Domanda:
È legale vendere exploit zero-day?
Franck Dernoncourt
2015-06-11 00:42:34 UTC
view on stackexchange narkive permalink

Qualcuno che ha scoperto un exploit zero-day in un programma può vendere le informazioni e la giurisdizione applicabile dipende dalla sua posizione, dalla posizione dell'acquirente, dalla posizione dello sviluppo del prodotto che il sfruttare obiettivi o qualcos'altro?

Sei, come minimo, tenuto a obbedire alle leggi del luogo in cui vivi. La risposta quindi dipende da dove si trova.
@cpast luogo dove vivo o luogo dove eseguo la vendita?
Uno / entrambi. Il luogo in cui ti trovi fisicamente è un luogo in cui devi * sempre * obbedire alle leggi locali, ma tali leggi potrebbero non vietare la vendita a qualcuno in un altro paese.
Una risposta:
Petr Hudeček
2015-06-12 01:22:31 UTC
view on stackexchange narkive permalink

Potrebbe essere illegale.

Per il diritto penale, di solito è necessario obbedire alle leggi di tre paesi:

  • Il paese di cui hai la cittadinanza (da principio della personalità)
  • Il paese da cui effettui la vendita (per principio di territorialità)
  • Il paese che ospita l'interesse attaccato (per principio di territorialità)

Quindi dipende dalla giurisdizione (e da altri fattori) se la vendita è legale o meno. Userò l'esempio del mio paese, la Repubblica Ceca.

Esiste un reato denominato "Accesso non autorizzato a un sistema informatico o dispositivo di archiviazione dati" . Ad esempio, commetti questo crimine sfruttando una vulnerabilità in un'applicazione web e copiando i dati del proprietario web sul tuo computer.

È anche codificato che chiunque faciliti intenzionalmente la commissione di un crimine fornendo al criminale si ritiene che anche le risorse (come l'exploit) abbiano commesso il crimine. Affinché ciò si applichi, devi sapere o aspettarti che l'exploit verrà utilizzato per commettere un crimine. I tribunali lo deciderebbero.

Mi piace questa risposta e per scopi pratici l'elenco dei tre punti è probabilmente corretto. Vale solo la pena notare che quelle categorie non sono strettamente allineate con l'analisi giuridica pertinente, che ruota su questioni di giurisdizione personale e scelta della legge non sulle categorie sopra elencate. Non una critica alla risposta, solo informazioni utili per i lettori.
Questo è esattamente lo stesso del Regno Unito (anche il crimine identificato).
** devi sapere o aspettarti che l'exploit venga utilizzato per commettere un crimine ** questo è il pezzo chiave.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...