Soru:
"0 günlük" bilgisayar istismarının bulunması ve ifşa edilmesinden dolayı ABD'deki zararlar için sorumluluk
Digital fire
2015-05-28 17:21:49 UTC
view on stackexchange narkive permalink

BT / Programlama güvenlik dünyasında, genellikle insanlar bir hata veya güvenlik açığı bulurlarsa belirli bir yazılımın satıcısıyla / sahibiyle iletişim kurar ve bu hatayı veya güvenlik açığını kamu incelemesi / bilinci için yayınlamadan önce onlara düzeltme zamanı verir. Bu, sözleşmeye bağlı olmadığınız sürece genellikle bir nezakettir. Ancak Bir 0 Gün Bulur veya Yaratırsam bölümünde sorulduğu gibi: Yaygın olarak kullanılan bir yazılım parçasında bir güvenlik açığı bulursam ne olur?

Zararlardan sorumlu tutulabilir miyim "Kavram Kanıtı" kodunu, satıcıya savunmasız kodunu düzgün bir şekilde düzeltmesi ve güncellemesi için zaman vermeden herkese açıklarsam?

GÜNCELLEME: Bazı meslektaşlarla bu soru hakkında bir tartışma yaptıktan sonra, Şu soruyla biraz daha spesifik olmam gerektiğini fark ettim: Güvenlik araştırmacıları genellikle hatayı / zafiyeti düzeltmek (düzeltmek) için satıcıyla birlikte çalışır. Yeterli (30 gün?) Süre geçtikten sonra satıcı kodu düzeltmediyse, tam bir açıklama kamuya açıklanır.

Sonrasında neden olunan zararlardan sorumlu tutulabilir miyim? yazılım / satıcı açık kaynak ise "Kavram Kanıtı" kodunun yayınlanması? Satıcı / yazılım kapalı kaynak ise ne olur?

Bir cevap:
#1
+14
kevin
2015-05-28 18:53:45 UTC
view on stackexchange narkive permalink

Zararlardan sorumlu olabilir misiniz? Haksız Fiil Yasası uyarınca, evet.

Birinin sizin kodunuza göre bir virüs geliştirdiğini varsayalım. Virüs milyonlarca dolarlık hasara neden oldu. Davacı (yazılım satıcısı) şunları iddia edebilir:

  1. Eylemlerden kaçınmak için Bakım Göreviniz

veya makul bir şekilde öngörebileceğiniz ihmallerin komşunuza zarar vermesi olasıdır

Donoghue v. Stevenson (1932) (İngiltere)

Bakım Görevi kavramı, ABD hukukunda da yer almaktadır, örneğin, MacPerson v. Buick Motor Co. (1916) , ihmal bir sözleşme gerektirmez.

  1. Görevi İhlal: Makul bir kişi şunları yapabilir: "Kavram kanıtı" nın zarar verebileceğini öngörün . Bu nedenle, kodu serbest bırakma eylemi beklenen standardın gerisinde kalır. Bir BT uzmanıysanız, bu noktayı savunmak zor olacaktır.
  2. Kodunuz arasında bir nedensellik ilişkisi vardır

  3. İhtilaftan yükümlüsünüz.

  4. Hasar: Bu kullanıcıların yazılım satıcısına kayıpları için dava açması muhtemeldir. Yazılım satıcısı, sizin yüzünüzden yazılım satıcısının müşterilerine tazminat ödemesi gerektiğinden, size dava açacaktır.

Bu, elbette, tam olarak ne yayınladığınıza bağlıdır. halka. Örneğin, "kavram kanıtınızı" gerçek bir istismara dönüştürmek için önemli ölçüde çaba sarf etmeniz gerekiyorsa ve bu güvenlik açığını önlemek için bir geçici çözüm sağladıysanız, neden ve sonuç bağlantısının çok uzak olduğunu iddia ederek kendinizi savunabilirsiniz .


Yani raporu gizli tutmalı mıyım? Ya yazılım açık kaynaklıysa?

Pek değil. "Kavram kanıtınızın" gerçek bir istismar olmadığından ve bir bilgisayar korsanının işleyen bir kötü amaçlı yazılım geliştirmek için önemli ölçüde zamana ihtiyacı olduğundan emin olmak için makul önlemleri almalısınız. CVE, güvenlik açıklarının herkes tarafından paylaşıldığı bir platformdur.


Satıcıya güvenlik açığını düzeltmesi için makul bir süre verdiyseniz ne olur?

Satıcının güvenlik açığını düzeltmesi için zaman verilip verilmediğinin (sizin için) önemi yoktur. Satıcı için önemlidir, çünkü daha sonra bir şey olursa, satıcı sorunu önceden bilmekle yükümlüdür ve sorunu düzeltmek için uygun kaynakları tahsis etmemiştir.

Bir güvenlik açığının var olduğunu göstermek bu güvenlik açığından nasıl yararlanılacağına dair talimat gerektirir. Örneğin, saldırının etkilerini gösteren bir video kaydedebilirsiniz.


Burada (Wayback Machine; orijinal bağlantı öldü), Motorola'nın sorunları ele almasıyla ilgili ilginç bir okuma. Xerox CP-V sisteminde bir güvenlik açığı keşfettikten ve Xerox sorunu çözdükten sonra kendi elleriyle çözdü.

Soruyu güncelledim. Cevabın yalnızca güvenlik açığının 'kapalı kaynaklı' bir yazılım / donanımda olduğu durumlarda geçerli olacağına inanıyorum.
Alıntı yaptığınız dava Birleşik Krallık davasıydı. Soru Amerika Birleşik Devletleri olarak etiketlendiğinden, bir Birleşik Krallık davasına atıfta bulunduğunuzu açıkça belirtmek isteyebilirsiniz (ya da tüm cevap Birleşik Krallık kanunlarına dayanıyorsa, bunu söyleyin).
@cpast ABD vakasına bir referans ekledim.
ABD davasının bir eyalet davası olduğunu belirttiğinizden emin olun. Federal bir örf ve adet hukuku yoktur (ancak hukukçular saçları bölebilir). Ayrıca, ihmal iddiası söz konusu olsa da, daha büyük bir ** ayakta kalma ** sorunu, yani hak talebini kimin getirme hakkına sahip olduğu ve ayrıca ** zararlar ** sorununun da olduğunu unutmayın. Yani bir ihmalde, hepsi zorunludur ** (1) ** görev; ** (2) ** ihlal; ** (3) ** nedensellik; ve ** (4) ** zararlar ve ** (5) ** davacının iddiayı getirme hakkı olmalıdır.
Bu cevap biraz geriye doğru görünüyor - kodu yazan şirketin programcıları sayamıyorsa ve / veya yazamıyorsa bu neden araştırmacının hatası oluyor? Örneğin. tek tek vb. Benzer şekilde, çoğu yazılımın garantisi yoktur; Üretici özellikle garanti sağlamaya karar verdiyse, kodlarının bu tek tek veya diğer basit hatalara tabi olmadığından emin olmadan bunu yapmaları sizin hatanız değildir.
@cnst: bu bir hata değil, başkalarına zarar vermek için kullanılabilecek bir yazılımdan nasıl yararlanılacağını öğretmek yanlıştır. Ayrıca, çoğu yazılımın garantisiz geldiği doğru değildir: en azından çoğu kurumsal yazılım bunu yapar.
@kevin Başkalarına bir beceri setini nasıl kullanacaklarını öğretmenin yanlış olduğuna katılmıyorum. Birine nasıl silah veya çekiç kullanılacağını göstermek gibi onu suçlu yapmaz. Suç teşkil eden, o silah veya çekiçle yaptıkları şeydir.
@DigitalFire Katılıyorum. Birine silahı kullanmayı öğretmekle silahlı silahı masanın üzerinde bırakmak arasında bir ayrım yapılmalıdır. Dediğim gibi, güvenlik açığı * CVE'de kamuya açıklanabilir *.
Kevin, Dead link "Motorola'nın, Xerox CP-V sistemindeki bir güvenlik açığını keşfettikten ve Xerox sorunu çözemedikten sonra meseleleri kendi ellerine almasıyla ilgili ilginç bir okuma var." Okumak istiyorum):
@LateralTerminal Bir web önbelleğinde buldum ve yapıştırma kutusunda kullanıma sundum.
Kevin, bu gerçek bir hikaye mi? Öyle olmasa bile, onu seviyorum.
@kevin Bu oldukça iyi.
"Komşunuza zarar verebileceğini makul bir şekilde öngörebileceğiniz eylem veya ihmallerden kaçınmak için bir Önem Görevin var" Bu, alıntıların yanıltıcı bir sunumu. Donoghue, ihmalden kaçınmak için genel bir özen yükümlülüğü olduğunu bulmadı, eğer bir bakım yükümlülüğü varsa, bu görevin ihmal yoluyla ihlal edilebileceğini buldu. Ayrıca, bir bilgisayar korsanı bir istismar için birinin ifşasını kullanırsa, hacker'ın eylemleri açıkça araya giren bir nedendir. Ayrıca, herhangi bir sorumluluk bulgusu, İlk Değişikliği kapsayacaktır.


Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...