Знать о намерении покупателя очень сложно. Покупатель може и наврать с три короба.
По поводу подстрекательства - так это нонсенс. Тогда должны быть закрыты все сайты типа
http://securityvulns.ru/
http://www.bugtrack.ru/
http://xakep.ru/
http://void.ru/ и т.д..
вместе с магазинами, которые торгуют столовыми ножами..
На счёт аргументов.. Может это и не аргумент, но я сам являюсь автором одной дыры в Novell Netware 3.12. Хоть это сейчас и не актуально, но тем не менее позвольте мне самому судить о своих намерениях. Т.е. не стоит всех под одну гребёнку..
Кстати, по поводу разработки средств взлома.
Ребята из http://www.elcomsoft.com/ этим и занимаются. Они не скрывают, что среди клиентов у них есть ребята из спецслужб. Что Вы скажете об этих ребятах? Ведь у них могут купить и не только спецслужбы..
Или XSpider от http://www.ptsecurity.ru/xs7.asp?
Если пользоваться Вашими аналогиями, то можно вспомнить Ваш пример с ножами: продавец ножами конечно же пытался причинить умышленный ущерб продавая наиболее острые партии ножей, которыми покупатель конечно же хотел убить соседа по даче, например. :)
Поступим по другому и скажем просто: совсем не очевидно и весьма спорно. Потенциальным покупателем может являться и человек с благими намерениями: разработчик антивируса, разработчик ПО, редация журнала по информационной безопасности, ребята из Пентагона, которые хотят сделать себе патч на основе инфы о дыре и т.д.
Это конечно не исключает возможности того, что инфу хочет купить и просто какой-то вандал, как и в примере со столовыми ножами..
"злой умысел водилы" - повеселило, впрочем как и про "инструкции использования". :)
Раз это "никак не связано с данной проблемой", то и не приводили бы аналогию, не я начал.
>> В нашем случае с информацией виден явный умысел..
По поводу покупателя: может это спецслужбы хотят купить инфу, а може быть сайт по уязвимостям хотят опубликоваться в журнале у себя, а может разработчики ПО? Вам откуда всё ясно? Да, это могут быть и script-kiddies, но говорить, что мол всё ясно я бы не стал.
О продавце - никакого явного умысла, кроме получить денег за работу, которая не является противозаконной, я не вижу.
Про автора экплойта, если Вам всё ясно, то Вы просто не программист, не хакер в том смысле, какой он был первоначально в анналах. Поэтому вам "ясно".
Мне Ваши аналогии напоминают софизмы.. Я попробую переделать Вашу аналогию, чтобы она соответствовала тому, что человек Выше написал.
Производитель выпускает противоугонные устройства для машин. Устройство периодически опрашивает (по радио) брелок хозяина, если ответ неверный или не получен, то вырубает двигатель. Доверчивый бедняга совершенно случайно ехал мимо фуры, в которой водила решил воспользоваться рацией для связи со своими. Противоугонное устройство опрашивает в этот момент брелок хозяина и на фоне рации водилы фуры ничего не услышало в ответ, двигатель встаёт колом. Последствия легко предсказуемы.
Возможно технически я изложил не правильно, но это реальный пример из жизни.
Следуя Вашей аналогии виноват конечно же доверчивый бедняга, купивший противоугонное устройство, потому что.. э-эээ.. например, не экранировал свою машину от всех внешних электромагнитных, гравитационных и прочих воздействий. :)) Труба. Занавес.
>> ее сбор, а так же дальнейшее использование (сбыт, распространение и пр.) - является.
Обоснуйте. На каких это основаниях?
>> А насчет затрат... так крестьянин тоже растил-растил маковое поле...
Крестьянин выращивал наркотик. Т.е. уже выращивая он нарушал закон.
Когда кто-то изучает чьё-то ПО и находит в нём ошибки, нарушением закона не является.
То, о чём Вы пишете, это использование информации об уязвимости в деструктивных целях, а не сама информация об уязвимости.
Недоработки в программных продуктах - это личная проблема производителя ПО, а не тех, кто её обнаружил. Я не вижу ни одной законной причины, почему я не могу владеть этой информацией и делиться ею за деньги. Человек изучал продукт на ошибки, потратил кучу сил, времени и ресурсов и хочет за свою работу денег.
То, что бизнес вышел из андеграунда - положительный момент. Т.к. теперь производитель ПО может сам купить свои ошибки, если цена вопроса соответствует серьёзности уязвимости. Это лучше, чем если бы производитель ничего не знал.
я думаю, что недопустимо.
в данном случае это всё равно, что открыть магазин, начать торговать чем-то нелегальным (причём покупатели могут даже об это не подозревать), а потом арестовывать тихо, без шуму и пыли, всех покупателей.
А откуда человек знает, легально ли то, что он качает или нет? Сел 10-и летний подросток, увидел фильм и давай качать, к примеру.
Я думаю, что нужно подать в суд против этого сайта за распространение контента, защищенного законом об авторском праве.
По поводу подстрекательства - так это нонсенс. Тогда должны быть закрыты все сайты типа
http://securityvulns.ru/
http://www.bugtrack.ru/
http://xakep.ru/
http://void.ru/ и т.д..
вместе с магазинами, которые торгуют столовыми ножами..
Кстати, по поводу разработки средств взлома.
Ребята из http://www.elcomsoft.com/ этим и занимаются. Они не скрывают, что среди клиентов у них есть ребята из спецслужб. Что Вы скажете об этих ребятах? Ведь у них могут купить и не только спецслужбы..
Или XSpider от http://www.ptsecurity.ru/xs7.asp?
Поступим по другому и скажем просто: совсем не очевидно и весьма спорно. Потенциальным покупателем может являться и человек с благими намерениями: разработчик антивируса, разработчик ПО, редация журнала по информационной безопасности, ребята из Пентагона, которые хотят сделать себе патч на основе инфы о дыре и т.д.
Это конечно не исключает возможности того, что инфу хочет купить и просто какой-то вандал, как и в примере со столовыми ножами..
Раз это "никак не связано с данной проблемой", то и не приводили бы аналогию, не я начал.
>> В нашем случае с информацией виден явный умысел..
По поводу покупателя: может это спецслужбы хотят купить инфу, а може быть сайт по уязвимостям хотят опубликоваться в журнале у себя, а может разработчики ПО? Вам откуда всё ясно? Да, это могут быть и script-kiddies, но говорить, что мол всё ясно я бы не стал.
О продавце - никакого явного умысла, кроме получить денег за работу, которая не является противозаконной, я не вижу.
Про автора экплойта, если Вам всё ясно, то Вы просто не программист, не хакер в том смысле, какой он был первоначально в анналах. Поэтому вам "ясно".
Производитель выпускает противоугонные устройства для машин. Устройство периодически опрашивает (по радио) брелок хозяина, если ответ неверный или не получен, то вырубает двигатель. Доверчивый бедняга совершенно случайно ехал мимо фуры, в которой водила решил воспользоваться рацией для связи со своими. Противоугонное устройство опрашивает в этот момент брелок хозяина и на фоне рации водилы фуры ничего не услышало в ответ, двигатель встаёт колом. Последствия легко предсказуемы.
Возможно технически я изложил не правильно, но это реальный пример из жизни.
Следуя Вашей аналогии виноват конечно же доверчивый бедняга, купивший противоугонное устройство, потому что.. э-эээ.. например, не экранировал свою машину от всех внешних электромагнитных, гравитационных и прочих воздействий. :)) Труба. Занавес.
Обоснуйте. На каких это основаниях?
>> А насчет затрат... так крестьянин тоже растил-растил маковое поле...
Крестьянин выращивал наркотик. Т.е. уже выращивая он нарушал закон.
Когда кто-то изучает чьё-то ПО и находит в нём ошибки, нарушением закона не является.
Недоработки в программных продуктах - это личная проблема производителя ПО, а не тех, кто её обнаружил. Я не вижу ни одной законной причины, почему я не могу владеть этой информацией и делиться ею за деньги. Человек изучал продукт на ошибки, потратил кучу сил, времени и ресурсов и хочет за свою работу денег.
То, что бизнес вышел из андеграунда - положительный момент. Т.к. теперь производитель ПО может сам купить свои ошибки, если цена вопроса соответствует серьёзности уязвимости. Это лучше, чем если бы производитель ничего не знал.
в данном случае это всё равно, что открыть магазин, начать торговать чем-то нелегальным (причём покупатели могут даже об это не подозревать), а потом арестовывать тихо, без шуму и пыли, всех покупателей.
Я думаю, что нужно подать в суд против этого сайта за распространение контента, защищенного законом об авторском праве.