Frage:
Haftung für Schäden in den USA für das Auffinden und Offenlegen von "0-Tage" -Computer-Exploits
Digital fire
2015-05-28 17:21:49 UTC
view on stackexchange narkive permalink

In der IT- / Programmiersicherheitswelt wenden sich Benutzer normalerweise an den Anbieter / Eigentümer einer bestimmten Software, wenn sie einen Fehler oder eine Sicherheitslücke finden, und geben ihnen Zeit, diese zu patchen, bevor sie den Fehler oder die Sicherheitslücke zur öffentlichen Prüfung / Sensibilisierung freigeben. Dies ist normalerweise eine Höflichkeit, es sei denn, Sie sind vertraglich gebunden. Aber wie in Wenn ich einen 0-Tag finde oder erstelle gefragt: Was ist, wenn ich eine Sicherheitslücke in einer weit verbreiteten Software finde?

Kann ich für Schäden haftbar gemacht werden? Wenn ich "Proof of Concept" -Code für die Öffentlichkeit freigebe, ohne dem Anbieter Zeit zu geben, seinen anfälligen Code ordnungsgemäß zu patchen und zu aktualisieren? s>

UPDATE: Nach einer Diskussion über diese Frage mit einigen Kollegen, Mir wurde klar, dass ich bei der Frage etwas genauer sein muss: Sicherheitsforscher arbeiten normalerweise mit dem Anbieter zusammen, um zu versuchen, den Fehler / die Sicherheitsanfälligkeit zu beheben (zu beheben). Wenn nach ausreichender (30 Tage?) Zeit verstrichen ist und der Anbieter den Code nicht festgelegt hat, wird eine vollständige Offenlegung öffentlich veröffentlicht.

Kann ich für Schäden haftbar gemacht werden, die danach verursacht wurden die Veröffentlichung eines "Proof of Concept" -Codes, wenn die Software / der Anbieter Open Source ist? Was ist, wenn der Anbieter / die Software Closed Source ist?

Einer antworten:
#1
+14
kevin
2015-05-28 18:53:45 UTC
view on stackexchange narkive permalink

Können Sie für Schäden haftbar gemacht werden? Unter Deliktsrecht, ja.

Nehmen wir an, jemand hat einen Virus entwickelt, der auf Ihrem Code basiert. Das Virus verursachte Millionen von Dollar Schaden. Der Kläger (Softwareanbieter) kann argumentieren, dass:

  1. Sie eine Sorgfaltspflicht haben
  2. ol>

    , um Handlungen zu vermeiden oder Auslassungen, die Sie vernünftigerweise vorhersehen können, können Ihren Nachbarn verletzen.

    Donoghue v. Stevenson (1932) (UK)

    Das Konzept der Sorgfaltspflicht findet sich auch im US-amerikanischen Recht, beispielsweise in MacPerson gegen Buick Motor Co. (1916) , in dem festgestellt wurde, dass ist kein Vertrag erforderlich.

    1. Pflichtverletzung: Eine vernünftige Person kann vorhersehen , dass der "Proof of Concept" Schaden anrichten kann. Das Freigeben von Code entspricht daher nicht dem erwarteten Standard. Wenn Sie ein IT-Experte sind, wird es schwierig sein, diesen Punkt zu verteidigen.
    2. Zwischen Ihrem Code besteht eine Kausalität Freigabe und der daraus resultierende Schaden.

    3. Sie haften für Nachlässigkeit .

    4. Schaden: Es Es ist wahrscheinlich, dass Benutzer den Softwareanbieter wegen ihrer Verluste verklagen. Der Softwareanbieter wird Sie dann verklagen, da der Softwareanbieter wegen Ihnen gegenüber seinen Kunden eine Entschädigung zahlen muss.

    5. ol>

      Dies hängt natürlich davon ab, was genau Sie veröffentlicht haben zur Öffentlichkeit. Wenn beispielsweise erhebliche Anstrengungen erforderlich sind, um Ihren "Proof of Concept" in einen tatsächlichen Exploit umzuwandeln, und Sie eine Problemumgehung bereitgestellt haben, um diese Sicherheitsanfälligkeit zu vermeiden, können Sie sich verteidigen, indem Sie argumentieren, dass die Ursache-Wirkungs-Verknüpfung zu weit entfernt ist


      Also muss ich den Bericht privat halten? Was ist, wenn die Software Open Source ist?

      Nicht wirklich. Sie sollten angemessene Maßnahmen ergreifen, um sicherzustellen, dass Ihr "Proof of Concept" kein tatsächlicher Exploit ist und ein Hacker viel Zeit benötigt, um eine funktionierende schädliche Software zu entwickeln. CVE ist eine Plattform, auf der Schwachstellen öffentlich geteilt werden.


      Was ist, wenn Sie dem Anbieter ausreichend Zeit zur Behebung der Schwachstelle eingeräumt haben?

      Es spielt für Sie keine Rolle, ob dem Anbieter Zeit zur Behebung der Sicherheitsanfälligkeit gegeben wurde. Dies ist für den Anbieter von Bedeutung, da der Anbieter, wenn etwas später passiert, das Problem frühzeitig kennt und nicht die entsprechenden Ressourcen zur Behebung des Problems zugewiesen hat.

      Zum Nachweis einer vorhandenen Sicherheitsanfälligkeit gibt es keine Anweisungen zur Verwendung dieser Sicherheitsanfälligkeit benötigen. Sie können beispielsweise ein Video aufnehmen, das die Auswirkungen des Hacks zeigt.


      Hier (Wayback Machine; ursprünglicher Link ist tot) ist eine interessante Lektüre darüber, wie Motorola Dinge berücksichtigt ihre eigenen Hände, nachdem sie eine Sicherheitslücke im Xerox CP-V-System entdeckt hatten und Xerox das Problem nicht behoben hatte.

Ich habe die Frage aktualisiert. Ich glaube, die Antwort wäre nur auf eine Situation anwendbar, in der die Sicherheitsanfälligkeit in einer "Closed-Source" -Software / -Hardware liegt.
Der von Ihnen angeführte Fall war ein Fall aus Großbritannien. Da die Frage mit "USA" gekennzeichnet war, möchten Sie möglicherweise ausdrücklich erwähnen, dass Sie einen Fall aus dem Vereinigten Königreich zitiert haben (oder wenn die gesamte Antwort auf britischem Recht basiert, sagen Sie dies).
@cpast Ich habe einen Verweis auf den US-Fall hinzugefügt.
Stellen Sie sicher, dass Sie erwähnen, dass der US-Fall ein staatlicher Rechtsfall ist. Es gibt kein Bundesgewohnheitsrecht (obwohl Rechtswissenschaftler Haare spalten können). Beachten Sie auch, dass es zwar einen Fahrlässigkeitsanspruch gibt, es jedoch eine größere Frage des ** Stehens ** gibt, dh wer berechtigt ist, den Anspruch zunächst geltend zu machen, und es gibt auch die Frage des ** Schadensersatzes **. In einem Fahrlässigkeitsanspruch sind also alle ** (1) ** Pflicht erforderlich; ** (2) ** Verletzung; ** (3) ** Kausalität; und ** (4) ** Schadensersatz und ** (5) ** der Kläger muss berechtigt sein, den Anspruch geltend zu machen.
Diese Antwort scheint etwas rückwärts zu sein - warum ist es die Schuld des Forschers, wenn die Programmierer des Unternehmens, das den Code geschrieben hat, nicht zählen und / oder tippen können? Z.B. off-by-one usw. Ebenso wird für die meisten Softwareprodukte keine Garantie gewährt. Wenn sich der Hersteller ausdrücklich für eine Garantie entschieden hat, ist es nicht Ihre Schuld, dass er dies getan hat, ohne sicherzustellen, dass sein Code nicht diesen ein oder anderen einfachen Fehlern unterliegt.
@cnst: Es ist kein Fehler, es ist ein Fehlverhalten, anderen beizubringen, wie man eine Software ausnutzt, die Schaden anrichten kann. Es ist auch nicht wahr, dass die meisten Softwareprodukte keine Garantie haben: Zumindest die meisten Unternehmenssoftware.
@kevin Ich bin nicht der Meinung, dass es falsch ist, anderen beizubringen, wie man Fähigkeiten einsetzt. Genau wie jemandem zu zeigen, wie man eine Waffe oder einen Hammer benutzt, macht ihn nicht zum Verbrecher. Es ist das, was sie mit dieser Waffe oder diesem Hammer machen, was eine kriminelle Handlung darstellen würde.
@DigitalFire Ich stimme zu. Es muss unterschieden werden, ob man jemandem den Umgang mit einer Waffe beibringt oder eine bewaffnete Waffe auf einem Schreibtisch liegen lässt. Wie gesagt, Schwachstellen können auf CVE öffentlich bekannt gegeben werden.
Kevin, Dead Link "Hier ist eine interessante Lektüre darüber, wie Motorola die Angelegenheit selbst in die Hand nimmt, nachdem sie eine Sicherheitslücke im Xerox CP-V-System entdeckt und Xerox das Problem nicht behoben hat." Ich möchte das lesen):
@LateralTerminal Ich habe es in einem Webcache gefunden und im Einfügebehälter verfügbar gemacht.
Kevin, ist das eine wahre Geschichte? Auch wenn es nicht so ist, ich liebe es.
@kevin Das ist ziemlich gut.
"Sie haben die Sorgfaltspflicht, Handlungen oder Unterlassungen zu vermeiden, von denen Sie vernünftigerweise erwarten können, dass sie Ihren Nachbarn verletzen." Das ist eine irreführende Darstellung von Zitaten. Donoghue stellte nicht fest, dass es eine allgemeine Sorgfaltspflicht zur Vermeidung von Fahrlässigkeit gibt. Er stellte fest, dass * wenn * eine Sorgfaltspflicht besteht, diese Pflicht durch Fahrlässigkeit verletzt werden kann. Wenn ein Hacker seine Offenlegung verwendet, um einen Exploit durchzuführen, sind die Aktionen des Hackers eindeutig eine Zwischenursache. Darüber hinaus würde jede Haftungsfeststellung die erste Änderung implizieren.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...