Fråga:
Ansvar för skador i USA för att hitta och avslöja "0-dagars" datorutnyttjande
Digital fire
2015-05-28 17:21:49 UTC
view on stackexchange narkive permalink

I IT- / programmeringssäkerhetsvärlden kontaktar vanligtvis människor leverantören / ägaren av en viss programvara om de hittar en bugg eller säkerhetsproblem och ger dem tid att lappa den innan de släpper felet eller sårbarheten för allmän granskning / medvetenhet. Detta är vanligtvis en artighet men om du inte är bunden av avtal. Men som frågat i Om jag hittar eller skapar en 0day: Vad händer om jag hittar en sårbarhet i en mycket använd programvara?

Kan jag hållas ansvarig för skador om jag släpper "Proof of Concept" -koden till allmänheten utan att ge leverantören tid att korrigera och uppdatera sin sårbara kod korrekt?

UPPDATERING: Efter att ha diskuterat den här frågan med några kollegor, Jag insåg att jag måste vara lite mer specifik med frågan: Säkerhetsforskare arbetar vanligtvis med leverantören för att försöka korrigera (fixa) felet / sårbarheten. Om det efter tillräckligt (30 dagar?) Har gått och säljaren inte har fixat koden, släpps en fullständig information offentligt.

Kan jag hållas ansvarig för skador orsakade efter släppandet av en "Proof of Concept" -kod om programvaran / leverantören är öppen källkod? Vad händer om leverantören / programvaran är sluten källa?

Ett svar:
#1
+14
kevin
2015-05-28 18:53:45 UTC
view on stackexchange narkive permalink

Kan du vara ansvarig för skador? Under Tortlag, ja.

Låt oss anta att någon utvecklat ett virus baserat på din kod. Viruset orsakade miljontals dollar skada. Klaganden (programvaruleverantör) kan hävda att:

  1. Du har en vårdplikt

för att undvika handlingar eller utelämnanden som du rimligen kan förutse kommer sannolikt att skada din granne

Donoghue v. Stevenson (1932) (Storbritannien)

Begreppet Duty of Care finns också i amerikansk lag, till exempel i MacPerson mot Buick Motor Co. (1916) , som fastställde att oaktsamhet kräver inte ett avtal .

  1. Brott mot tull: En rimlig person kan förutse att "bevis på begreppet" kan orsaka skada. Åtgärden att släppa kod faller därför inte under den förväntade standarden. Om du är IT-professionell kommer det att bli svårt att försvara denna punkt.
  2. Det finns ett orsakssamband samband mellan din kod frisläppande och den resulterande skadan.

  3. Du är ansvarig för försumlighet strong.

  4. Skada: Det är troligt att användare kommer att stämma programvaruleverantören för sina förluster. Programvaruleverantören kommer sedan att stämma dig, eftersom programvaruförsäljaren på grund av dig måste kompensera till sina kunder.

Detta beror naturligtvis på vad du exakt släppte till allmänheten. Till exempel, om det krävs betydande ansträngningar för att konvertera ditt "proof of concept" till en verklig exploatering och du har tillhandahållit en lösning för att undvika denna sårbarhet, kan du försvara dig själv genom att argumentera för att orsaken och effekten är för avlägsen .


Så jag måste hålla rapporten privat? Vad händer om programvaran är öppen källkod?

Inte riktigt. Du bör vidta rimliga åtgärder för att se till att ditt "proof of concept" inte är ett verkligt utnyttjande, och en hackare behöver mycket tid för att utveckla en fungerande skadlig programvara. CVE är en plattform där sårbarheter delas offentligt.


Vad händer om du har gett säljaren rimlig tid att åtgärda sårbarheten?

Det spelar ingen roll (för dig) om det har tagits tid för säljaren att åtgärda sårbarheten. Det spelar roll för säljaren, för om något händer senare är säljaren ansvarig för att känna till problemet i god tid och har inte tilldelat lämpliga resurser för att rätta till problemet.

Att visa att det finns en sårbarhet finns inte kräver instruktioner om hur man använder denna sårbarhet. Du kan till exempel spela in en video som visar effekterna av hacket.


Här (Wayback Machine; originallänken är död) är en intressant läsning om Motorola som tar hänsyn till sina egna händer efter att de upptäckte en sårbarhet i Xerox CP-V-systemet och Xerox inte lappade problemet.

Jag har uppdaterat frågan. Jag tror att svaret endast skulle vara tillämpligt på en situation där sårbarheten finns i en "sluten källkod" programvara / hårdvara.
Fallet du citerade var ett fall i Storbritannien. Eftersom frågan var taggad USA kan du uttryckligen nämna att du citerade ett brittiskt ärende (eller om hela svaret är baserat på brittisk lag, säg det).
@cpast Jag har lagt till en hänvisning till fallet i USA.
Se till att du nämner att amerikanska fall är ett statligt rättsfall. Det finns ingen federal lagstiftning (även om juridiska forskare kan dela hår). Observera också att även om det finns anspråk på vårdslöshet finns det en större fråga om ** stående **, det är vem som har rätt att göra anspråk till att börja med och det finns också frågan om ** skadestånd **. Så i ett vårdslös krav krävs alla ** (1) ** skyldighet; ** (2) ** brott; ** (3) ** orsakssamband; och ** (4) ** skadestånd, och ** (5) ** käranden måste ha rätt att ställa kravet.
Det här svaret verkar vara lite bakåt - hur kommer det sig att det är forskarens fel om företagets programmerare som skrev koden inte kan räkna och / eller skriva? T.ex. off-by-one etc. På samma sätt kommer de flesta programvaror utan garanti; om tillverkaren specifikt bestämde sig för att ge garanti, är det inte ditt fel att de gjorde det utan att se till att deras kod inte är föremål för dessa off-by-one eller andra enkla fel.
@cnst: det är inte ett fel, det är felaktigt att lära andra hur man använder en programvara som kan användas för att skada. Det är inte heller sant att de flesta programvaror inte har någon garanti: åtminstone de flesta företagsprogramvara gör det.
@kevin Jag håller inte med om att det är fel att lära andra hur man använder en färdighet. Precis som att visa någon hur man använder en pistol eller en hammare gör dem inte till brottslingar. Det är vad de gör med den pistolen eller hammaren som skulle utgöra en kriminell handling.
@DigitalFire Jag håller med. Man måste skilja mellan att lära någon att använda en pistol och att lämna en beväpnad pistol på ett skrivbord. Som jag sa kan sårbarhet * offentliggöras på CVE.
Kevin, Död länk "Här är en intressant läsning om Motorola som tar saken i egna händer efter att de upptäckte en sårbarhet i Xerox CP-V-systemet och Xerox inte lappade problemet." Jag vill läsa det):
@LateralTerminal Jag hittade det på ett webbcache och gjorde det tillgängligt på klistra in.
Kevin, är det här en riktig historia? Även om det inte är så älskar jag det.
@kevin Det är ganska bra.
"Du har en skyldighet att ta hand om att undvika handlingar eller försummelser som du rimligen kan förutse kommer att skada din granne" Det är en vilseledande presentation av citat. Donoghue tyckte inte att det finns en allmän skyldighet att vara försiktig för att undvika vårdslöshet, men den fann att * om * en skyldighet att vara försiktig finns, kan denna skyldighet brytas genom vårdslöshet. Dessutom, om en hackare använder sin avslöjande för att utnyttja, är hackarens handlingar helt klart en mellanliggande orsak. Vidare skulle varje upptäckt av ansvar innebära den första ändringen.


Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 3.0-licensen som det distribueras under.
Loading...