[HACK] Duda legal
Eusebio
eusebio at datumlex.com
Tue Sep 2 20:18:31 CEST 2003
On 31 Aug 2003 21:17:34 +0200
STS <sts at gnunetworks.com> wrote:
>Buenas tardes,
>Es legal hacer público un error en un website a un público
>general si
>estos no han hecho lo más mínimo por responder, solucionarlo o
>informarse? bajo qué condiciones?
**En España Si, es legal; independientemente de que hayan hecho o no algo por solucionarlo. Según el Codigo Penal español, 'lo que no está prohibido está permitido', y no está prohibido publicar errores cientificos o técnicos siempre que sean ciertos, y más siendo como parece que tu descubrimiento no afectará a la seguridad nacional de ningún pais. Por otro lado, independientemente de las consideraciones eticas, y algunas morales que han aparecido por la lista, tienes derecho a expresarte libremente, y esa publicacion estaria protegida por ese derecho que tienes. Ahora bien, debes tener en cuenta:
a) Partiendo de que no estamos ante altos secretos nacionales, publicar la existencia de un error cierto no es delito en España, o en maquinas acogidas a su legislación. (Parece que estás en Barcelona, no dices donde vas a publicarla).
b) Si bien los sistemas juridicos occidentales son homogeneos y la libertad de expresión se recogen en todos ellos, hay tambien infinidad de variables que los diferencian, desconozco la legislación de la web de referencia. No dices mucho sobre lo que vas a publicar, pero si tu noticia demuestra vulnerabilidades en sistemas hardware o software, podria ser de aplicación la DMCA (Digital Millennium Copyright Act), recuerda el caso DeCSS. Parece que tu 'publicación' no afectará a un gran sector de la industria ni al copyright, pero por si acaso te lo comento, valoralo tú.
c) Debes considerar si la existencia del error puede o es conocida a 'simple vista' o si bien para llegar a ese conocimiento has tenido que vulnerar alguna ley española o extranjera (la de la web). Si este fuera el caso, podrias ser acusado de vulnerar dicha ley (entrada ilegal, daños, etc), no de la publicación. Esto pasó en el caso kitekoa vs tati en Francia, newbiz que publicó la noticia no fue sancionada.
d) Debes tener en cuenta que, una cosa es declarar la existencia de un fallo y otro su 'modo de uso'; en este caso, de producirse con posterioridad a tu publicación algún ataque utilizando dicho 'modo de uso' podria considerarse tu actitud como inducción o cooperación, si es que se dan también otras variables juridicas.
Debes valorar, desde un punto de vista técnico, si con la simple mención del error estas dando la llave para su explotación o no.
e) Debes guardar los mensajes y comunicaciones realizadas con la otra parte. Avísales (si tomas la decisión de publicar) con tiempo de cuales son tus intenciones y por qué. Guarda también esa comunicación. Asegurate o intenta asegurarte de que tus comunicaciones están llegando a la persona adecuada y no estas enviando correo a soy_el_ultimo_mono at contratobasura.com. La mayoría de los malos entendidos vienen por esa causa.
f) Pregunta a otros abogados, a ser posible pregunta a algún norteamericano y de la zona de NY. Puedes probar con alt.misc.legal, suelen contestar, mejor si defines bien el problema legal, tal que: Soy X vivo en A, nacional de Z, la web está localizad en H, la empresa es nacional de J, etc, etc.
Otros grupos legales tienes en http://www.geocities.com/mikelscott/033.htm
Relacionado con full-disclosure te puede interesar:
Internet Security Systems Issues Vulnerability Disclosure Guidelines
http://bvlive01.iss.net/issEn/delivery/prdetail.jsp?type=&oid=21567
También:
http://slashdot.org/article.pl?sid=01/11/11/1424212
La lista de full-disclosure
http://lists.netsys.com/mailman/listinfo/full-disclosure
Saludos.
Eusebio del Valle
Abogado
'If content is the King, control is King Kong'
More information about the hacking
mailing list