[HACK] Duda legal
Gerardo Richarte
gera at corest.com
Sun Aug 31 18:32:05 CEST 2003
STS wrote:
>Buenas tardes,
>
>
> Hemos encontrado unos errores en el sitio web de una importante
>revista científica que permite leer sus artículos sin la previa subscripción.
>
>
Por supuesto que como aciduo lector de revistas de divulgacion
cientifica el tema
me interesa, no hay duda!
> Es legal hacer público un error en un website a un público
>general si estos no han hecho lo más mínimo por responder, solucionarlo o
>informarse? bajo qué condiciones?
>
>
Mas que preguntarte si es legal creo que tendrias que preguntarte si
tiene algun sentido.
Hay dos motivos posibles, desde mi punto de vista, para publicar una
vulnerabilidad:
Para hacerse famoso o para ayudar. Si tu objetivo es hacerte famoso,
esta bien que te
preguntes si es legal publicar, si tu objetivo es ayudar, creo que lo
que tendrias que
preguntarte a quien venficia la publicacion del bug.
Generalmente una vulnerabilidad en un soft (o lo que sea) que es
usado por mas de una
persona tiene que ser publicada, asi todos los usuarios de ese soft se
enteran del problema.
Si el "vendor" no hace nada para arreglar la vulnerabilidad, igual
tiene que ser publicada,
partiendo de que asi como uno encontro la vulnerabilidad la puede
encontrar otro, sobre
todo si hay alguna solucion temporaria hasta que haya una solucion real.
En este caso, en donde el damnificado es uno solo, y es el mismo que
hace el soft,
no creo que nadie se vea veneficiado si publicaras la vulnerabilidad...
bueno, obviamente,
nadie se veria veneficiado en cuanto a su propia seguridad, en cambio si
se verian
veneficiados en cuanto a obtener acceso gratuito a la publicacion.
Para cerrar, digamos: si el soft en el que encontraste el bug no lo
usa nadie mas
entonces es una cuestion pribada y ellos son los unicos que se ven
perjudicados
por el bug, y tienen todo el derecho a no arreglarlo. Si el soft es
usado por mas
gente, entonces si estaria bien que lo publiques.
Y volviendo a tu pregunta, en cuanto a legalidad... mmm... no estoy
seguro, pero
creo que en un eventual juicio todas estas cuestiones que recien te
nombre serian
pertinentes.
gera
More information about the hacking
mailing list