Es legal...

Iniciado por NeoB, 2 Julio 2013, 18:24 PM

0 Miembros y 1 Visitante están viendo este tema.

NeoB

Si un amigo mio encuentra una vulnerabilidad en una web y anda escaso de efectivo, ¿es legal/ilegal pedir dinero por la vulnerabilidad?

Randomize

Ilegal.

Los bugs se comunican a las entidades pertinentes (recuerda que te pueden sancionar por ello).

ivancea96

¿Ilegal?

Perdonad que me meta con esta pregunta medianamente "filosófica":
-Si una web tiene un bug, el que encontró ese bug, ¿no podría decir que ese bug "era parte del desarrollo normal" de la web? En caso de que le denunciasen me refiero.
Por ejemplo, una vulnerabilidad de tipo XSS, podría decirse que "creía" que era parte de la web.

Me gustaría que me desmintieseis esta afirmación.

Randomize

CitarLos bugs se comunican a las entidades pertinentes


Es un... "Señores administradores de la web, he encontrado a fecha de hoy (se hace uno una fotico con el periódico del día) un fallo de seguridad con respecto a lo que sea y se los comunico para que en la brevedad posible subsanen dicho fallo"...


Es un... "Señor agente de guardia de la Guardia Civil me gustaría comunicarle que la web http://www.tengounbug.*** tiene un fallo de seguridad en el acceso, o lo que sea, de los usuarios", FIRMADO UN INTERNAUTA ANÓNIMO.


Por que como uséis tan solo una vez (o dos  :rolleyes:) el bug (honeypot) en vuestro beneficio se os va a caer el pelo al ver la denuncia que si os pondrán A VOSOTROS los administradores de dichas webs...

¿A quedado clarito?


ivancea96

No desmiente mi frase anterior.

Randomize

Citar-Si una web tiene un bug, el que encontró ese bug, ¿no podría decir que ese bug "era parte del desarrollo normal" de la web? En caso de que le denunciasen me refiero.


Tu frase célebre  :¬¬


Una web tiene un bug, hasta aquí vamos bien, pero ese bug es encontrado, y aquí es cuando empieza el problema... El bug hay que reportarlo por mucho que se diga que es o no es del código de la web, y reportarlo a los administradores o autoridad pertienente antes de que te digan que tú has usado el bug, haya habido, o no, pérdida de datos...

Te recuerdo el caso de un universitario que encontró un bug en la plataforma de la gestión académica de su universidad y por reportarlo lo expulsaron (ehhhh, man, que formaba parte de la web y todo), lo más inteligente hubiera sido el reporte anónimo para no pillarse los dedos; la noticia sólo hay que buscarla por la web...



WHK

No es ilegal en ninguna parte del mundo, de hecho no hay ley contra ello.

Busca mas información sobre políticas de full disclosure, Google tiene su propia política, Apple tiene otra, Microsoft tiene otra y así.

Si la empresa donde encontraste la vulnerabilidad no tiene ninguna política sobre full disclosure expuesta en su mismo sitio WEB entonces podrás hacer lo que estimes conveniente con lo encontrado y será absolutamente legal.

El tema del full disclosure es un tema larguiiiiiiiisimo y ampliamente discutido por muchas grandes compañías, actualmente este tema está a nivel "filosófico" tal como dijo implícitamente ivancea96 ya que puedes publicar a quien sea lo descubierto o puedes decirselo por correo de forma interna y ambas maneras son 100% legales.

Si lo que quieres es simpatizar con el dueño de la empresa y obtener un trabajo entonces hablale por interno a traves del correo del gerente de la empresa, no del webmaster o del contacto técnico ya que el administrador del sitio no va a querer perder su trabajo, haces todo un informe bien detallado sobre como sacar provecho de dicha vulnerabilidad y es muy muy muy importante que mensiones que nada de sus sistemas fue comprometido durante el análisis ni penetraste en sus datos confidenciales pero que alguien mas si podría hacerlo.

Con esto no podrá realizar ninguna acción legal contra ti y quedará en un dilema moral sobre si dejar su agujero de seguridad abierto o llamarte para que lo arregles.

Cuando tu entras a un sitio WEB estas viendo un sistema a nivel de "vista" o sea solamente el código que se interpretará en tu navegador, en este caso el html, javascript etc y es de código abierto, por tanto nadie te puede prohibir algo que es público, por algo la página está en un servicio público WEB.

Lo que no puedes hacer y si está penado por la ley en algunos paises es entrar y destruir, modificar cosas, obtener datos ocultos que pueden ser la base de datos, datos personales de personas, etc... todo aquello que pueda traer un problema de privacidad de datos.

Todo lo demás que sale por el servidor es público, por lo tanto no es privado.

Por ejemplo:
Encontrar un XSS es legal.
Encontrar una backup de datos personales con tarjetas de crédito y descargarlos y venderlos o publicarlos es ilegal, si lo descargas no es ilegal porque estaba público, si lo descargas a traves de un LFI por ejemplo es ilegal porque te aprobechaste de un agujero de seguridad para obtener un dato privado del servidor, no era público.

ivancea96

Gracias WHK y Randomize. Quedó bastante claro desde los dos puntos de vista xd
Siento haber "desvirtuado" el post original, NeoB.

@synthesize

Tiro de hemeroteca:

"- Eso es Ilegal - (Marge Simpson) - Eso que lo decida el Juez - (Homer Simpson)"

:P

NeoB

Muchas gracias a todos.
Cita de: ivancea96 en  2 Julio 2013, 22:32 PM
Gracias WHK y Randomize. Quedó bastante claro desde los dos puntos de vista xd
Siento haber "desvirtuado" el post original, NeoB.
No hay nada que perdonar hombre!

De nuevo, gracias a todos por las respuestas.