Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.285
Wer ne Lücke geschlossen gefunden hat und die geschlossen sehen will, wird normalerweise einen Rückkanal anbieten wollen. Anonyme Rückkanäle sind recht schwierig und könnten einem vor Gericht auch negativ ausgelegt werden (Absicht zur Verschleierung).Tici schrieb:Und was spricht dagegen die Lücke anonym zu melden? Wenn es den Leuten nur geht die Lücken zu finden um Profit daraus zu machen, dann gehören die halt hinter Gittern.
Und von Bugbuntyprogrammen ein Einkommen bestreiten zu können wäre gesellschaftlich wünschenswert. Die geschädigten der Lücken sind ja in der Regel unbeteiligte Dritte deren Daten ausgeschleußt werden, wenn die Lücken bestand haben.
Das Interesse der Gesellschaft, das Lücken geschlossen werden ist weit bedeutender als das Interesse in der Freizeit unbezahlt in der Scheiße irgendwelcher Bastelbuden rumzufingern.Boimler schrieb:Und das Interesse derer, die legal Sicherheitslücken melden möchten, steht hier in Konkurrenz zum Datenschutz.
Das wäre dann auch das Schutzziel der bestehenden Datenschutzgesetzgebung.
Nochmal, es ist auch zum jetzigem Stand nicht das Problem die Gerichte urteilen. Bei ordnungsgemäßem responsible Disclosure hauen die den Beglagten den StGB 202 nicht um die Ohren. Die Strafverfolgung samt Hausdurchsuchung und Beschlagnahmung von allem was ein Computer sein könnte ist das Problem. Das Problem kompensiert die Neufassung eher nicht.Boimler schrieb:Wie oft kommen solche Entdeckungen vor und wegen was wurde derjenige dann verurteilt? Wenn mir beim Entdecken der Lücke auffällt, was ich damit anrichten kann, ich das sofort melde und keine Daten dauerhaft speichere oder ausnutze, brauche ich keine Haftstrafe fürchten. Die hier so oft zitierten Logs müssten den Zufallsfund dann ja auch bestätigen.
Ergänzung ()
Zufallsfunde sind eigentlich immer privat. Im beruflichen Umfeld ist die Zeit nicht da. Privat kommt es aber schon eher mal vor, dass man einem "das schaut komisch aus" folgt und etwas findet.Boimler schrieb:Zufallsfunde geschehen ja auch eher im betrieblichen Umfeld und soweit ich weiß, darf die Staatsanwaltschaft auch nur dann deine privaten Geräte beschlagnahmen, wenn der Verdacht besteht, dass darauf Daten abgeflossen sind.
Und wenn man ein Angriffsvektor am Produktivsystem testet, um die Angreifbarkeit zu belegen, sind Daten abgeflossen. Das was du als Hürde nennst ist in solchen Fällen keine. Im Bereich Sicherheit ist es völlig üblich anzunehmen, dass wenn ein Exploit existiert der Datenabfluss als gegeben angesehen werden kann.