu, merge asa cam in orice tine, daca tu raportezi si le dai sa spunem 24-48 de ore sa-si patchuiasca e ok. Daca e patch-uit poti publica tot vectorul, in caz contrar e de preferat sa-l maschezi si la finalul articolului sa mentionezi ca ai primit email de confirmare de la ei cu privire la faptul ca se vor ocupa. Sunt masuri simple.

LE: La Yahoo, poti publica fara sa le ceri acordul pentru ca nu se vor complica sa iti raspunda de cele mai multe ori decat daca mai au nevoie de detalii.

[jetus]

Din cate stiu eu daca se doveste ca tu ai publicat vulnerabilitatea pentru a face altcineva prostii poti fi tras la raspundere

[pedala1]

Din cate stiu eu daca se doveste ca tu ai publicat vulnerabilitatea pentru a face altcineva prostii poti fi tras la raspundere

Mi se pare absurd. Cum pot demostra ei ca tu nu ai gasit vulerabilitatea postata in alta parte si doar ai repostat`o ? Daca victima nu face sesizare nu au ce sa iti faca

[Andrei]

Din cate stiu eu daca se doveste ca tu ai publicat vulnerabilitatea pentru a face altcineva prostii poti fi tras la raspundere

Dupa logica ta cei care au facut Metasploit, Backtrack si uneltele de pe acolo ar trebui sa fie trasi la raspundere. Right?

[Aghast]

Din pacate tin sa va contazic.

Un tip cu intentii bune a gasit un SQLi pe un site al unui client. Acel site a fost facut de compania la care lucrez si intradevar scapase un SQLi.

Din bunavointa tipul a trimis un mail la respectivul client prin care spunea ce a gasit si ruga sa fie corectata problema.

Reactia clientului?

Ne pune pe noi sa ii cautam prin loguri, sa vedem cine ce a accesat. Sarcina imi revine mie. Din loguri se vede clar ca tipul a dar mai multe incercari de SQLi si in momentul in care i-a reusit unul s-a oprit. Norocul lui a fost ca s-a conectat prin Tor.

Termin de parsat logurile, raportez "superiorilor" faptul ca l-am gasit, ca nu avea intentii rele, ca era conectat prin Tor, s-o lasam balta.

Conducerea totusi se hotaraste sa trimita clientului ceea ce am gasit prin loguri(de parca aveau ce face cu un IP de Tor) iar clientul, din "bunavointa" face o sesizare la politie da IP-ul de Tor si specifica faptul ca a fost atacat informatic.

Politia ajunge si pe la noi, ajung sa dau declaratii despre ce am gasit prin loguri. Le explic si la destepti ca nu era tipul cu intentii rele si ca nu au cum sa il gaseasca dupa IP si asta basta.

Concluzia, puteti fi voi cu intentii bune si sa raportati gauri la proprietarii de site, daca prindeti un proprietar incult, care da click pe popupuri cu "you are the 1000000 visitor" tot o sa simta "jignit" ca ii faceti bine si o sa incerce sa va faca rau. Din pacata asta e cultura pe la noi.

[Andrei]

Concluzia, puteti fi voi cu intentii bune si sa raportati gauri la proprietarii de site, daca prindeti un proprietar incult, care da click pe popupuri cu "you are the 1000000 visitor" tot o sa simta "jignit" ca ii faceti bine si o sa incerce sa va faca rau. Din pacata asta e cultura pe la noi.

Si aici intervine anonimitatea. Right?

[Aghast]

Da, tipul a fost destept sa foloseasca Tor.