Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2018-09-22 21:21:20

  091619EE - Użytkownik

091619EE
Użytkownik
Zarejestrowany: 2018-07-09

Czy Zerodium jest legalne ?

Czy handlowanie exploitami zeroday na pewno jest w pełni legalne ?

Jak to jest że taka firma jak Zerodium normalnie działa
skupując exploity, nie informując o nich producentów oprogramowania
i odsprzedając je ludziom wykorzystującym te podatności w celu
omijania zabezpieczen

i to wszystko jest naprawdę zgodne z prawem ?

https://twitter.com/zerodium

Offline

 

#2  2018-09-23 10:39:47

  urbinek - Użytkownik

urbinek
Użytkownik
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Czy Zerodium jest legalne ?

Nie kojarzę zapisów zabraniających zbierania, posiadania czy handlowania exploitami. Przy czym używać ich możesz jedynie w swojej infrastrukturze albo za zgodą klienta (tzw. testy penetracyjne)


A w wolnym czasie, robię noże :)
[img]http://nginx.urbinek.eu/_photos/signature.png[/img]

Offline

 

#3  2018-09-23 13:09:06

  ciastek1981 - Użytkownik

ciastek1981
Użytkownik
Zarejestrowany: 2016-06-19

Re: Czy Zerodium jest legalne ?

Tu masz opracowanie https://en.wikipedia.org/wiki/Market_for_zero-day_exploits

Typically the parties opposed to gray markets are the retailers of the item in the market as it damages its profits and reputation. As a result, they usually pressure the original manufacturer to adjust the official channels of distribution. The state also plays an important role enforcing penalties in the case of law infringement. However, the zero-day exploit market is atypical and the way it operates is closer to the workings of the black market. Brokers and bounty programs, which could be seen as retailers of zero-days, have no control whatsoever on the original producers of the "bad" as they are independently discovered by different, and often anonymous, actors. It is not in their interest to change the channel of distribution as they can profit from both the white and gray markets, having much less risk in the former.

States, which usually complement the labour of the original manufacturers to restrict gray markets, play a different role in the zero-day market as they are regular purchasers of exploits. Given the secretive nature of information security, it is not in their interest to disclose information on software vulnerabilities as their interest is, in this case, aligned with that of the criminals who seek to infiltrate devices and acquire information of specific targets. It can be argued that the presence of intelligence agencies as consumers of this "bad" could increase the price of zero-days even further as legitimate markets provide bargaining power to black-market sellers.[5]

Finally, private companies are unwilling to raise the prices of their rewards to those levels reached in the gray and black markets arguing that they are not sustainable for defensive markets.[15] Previous studies have shown that reward programs are more cost-effective for private firms as compared to hiring in-house security researchers,[16] but if the prize of rewards keeps increasing that might not be the case anymore.

In 2015, Zerodium, a new start-up focused on the acquisition of "high-risk vulnerabilities", announced their new bounty program. They published the formats required for vulnerability submissions, their criteria to determine prices—the popularity and complexity of the affected software, and the quality of the submitted exploit—and the prices themselves. This represents a mixture of the transparency offered by traditional vulnerability reward program and the high rewards offered in the gray and black markets.[17] Software developer companies perceived this new approach as a threat, primarily due to the fact that very high bounties could cause developer and tester employees to leave their day jobs.[15] Its effects on the market, however, are yet to be defined.

The NSA was criticized for buying up and stockpiling zero-day vulnerabilities, keeping them secret and developing mainly offensive capabilities instead of helping patch vulnerabilities.[18][19][20][21][/quote]


Burble, Burble, Burble ... hahaaaaaaa :D

Forum Linux Mint Polska http://forum.linuxmint.pl/

Offline

 

#4  2018-09-23 13:30:40

  urbinek - Użytkownik

urbinek
Użytkownik
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Czy Zerodium jest legalne ?

[quote=ciastek1981]Tu masz opracowanie https://en.wikipedia.org/wiki/Market_for_zero-day_exploits
[...][/quote]
tl;dr natomiast interesowało by mnie polskie opracowanie  tego tematu :)

To, że gdzieś komuś coś się nie podoba nijak się ma do naszego włodarza


A w wolnym czasie, robię noże :)
[img]http://nginx.urbinek.eu/_photos/signature.png[/img]

Offline

 

#5  2018-09-23 22:51:36

  091619EE - Użytkownik

091619EE
Użytkownik
Zarejestrowany: 2018-07-09

Re: Czy Zerodium jest legalne ?

[quote=urbinek]Nie kojarzę zapisów zabraniających zbierania, posiadania czy handlowania exploitami. Przy czym używać ich możesz jedynie w swojej infrastrukturze albo za zgodą klienta (tzw. testy penetracyjne)[/quote]
Legalne jest nawet sprzedawanie błędów które samemu się zrobiło ?

[quote=urbinek]tl;dr natomiast interesowało by mnie polskie opracowanie  tego tematu :)

To, że gdzieś komuś coś się nie podoba nijak się ma do naszego włodarza[/quote]
A co w często występującej sytuacji gdy serwer z oprogramowaniem skanującym znajduje się w innej jurysdykcji prawnej niż serwer atakowany ?

Wtedy obowiązuje prawo właściwe dla której lokalizacji ?

Ostatnio edytowany przez 091619EE (2018-09-23 22:53:09)

Offline

 

#6  2018-09-23 23:10:29

  091619EE - Użytkownik

091619EE
Użytkownik
Zarejestrowany: 2018-07-09

Re: Czy Zerodium jest legalne ?

[quote=urbinek]Nie kojarzę zapisów zabraniających zbierania, posiadania czy handlowania exploitami. Przy czym używać ich możesz jedynie w swojej infrastrukturze albo za zgodą klienta (tzw. testy penetracyjne)[/quote]
W takim razie jak współpraca polskiego dostawcy z Zerodium miałaby się w do tego paragrafu:

art. 269b kk Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.[/quote]

Offline

 

#7  2018-09-24 03:37:50

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Czy Zerodium jest legalne ?

W Polsce dominujący ustrój polityczny to [url=https://en.wikipedia.org/wiki/Impossibilism]imposybilizm[/url],
jakbyś chciał brać pod uwagę wszystkie przepisy, to byś się udusił,
bo oddychać też nie wolno i jest na to kilka ważnych przepisów.
Np dotyczących emisji gazów cieplarnianych. xD

Jak chcesz handlować exploitami, to zarejestruj firmę na Wyspach Brytyjskich
albo w innych cywilizowanych rejonach.
Tylko najpierw upewnij się co do stanu prawnego w miejscu, gdzie firmę rejestrujesz.

Ostatnio edytowany przez Jacekalex (2018-09-24 03:47:25)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.012 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00144 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='54.86.180.90' WHERE u.id=1
0.00101 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '54.86.180.90', 1711700688)
0.00088 SELECT * FROM punbb_online WHERE logged<1711700388
0.00092 SELECT topic_id FROM punbb_posts WHERE id=321256
0.00109 SELECT id FROM punbb_posts WHERE topic_id=30639 ORDER BY posted
0.00101 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30639 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00106 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30639 ORDER BY p.id LIMIT 0,25
0.00129 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30639
Total query time: 0.00891 s