[HACK] Duda legal

Gerardo Richarte gera at corest.com
Sun Aug 31 18:32:05 CEST 2003 

STS wrote:

>Buenas tardes,
>
>
>        Hemos encontrado unos errores en el sitio web de una importante
>revista científica que permite leer sus artículos sin la previa subscripción.
>  
>
    Por supuesto que como aciduo lector de revistas de divulgacion 
cientifica el tema
me interesa, no hay duda!

>        Es legal hacer público un error en un website a un público
>general si estos no han hecho lo más mínimo por responder, solucionarlo o
>informarse? bajo qué condiciones?
>  
>
    Mas que preguntarte si es legal creo que tendrias que preguntarte si 
tiene algun sentido.
Hay dos motivos posibles, desde mi punto de vista, para publicar una 
vulnerabilidad:
Para hacerse famoso o para ayudar. Si tu objetivo es hacerte famoso, 
esta bien que te
preguntes si es legal publicar, si tu objetivo es ayudar, creo que lo 
que tendrias que
preguntarte a quien venficia la publicacion del bug.

    Generalmente una vulnerabilidad en un soft (o lo que sea) que es 
usado por mas de una
persona tiene que ser publicada, asi todos los usuarios de ese soft se 
enteran del problema.
Si el "vendor" no hace nada para arreglar  la vulnerabilidad, igual 
tiene que ser publicada,
partiendo de que asi como uno encontro la vulnerabilidad la puede 
encontrar otro, sobre
todo si hay alguna solucion temporaria hasta que haya una solucion real.

    En este caso, en donde el damnificado es uno solo, y es el mismo que 
hace el soft,
no creo que nadie se vea veneficiado si publicaras la vulnerabilidad... 
bueno, obviamente,
nadie se veria veneficiado en cuanto a su propia seguridad, en cambio si 
se verian
veneficiados en cuanto a obtener acceso gratuito a la publicacion.

    Para cerrar, digamos: si el soft en el que encontraste el bug no lo 
usa nadie mas
entonces es una cuestion pribada y ellos son los unicos que se ven 
perjudicados
por el bug, y tienen todo el derecho a no arreglarlo. Si el soft es 
usado por mas
gente, entonces si estaria bien que lo publiques.

    Y volviendo a tu pregunta, en cuanto a legalidad... mmm... no estoy 
seguro, pero
creo que en un eventual juicio todas estas cuestiones que recien te 
nombre serian
pertinentes.

    gera

More information about the hacking mailing list