Questão:
Responsabilidade por danos nos EUA por encontrar e divulgar exploração de computador "0-day"
Digital fire
2015-05-28 17:21:49 UTC
view on stackexchange narkive permalink

No mundo da segurança de TI / programação, normalmente as pessoas entram em contato com o fornecedor / proprietário de um software específico se encontrarem um bug ou vulnerabilidade de segurança e dar-lhes tempo para corrigir antes de liberar o bug ou vulnerabilidade para escrutínio / conscientização pública. Isso geralmente é uma cortesia, a menos que você esteja vinculado por contrato. Mas, conforme perguntado em Se eu encontrar ou criar um dia 0: e se eu encontrar uma vulnerabilidade em um software amplamente usado?

Posso ser responsabilizado por danos se eu liberar o código de "Prova de conceito" ao público sem dar tempo ao fornecedor para corrigir e atualizar adequadamente seu código vulnerável?

ATUALIZAÇÃO: Depois de discutir esta questão com alguns colegas, Percebi que preciso ser um pouco mais específico com a questão: os pesquisadores de segurança geralmente trabalham com o fornecedor para tentar corrigir (corrigir) o erro / vulnerabilidade. Se após suficiente (30 dias?) O tempo tiver passado e o fornecedor não tiver corrigido o código, uma divulgação completa será divulgada publicamente.

Posso ser responsabilizado por danos causados ​​após o lançamento de um código de "prova de conceito" se o software / fornecedor for de código aberto? E se o fornecedor / software for de código fechado?

Um responda:
#1
+14
kevin
2015-05-28 18:53:45 UTC
view on stackexchange narkive permalink

Você pode ser responsabilizado por danos? De acordo com a Lei do delito, sim.

Vamos supor que alguém desenvolveu um vírus baseado no seu código. O vírus causou milhões de dólares em danos. O demandante (fornecedor de software) pode argumentar que:

  1. Você tem um Dever de Cuidado

para evitar atos ou omissões que você pode razoavelmente prever que possam ferir seu vizinho

Donoghue v. Stevenson (1932) (Reino Unido)

O conceito de Dever de Cuidado também é encontrado na lei dos EUA, por exemplo em MacPerson v. Buick Motor Co. (1916) , que estabeleceu que negligência não requer um contrato .

  1. Violação de dever: uma pessoa razoável pode preveja que a "prova de conceito" pode causar danos. O ato de liberar código, portanto, fica aquém do padrão esperado. Se você for um profissional de TI, será difícil defender esse ponto.
  2. Há uma relação de causalidade entre seu código liberação e os danos resultantes.

  3. Você é responsável por negligência Paul.

  4. Danos: It é provável que os usuários processem o fornecedor do software por suas perdas. O fornecedor do software irá processá-lo, pois, por sua causa, o fornecedor do software tem de compensar seus clientes.

Isso, é claro, depende do que exatamente você lançou para o público. Por exemplo, se um esforço significativo for necessário para converter sua "prova de conceito" em uma exploração real e você forneceu uma solução alternativa para evitar essa vulnerabilidade, você pode se defender argumentando que a ligação de causa e efeito é muito remota .


Devo manter o relatório privado? E se o software for de código aberto?

Na verdade, não. Você deve tomar medidas razoáveis ​​para garantir que sua "prova de conceito" não seja uma exploração real e que um hacker precise de um tempo considerável para desenvolver um software malicioso em funcionamento. CVE é uma plataforma onde as vulnerabilidades são compartilhadas publicamente.


E se você tiver dado ao fornecedor um tempo razoável para corrigir a vulnerabilidade?

Não importa (para você) se o fornecedor tem tempo para consertar a vulnerabilidade. É importante para o fornecedor, porque se algo acontecer mais tarde, o fornecedor é responsável por conhecer o problema com antecedência e não ter alocado os recursos apropriados para corrigir o problema.

Para demonstrar uma vulnerabilidade, não existe requerem instruções de como utilizar esta vulnerabilidade. Por exemplo, você pode gravar um vídeo mostrando os efeitos do hack.


Aqui (Wayback Machine; o link original está morto) é uma leitura interessante sobre a Motorola abordando o assunto suas próprias mãos depois de descobrirem uma vulnerabilidade no sistema Xerox CP-V e a Xerox não corrigiu o problema.

Eu atualizei a pergunta. Acredito que a resposta só seria aplicável a uma situação em que a vulnerabilidade está em um software / hardware de 'código fechado'.
O caso que você citou foi um caso do Reino Unido. Como a pergunta foi marcada como estados unidos, você pode mencionar explicitamente que estava citando um caso do Reino Unido (ou se a resposta inteira for baseada na lei do Reino Unido, diga isso).
@cpast Eu adicionei uma referência ao caso dos EUA.
Lembre-se de mencionar que o caso dos EUA é um caso de lei estadual. Não existe lei federal consuetudinária (embora os juristas possam dividir os cabelos). Observe também que embora haja o pedido de negligência, há uma questão mais ampla de ** legitimidade **, ou seja, quem tem o direito de iniciar a ação e há também a questão de ** danos **. Portanto, em uma reclamação de negligência, todos são obrigatórios ** (1) ** dever; ** (2) ** violação; ** (3) ** causalidade; e ** (4) ** danos e ** (5) ** o reclamante deve ter legitimidade para entrar com a ação.
Essa resposta parece estar um pouco para trás - como é possível que a culpa seja do pesquisador se os programadores da empresa que escreveu o código não conseguem contar e / ou digitar? Por exemplo. off-by-one etc. Da mesma forma, a maioria dos softwares não vem com garantia; se o fabricante decidiu especificamente fornecer garantia, não é sua culpa que o tenha feito sem garantir que seu código não esteja sujeito a esses erros individuais ou outros erros simples.
@cnst: não é uma falha, é errado ensinar os outros a explorar um software que pode ser usado para prejudicar. Além disso, não é verdade que a maioria dos softwares não vem sem garantia: pelo menos a maioria dos softwares corporativos sim.
@kevin Eu discordo que ensinar aos outros como usar um conjunto de habilidades é errado. Assim como mostrar a alguém como usar uma arma ou um martelo não os torna criminosos. É o que eles fazem com aquela arma ou martelo que constituiria um ato criminoso.
@DigitalFire Eu concordo. Deve ser feita uma distinção entre ensinar alguém a usar uma arma e deixar uma arma armada sobre uma mesa. Como eu disse, a vulnerabilidade * pode * ser divulgada publicamente no CVE.
Kevin, Dead link "Aqui está uma leitura interessante sobre a Motorola resolver o problema com as próprias mãos depois de descobrir uma vulnerabilidade no sistema Xerox CP-V e a Xerox não corrigiu o problema." Eu quero ler isso):
@LateralTerminal Eu o encontrei em um cache da web e o disponibilizei na pasta de pasta.
Kevin, esta é uma história verdadeira? Mesmo que não seja, eu adoro.
@kevin Isso é muito bom.
"Você tem o dever de cuidar de evitar atos ou omissões que possa razoavelmente prever que possam prejudicar seu vizinho" Essa é uma apresentação enganosa de citações. Donoghue não descobriu que existe um dever geral de cuidado para evitar negligência, ele descobriu que * se * existe um dever de cuidado, então esse dever pode ser violado por negligência. Além disso, se um hacker usa a divulgação de alguém para fazer uma exploração, as ações do hacker são claramente uma causa intermediária. Além disso, qualquer conclusão de responsabilidade implicaria a Primeira Emenda.


Estas perguntas e respostas foram traduzidas automaticamente do idioma inglês.O conteúdo original está disponível em stackexchange, que agradecemos pela licença cc by-sa 3.0 sob a qual é distribuído.
Loading...