Znalazłem błędy w pewnym oprogramowaniu, które zagrażają jego bezpieczeństwu. Jestem wstępnie umówiony z jego administracją na ich prezentację. Jak daleko mogę się w tym posunąć, aby nie złamać prawa? Czy pokazanie gotowych programów, które potencjalnie mogłyby wykorzystać te luki nie będzie (przynajmniej z perspektywy prawnika) strzałem w kolano? Pytam, ponieważ czasem sama produkcja złośliwego softu, bez jego użycia, jest już karana.
0
2
Po co w ogóle się z nimi spotykasz? Jeżeli chcesz przeprowadzić audyt, przedstawić lukę albo zaproponować naprawienie jej za jakiekolwiek pieniądze to bardzo blisko stąd do żądania haraczu (art. 282. kodeksu karnego). Zdaje się, że kilka lat temu właśnie tak się skończyła podobna sytuacja z młodym chłopakiem, który na spotkaniu został od razu przez policję aresztowany.
0
Zgodnie z tytułem, działania które podjąłem mają niekomercyjny charakter. Robię to pro bono i jest to jasno określone.
0
Bezpieczniej będzie ci to dokładnie opisać i im wysłać niż się pojawiać osobiście.
0
Już raz się pojawiłem na wstępnych rozmowach. Znają moje dane, wiedzą gdzie szukać, więc to bezcelowe na tym etapie. Ponawiam więc pytanie o to, na ile moja prezentacja może być obszerna. Dodam, że jestem studentem i sprawa dotyczy systemu informatycznego uczelni.
0
Zanim tam pójdziesz odpowiedz sobie najpierw na pytania:
- W jaki sposób znalazłeś błędy w owym oprogramowaniu? Czy regulamin softu zezwalał na czynności, przy których jego błędy wyszły na jaw?
- Czy masz dowody na to, że z nikim nie podzieliłeś się informacjami o znalezionych błędach?
- Czy tworzyłeś programy, które potencjalnie mogłyby wykorzystać luki w w/w sofcie?
- Czy korzystałeś z czyjegoś malware do wykrycia luk w oprogramowaniu?
- Czy pracujesz dla firmy produkującej ten soft?
Jeżeli na pytania 1, 2, 5 odpowiedziałeś nie, a na 3, 4 tak - daruj sobie. Nawet anonimy. Chyba, że jesteś pewien polityki firmy, albo tego, że w żaden sposób jej nie zaszkodziłeś. Chociaż już samo wykrycie błędów, jeżeli nie jesteś jej pracownikiem, może być uważane za działanie na szkodę.
EDIT
Dodam, że jestem studentem i sprawa dotyczy systemu informatycznego uczelni.
Aha... W takim razie możesz nie odpowiadać na w/w pytania.
Jak obszerna powinna być prezentacja?
- Powinna pokazywać w jaki sposób doszedłeś do znalezionych błędów, jakie czynności musi wykonać normalny użytkownik, aby stało się to, co wykryłeś.
- Co za te błędy może odpowiadać?
- Co możemy zrobić, aby błędy zniwelować?
- Co możemy zrobić, aby podobnych błędów uniknąć w przyszłości?
0
EDIT
Dodam, że jestem studentem i sprawa dotyczy systemu informatycznego uczelni.Aha... W takim razie możesz nie odpowiadać na w/w pytania.
Rozumiem, że jest to okoliczność łagodząca? Na ile?
0
Czy regulamin softu zezwalał na czynności, przy których jego błędy wyszły na jaw?
Nie wiem. Na stronie takiego raczej nie ma. Prawdopodobnie podpisywałem go składając papiery na uczelnię, ale co to było...nie wiem.
Czy masz dowody na to, że z nikim nie podzieliłeś się informacjami o znalezionych błędach?
Podzieliłem i to z wieloma osobami/instytucjami (przygotowywałem przez pewien czas akcję informacyjną mającą wymóc na władzach uczelni poprawienie tego systemu), ale bardzo ogólnie, bez szczegółów technicznych.
Czy tworzyłeś programy, które potencjalnie mogłyby wykorzystać luki w w/w sofcie?
Gotowe, "uzbrojone", dające obsłużyć się przez laika nie. Testowałem "strategiczne" elementy, reszta w wyobraźni.
Czy korzystałeś z czyjegoś malware do wykrycia luk w oprogramowaniu?
Nie
Czy pracujesz dla firmy produkującej ten soft?
Nie
0
Zgodnie z tytułem, działania które podjąłem mają niekomercyjny charakter. Robię to pro bono i jest to jasno określone.
Ale to nie ma żadnego znaczenia! Tzn. ewentualnie ma na wymiar kary, będzie łagodniejsza. Ale niezamówione pentesty to niezamówione pentesty, po prostu nie wolno tego robić. Powiem to konkretnie w języku pół-prawniczym:
Nie wolno uzyskiwać dostępu do informacji, korespondencji i systemów informatycznych, do których nie masz uprawnień.
http://www.arslege.pl/bezprawne-uzyskanie-informacji/k1/a304/
Do dwóch lat więzienia ryzykujesz przez sam fakt, że zacząłeś się w to bawić. Na wszelkie pentesty konieczna jest zgoda administratora systemu.
0
Czynności, które wykonałem, nie są obejmowane przez te przepisy. Błąd, który chcę zgłosić, jest tak prozaiczny (aż zaskakujące), że nie trzeba żadnych pentestów, aby się na niego natknąć. Nie zmienia to faktu, że jego potencjalne konsekwencje mogłyby być całkiem konkretne.
0
Najlepiej napisz pytanie do http://niebezpiecznik.pl/ z opisem sytuacji. Mają poniedziałki z prawnikiem, więc może staniesz się tematem następnego artykułu.
Całkiem możliwe, że artykuł o skutkach prawnych "niezamówionych testów bezpieczeństwa" by już jakiś czas temu (nic tylko poszukać).
Tak czy owak oni doradzą ci najbardziej profesjonalnie, bo w końcu zajmują się tym zawodowo na co dzień.
edit: o nawet szybko znalazłem ten artykuł: http://niebezpiecznik.pl/post/nieautoryzowane-testy-penetracyjne-opinia-prawnika/
0
Nie rozumiemy się ;). Błąd, który znalazłem, można dostrzec podczas normalnego+ użytkowania, które mogło równie dobrze służyć 150 innym celom, jak najbardziej legalnym. To potencjalne wykorzystanie tego błędu byłoby nielegalne. Pytanie jak obszernie mogę to opisać, aby nie narażać się na oskarżenia o usiłowanie.
0
W takim wypadku, IMHO możesz opisać tak dokładnie jak tylko masz ochotę. Nie prezentuj slajdów z prób wykorzystania błędu itp. i powinno być OK.
0
a jeśli z góry zaznaczę (co będzie zgodne z prawdą), że na slajdach znajdują się screeny atrapy, samego front-endu? jest to o tyle istotne, że wśród obecnych będą osoby nietechniczne, które mogą nie zrozumieć wagi problemu, jeśli go po prostu nie zobaczą.
0
Bez urazy autorze, ale zachowujesz się... dziwnie. Trochę jak pewien (nieaktywny już) użytkownik tego forum o nicku maszynaz albo właściciel nieistniejącego już serwisu napisy.info. Jesteś zatrudniony przy utrzymywaniu tego serwisu? Jeżeli nie to problem powinieneś opisać w formularzu kontaktowym (który na pewno taki serwis zawiera) i w prosty sposób opisać znaleziony problem. Ty się zachowujesz trochę jak jakiś super-tajemniczy ekspert od zabezpieczeń. Moim zdaniem prosisz się o problemy, jest mnóstwo znacznie ciekawszych zajęć w codziennym życiu niż próba porywania się z motyką na słońce.
0
Jesteś zatrudniony przy utrzymywaniu tego serwisu?
Jak już wspomniałem, nie.
Jeżeli nie to problem powinieneś opisać w formularzu kontaktowym (który na pewno taki serwis zawiera) i w prosty sposób opisać znaleziony problem.
To uczelnia, a nie super nowoczesna firma IT. Wśród władz sporo osób starszej daty, mało obeznanych w kwestiach technicznych, które w dodatku nie lubią załatwiać "takich spraw przez telefon". Teraz już nie bardzo mogę wymigać się od tego "spotkania".
Ty się zachowujesz trochę jak jakiś super-tajemniczy ekspert od zabezpieczeń.
Jestem początkujący, a znaleziona luka jest podstawowa.
Moim zdaniem prosisz się o problemy, jest mnóstwo znacznie ciekawszych zajęć w codziennym życiu niż próba porywania się z motyką na słońce.
Pewnie, ale to słońce samo mi się poddało niejako przy okazji, nawet bez motyki.
0
Jeśli motykę rozumieć jako symbol słabych możliwości, a słońce jako coś niemożliwego do pokonania/zdobycia, to nie widzę problemu.
0
I jak tam, wyrzucili cię już z uczelni i masz postawione zarzuty czy pochwalili cię i dostałeś dyplom?