Jump to content
malsploit

Implicatii legale

Recommended Posts

Salutare!

Am o nelamurire. Teoretic, eu gasesc un sqli in microsoft/yahoo/google :X, il raportez, primesc mail cu multumiri. Primesc si confirmarea ca il vor rezolva si dup-aia, cu acordul lor, fac publica vulnerabilitatea.

Se poate trezi vreun nene de pe la vreo institutie a statului si sa ma traga de urechi, pentru vreo incalcare a legii? adica se poate autosesiza, fara vreo plangere oficiala?

Si nu, nu am prea mult timp liber!

Link to comment
Share on other sites

Nu va mai speriati asa la orice sesizare si autosesizare. Atunci cand faceti o fapta trebuie sa luati in calcul faptul ca ar putea veni mascatii... Asta nu e sfarsitul lumii!!! Gaborii si procurorii spun de toata lumea ca face fapte, chiar si de cei care nu fac. Ideea e ce zice judecatorul.

In cazul de fata, daca descoperi problema intamplator, iar accesul la un sistem informatic se face fara intentie NU EXISTA INFRACTIUNE!

Chiar daca vine un procuror sau un gabor si zice ceva, e treaba lui... se judeca. Faptul ca a venit sa zica ce are de zis insotit de mascati nu inseamna nimic.

Link to comment
Share on other sites

Cei pe care i-ai exemplificat tu nu au nicio treaba cu chestia asta, e au programe de bug bounty, atata timp cat nu folosesti tu in chestii rele vulnerabilitatea si victima ta intra in legatura cu organe abilitate sa te salte, nu ai de ce sa iti faci griji.

In principiu, merge asa cam in orice tine, daca tu raportezi si le dai sa spunem 24-48 de ore sa-si patchuiasca e ok. Daca e patch-uit poti publica tot vectorul, in caz contrar e de preferat sa-l maschezi si la finalul articolului sa mentionezi ca ai primit email de confirmare de la ei cu privire la faptul ca se vor ocupa. Sunt masuri simple. :-)

LE: La Yahoo, poti publica fara sa le ceri acordul pentru ca nu se vor complica sa iti raspunda de cele mai multe ori decat daca mai au nevoie de detalii.

Link to comment
Share on other sites

Din cate stiu eu daca se doveste ca tu ai publicat vulnerabilitatea pentru a face altcineva prostii poti fi tras la raspundere

Mi se pare absurd. Cum pot demostra ei ca tu nu ai gasit vulerabilitatea postata in alta parte si doar ai repostat`o ? Daca victima nu face sesizare nu au ce sa iti faca

Link to comment
Share on other sites

Din pacate tin sa va contazic.

Un tip cu intentii bune a gasit un SQLi pe un site al unui client. Acel site a fost facut de compania la care lucrez si intradevar scapase un SQLi.

Din bunavointa tipul a trimis un mail la respectivul client prin care spunea ce a gasit si ruga sa fie corectata problema.

Reactia clientului?

Ne pune pe noi sa ii cautam prin loguri, sa vedem cine ce a accesat. Sarcina imi revine mie. Din loguri se vede clar ca tipul a dar mai multe incercari de SQLi si in momentul in care i-a reusit unul s-a oprit. Norocul lui a fost ca s-a conectat prin Tor.

Termin de parsat logurile, raportez "superiorilor" faptul ca l-am gasit, ca nu avea intentii rele, ca era conectat prin Tor, s-o lasam balta.

Conducerea totusi se hotaraste sa trimita clientului ceea ce am gasit prin loguri(de parca aveau ce face cu un IP de Tor) iar clientul, din "bunavointa" face o sesizare la politie da IP-ul de Tor si specifica faptul ca a fost atacat informatic.

Politia ajunge si pe la noi, ajung sa dau declaratii despre ce am gasit prin loguri. Le explic si la destepti ca nu era tipul cu intentii rele si ca nu au cum sa il gaseasca dupa IP si asta basta.

Concluzia, puteti fi voi cu intentii bune si sa raportati gauri la proprietarii de site, daca prindeti un proprietar incult, care da click pe popupuri cu "you are the 1000000 visitor" tot o sa simta "jignit" ca ii faceti bine si o sa incerce sa va faca rau. Din pacata asta e cultura pe la noi.

Link to comment
Share on other sites

Concluzia, puteti fi voi cu intentii bune si sa raportati gauri la proprietarii de site, daca prindeti un proprietar incult, care da click pe popupuri cu "you are the 1000000 visitor" tot o sa simta "jignit" ca ii faceti bine si o sa incerce sa va faca rau. Din pacata asta e cultura pe la noi.

Si aici intervine anonimitatea. Right? :)

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...