Witam,
z zawodu jestem programista - z zamilowania zajmuje się kontrolowaniem
bezpieczenstwa serwisow WWW.
Złożmy, ze znajduje serwis powaznej firmy - w ktorym nawet 5cio latek moze
wygrzebac
poufne informacje. Zakładamy zatem, że nie prowadzę działań szkodliwych -
umiem tylko
sprawnie szukać. Założmy też, że do tej pory zawsze w takim przypadku
wysyłałem informację
do takiej firmy "Hallo! Macie lukę tutaj i tutaj - zróbcie coś z tym".
No ale....uznałem że można na kontroli zabezpieczeń zarobić pięniądze -
dlaczego mam za darmo wyręczać
tych, którzy wzięli wynagrodzenie za to.
No i pytanie....Co jesli znajde lukę, poinformuję o tym zaintresowanego i
zaproponuję swoje usługi ?
Czy to może zostać potraktowane jako szantaż/ łamanie prawa?
Oczywistym jest, że gdy firma nie skorzysta z moich usług - nie wyjawię im
gdzie jest luka - ale przecież
dopóki nie wykorzystam tej wiedzy do działań niezgodnych z prawem - nie
można mi nić zarzucić ...?

pozdrawiam
kf

do góry

Dnia 01.08.2007 kf <m...@b...gg19840.pl> napisał/a:
> Witam,
> z zawodu jestem programista - z zamilowania zajmuje się kontrolowaniem
> bezpieczenstwa serwisow WWW.
> Złożmy, ze znajduje serwis powaznej firmy - w ktorym nawet 5cio latek moze
> wygrzebac
> poufne informacje. Zakładamy zatem, że nie prowadzę działań szkodliwych -
> umiem tylko
> sprawnie szukać. Założmy też, że do tej pory zawsze w takim przypadku
> wysyłałem informację
> do takiej firmy "Hallo! Macie lukę tutaj i tutaj - zróbcie coś z tym".
> No ale....uznałem że można na kontroli zabezpieczeń zarobić pięniądze -
> dlaczego mam za darmo wyręczać
> tych, którzy wzięli wynagrodzenie za to.
> No i pytanie....Co jesli znajde lukę, poinformuję o tym zaintresowanego i
> zaproponuję swoje usługi ?
> Czy to może zostać potraktowane jako szantaż/ łamanie prawa?

Jeśli zagrozisz, że w innym wypadku 'coś z tym zrobisz', to zdecydowanie
tak, ale poinformowanie i zaproponowanie swoich usług to moim zdaniem nic
złego. To tak jakby fryzjer nie mógł zaproponować krzywo obciętej osobie
poprawki.
--
Samotnik
http://www.bizuteria-artystyczna.pl/

do góry

On Aug 1, 2:12 pm, "kf" <m...@b...gg19840.pl> wrote:

> Oczywistym jest, że gdy firma nie skorzysta z moich usług - nie wyjawię im
> gdzie jest luka - ale przecież
> dopóki nie wykorzystam tej wiedzy do działań niezgodnych z prawem - nie
> można mi nić zarzucić ...?
>
> pozdrawiam
> kf

z tego co wiem to są firmy ktore z tego żyja, szukaja luk potem pisza
ze taka luka istnieja i za odpowiednia kwote sa w stanie ja naprawic i
sprawowac nadzór nad przyszłym bezpieczeństwem serwera.

do góry

kf <m...@b...gg19840.pl> wrote:

> No ale....uznałem że można na kontroli zabezpieczeń zarobić pięniądze
> - dlaczego mam za darmo wyręczać
> tych, którzy wzięli wynagrodzenie za to.
> No i pytanie....Co jesli znajde lukę, poinformuję o tym
> zaintresowanego i zaproponuję swoje usługi ?
> Czy to może zostać potraktowane jako szantaż/ łamanie prawa?
> Oczywistym jest, że gdy firma nie skorzysta z moich usług - nie
> wyjawię im gdzie jest luka - ale przecież
> dopóki nie wykorzystam tej wiedzy do działań niezgodnych z prawem -
> nie można mi nić zarzucić ...?

W tzw. IV RP to igranie z ogniem IMHO. Nie jest abslutnie wazne ze
nie ma w tym nic nielegalnego, duzo wazniejsze kogo zna prezes takiej firmy
z luka i jak szerokie ma plecy. IMHO daruj sobie - chyba u Vagli czytalem
kilka miesiecy temu bardzo prawdopodobnie wygladajacy opis podobnej sprawy
- chlopak konczacy informatyke znalazl prosty ale krytyczny blad php,
szkolny wrecz. Zaoferowal odplatne wusuniecie luki (bez znamoion szantazu -
po prostu usluga), nie ukrywal tozsamosci, wrecz z calkowita ufnoscia i
otwarta przylbica zglosil sie do tej firmy. Opuscil ja w kajdankach, co
wiecej skuto nawet jego rodzicow w podeszlym wieku, ktory grzecznosciowo
go podwiezli, a do sprawy zaangazowano spore sily policji, jak do jakiegos
terrorysty - spolka podobno byla duza i panstwowa. Teraz ma niemaly klopot,
nerwy calkowicie gratis, a pewnie w perspektywie wyrok skazujacy bo
przeciez nie mozna puscic wolno takiego "bandyty".

--
Pozdrawiam, Michal Bien
mailto:m...@m...uw.edu.pl
#GG: 351722 #ICQ: 101413938
JID: m...@j...org

do góry

Świadomy znaczenia swych słów i odpowiedzialności przed prawem Wed, 01 Aug
2007 16:50:21 +0200, Michal Bien zeznał(a):

(...)

Podsumujmy.
Koleś sprawdza witrynę, rozgląda się po niej,
znajduje błąd, i zgłasza się do firmy po kasę.

I oczywiście "nic złego nie miał na mysli"?

A jak będę stał na rogu z cegłówką
i poproszę o darowiznę, to mam coś
złego na myśli?

Przecież darowizny są legalnie i nieopodatkowane nawet do pewnej wysokości.

do góry

W dniu 2007-08-01 14:12 kf pięknie wystukał/a:

> umiem tylko
> sprawnie szukać.

Szukaj luk w zabezpieczeniach Microsoftu, a wynagrodzą Cię.

--
animka

do góry

Dnia Wed, 1 Aug 2007 16:43:14 +0000 (UTC), stern napisał(a):


> A jak będę stał na rogu z cegłówką
> i poproszę o darowiznę, to mam coś
> złego na myśli?

Nie sadz innych wg swojej miary...

--
marcin

do góry

Dnia 01.08.2007 stern <s...@n...to> napisał/a:
> Podsumujmy.
> Koleś sprawdza witrynę, rozgląda się po niej,
> znajduje błąd, i zgłasza się do firmy po kasę.
>
> I oczywiście "nic złego nie miał na mysli"?
>
> A jak będę stał na rogu z cegłówką
> i poproszę o darowiznę, to mam coś
> złego na myśli?
>
> Przecież darowizny są legalnie i nieopodatkowane nawet do pewnej wysokości.

Analogia nie pasuje.

To raczej jest tak, jakbyś podszedł do faceta stojącego pod parapetem, z
którego zaraz spadnie doniczka i powiedział mu, że zaraz mu ta doniczka na
łeb spadnie, ale Ty za pieniądze potrafisz mu doradzić w jaki sposób się
poruszać po mieście, żeby nie musieć się kolejnych doniczek obawiać.
Porównanie naciągane, ale nie umiem znaleźć lepszego, które byłoby podobne
do Twojego.
--
Samotnik
http://www.bizuteria-artystyczna.pl/

do góry

On Wed, 1 Aug 2007, stern wrote:

> Podsumujmy.
> Koleś sprawdza witrynę, rozgląda się po niej,
> znajduje błąd, i zgłasza się do firmy po kasę.
>
> I oczywiście "nic złego nie miał na mysli"?

Nie.

> A jak będę stał na rogu z cegłówką
> i poproszę o darowiznę, to mam coś
> złego na myśli?

Też się przyczepię analogii, i też nie mam bardzo dobrego wzoru :(
Jak będziesz miał przypadek zalania pralką - bo ma wadę fabryczną,
i widząc taką samą pralkę u kogo innego zaproponujesz "zapobiegawczą
naprawę" - to będziesz miał coś złego na myśli?
Przecież to NIE PROPONUJĄCY przyczynił się do wady i NIE PROPONUJĄCY
spowoduje szkodę - on tylko wie o "słabym punkcie" i może mu zapobiec,
przy czym jedynie jest to przypadek prawdopodobny (a nie pewny).
Czy MUSI to zrobić ZA DARMO? (to są dwa pytania, na każde słowo
pisane wielkimi literami osobno :))

pzdr, Gotfryd

do góry

Użytkownik "kf" <m...@b...gg19840.pl> napisał w wiadomości
news:f8ptks$8cg$1@nemesis.news.tpi.pl...

Moim zdaniem nie ma w tym nic nielegalnego, dokąd im nie grozisz, że przy
odmowie zapłacenia lukę wykorzystasz. Nie musisz przecie nawet ich na
początku informować, gdzie dokładnie jest luka. Możesz napisać, ze jest
załóżmy luka w zabezpieczeniu pozwalając na odczytanie poufnych danych.
jeśli sobie życzą, na dowód tego Możesz im przesłać jakąś próbkę (tylko na
ich życzenie!). I teraz proponujesz, że wskażesz tę lukę oraz ewentualnie
załatasz za tyle, a tyle złotych. To jest propozycja usługi, którą firma
może przyjąć, albo odrzucić.

do góry