Legalita whitehat hackingu?

HackForum

Legalita whitehat hackingu?#
Zdravim,
dejme tomu, ze nekdo zabyvajici se pocitacovou bezpecnosti narazi na zajimavou webovou stranku a ze zvyku si ji proklepne a najde bezpecnostni chybu. Tuto okamzite ohlasi adminovi.
A ted: dopustil se trestneho cinu? Nevztahuje se na to okolnost vylucujici protipravnost?
A dejme tomu, ze takova osoba o te chybe napise clanek nebo ji nahlasi sem do bugtracku. Je toto jednani trestnym cinem?
Diky za info
(odpovědět)
AhNoNym | 74.120.12.*11.8.2011 4:04
re: Legalita whitehat hackingu?#
uz tim testovanim se dopoustis trestneho cinu, kazdopadne je potreba to brat realisticky. pokud tu chybu nezneuzijes a ohlasis, tak by te s velkou pravdepodobnosti zadny soud neodsoudil...
pokud o tom budes psat clanek a ten vyzni jako navod na utok, tak se rovnez dopoustis trestneho cinu. pokud to ovsem napises formou "pripadny utocnik by mohl...", pak je to v poradku (neprokaze-li ti nikdo, ze jsi tu chybu na serveru nasel ty a pouzil).
(odpovědět)
Emkei | E-mail | Website | PGP11.8.2011 8:07
re: Legalita whitehat hackingu?#
Já ještě doplním, že záleží také na způsobu testování a druhu chyb, které hledáš. U XSS například není trestné testovat, zda je na ně aplikace náchylná, ale trestným se stává testování využití této chyby na uživatelých. Paragrafů na toto téma je jen pár, tak si je zkus přečíst.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP11.8.2011 8:20
re: Legalita whitehat hackingu?#
Emkei: Tak clanky se pisou az pote, co byla chyba opravena, ne? A pochybuju, ze to pak lze vzit jako navod k utoku.
.cCuMiNn.: Paragrafy jsem si precetl, prave protoze se mi zda, ze by to skutecne TC mohl byt, ale zaroven by se na to IMO dal uplatnit paragraf o "pripustnem riziku". (Whitehat zabranil vetsim skodam). Mimochodem, zda se mi, ze podle toho paragrafu (230 TZ, treba zneuziti chyb typu nechraneho uploadu/downloadu neni poruseni toho zakona. Co vy na to?
Ono totiz, abych trochu vysvetlil proc se vlastne ptam: Kdysi davno (ale jeste ne tak davno, aby to bylo promlcene) si kamarad obcas proklepl nejaky web a chybu okamzite reportoval. Vse z vysledovatelneho pripojeni a maily podepisoval svym obcanskym jmenem. Jednalo se i o docela velke ryby. Pak mu nejaky admin udajne vyhrozoval trestnim oznamenim, tak s tim prestal. A ted mi tvrdi, ze by rad sepsal jaka je v ceskych koncinach uroven zabezpeceni, s vyuzitim prave tech konkretnich prikladu. A ode me chce poradit co a jak. Diky za odpoved, poslu mu link na tuhle diskuzi.
(odpovědět)
AhNoNym | 192.251.226.*15.8.2011 20:19
re: Legalita whitehat hackingu?#
Přesně to stejné se nejednou stalo i mně. Reportoval jsem vždy chybu a postup, jak jí předejít, včetně odkazů na danou problematiku. Nevystupoval jsem sice pod svým skztečným jménem, ale i tak mě jednání těchto adminů dost překvapilo a znechutilo. Od té doby jsem reportování chyb neřešil, protože, z mého pohledu, si admini, vzhledem ke svému jednání, oznámení o chybách nezaslouží.

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website15.8.2011 21:13

Zpět
 
 
 

 
BBCode