Probablemente no sea propiedad intelectual del fabricante de software. Por definición, un exploit de 0 días es algo que la empresa que desarrolló el software desconoce. Por lo tanto, no puede patentar algo que no conoce y tampoco puede tener un secreto comercial en algo que tampoco conoce (pero obviamente puede tener un secreto comercial en la arquitectura del código que conduce a el exploit, pero revelar el exploit podría no significar realmente revelar la arquitectura). Los derechos de autor solo se aplican a la expresión de una idea, no a la idea en sí misma, por lo que la empresa tampoco puede tener derechos de autor sobre algo así. Sin embargo, si alguien expresara realmente el exploit como código (en lugar de simplemente describirlo), entonces la compañía tendría motivos para una demanda por infracción de derechos de autor, ya que presumiblemente el código sería una copia no autorizada o un derivado del código de la compañía. Entonces, en general, la compañía no tendría fuertes reclamos de derechos de propiedad intelectual en la idea del exploit. Esa no sería una forma efectiva de demandar al hacker.
Si hablamos de errores que no son realmente exploits de 0 días porque la empresa los conocía antes del envío, entonces creo que el análisis de IP podría ser diferente. Sin embargo, no creo que valga la pena preocuparse porque ninguna compañía va a admitir a sus clientes que envió un producto con un agujero crítico de seguridad a sabiendas de él simplemente para atacar a un pirata informático.
Quien haya encontrado el exploit de 0 días podría tener un interés de propiedad intelectual en él. Pero, sinceramente, ni siquiera vale la pena analizarlo porque si el pirata informático alguna vez demandó a alguien por “robar” su hazaña después de publicarlo EN VENTA para los blackhats, no hay juez en el mundo que escuche ni siquiera un minuto de eso. Se reduciría casi de la misma manera que si un traficante de drogas llamara a la policía por otro traficante de drogas.
- ¿Puede el software antivirus eliminar troyanos por completo?
- ¿Cuáles son algunas formas en que mi cuenta de Facebook podría ser hackeada? ¿Qué puedo hacer para evitar que eso suceda?
- ¿Es posible prevenir ataques malvados de mucama?
- ¿Podrían los hackers piratear el sistema de votación de cada estado para que Donald Trump sea elegido presidente?
- ¿Por qué las agencias del gobierno de los Estados Unidos son tan vulnerables a los ataques de piratería?
Creo que la respuesta podría ser diferente si el titular del exploit de 0 días no intentara explotarlo (negativamente) activamente. Digamos que esa persona es solo un investigador o trabaja para una empresa de seguridad o está tratando de vender el exploit a una empresa de seguridad, etc. La documentación del exploit estaría cubierta por la ley de derechos de autor. El exploit en sí no pudo ser patentado porque el hacker no INVENTÓ el exploit realmente, la compañía sí. No creo que encontrar un exploit sea realmente diferente de encontrar algo que crece en el bosque: el pirata informático no “inventó” ni “creó” el exploit, simplemente lo identificó. Creo que también podría haber un argumento colorable de que el conocimiento del exploit es el secreto comercial del hacker si el hacker trabaja para un negocio de seguridad y usa ese conocimiento para proteger los sistemas de las personas. Ciertamente, esa compañía no estaría obligada a revelar sus hallazgos al fabricante del software.
Sin embargo, dejando de lado los asuntos de propiedad intelectual, creo que un fabricante de software y otras partes potenciales podrían intentar demandar a alguien que vende conocimiento de un exploit. Cualquiera que intente encontrar el exploit o intente usar ese exploit podría estar 1) violando una licencia del fabricante de software, 2) violando los términos de servicio del fabricante de software 3) tal vez violando los términos de servicio de su ISP 4) tal vez violar los términos de servicio de un operador de telefonía móvil 5) podría estar “traspasando” los servidores del fabricante de software 6) podría estar accediendo a datos confidenciales / altamente sensibles / clasificados, etc. Aquí hay muchas posibilidades. Como mínimo, la compañía podría presentar un reclamo en virtud de la Ley de Abuso y Fraude Informático alegando que el pirata informático está “traficando” información que permite el acceso no autorizado a una computadora. Si se descubrió la vulnerabilidad al violar los términos de servicio del fabricante de software, entonces se puede hacer otro reclamo bajo la CFAA de acceso no autorizado a las computadoras del fabricante de software. Si lo que se vende es un código real de una variedad u otra, la compañía también podría imponer reclamos de derechos de autor en ese momento alegando que el código en venta es una copia o trabajo derivado de su propio código (supongo que aquí, sin embargo, lo que se vende no es “código del exploit”, ya que en muchos casos el “exploit” no es realmente un error en una sola pieza de código, sino que es un agujero en la cantidad de diferentes piezas de código que se comunican. que lo que se vende es la descripción del exploit y / o una descripción de cómo aprovecharlo).
El fabricante de software también podría intentar demandar al sitio donde se publica la venta si el sitio se niega a retirar el anuncio. La responsabilidad de copyright secundaria podría estar sobre la mesa en ese caso si lo que se vende es código. También podría haber una demanda de marca registrada en juego si el anuncio hace referencia al nombre y / o logotipos de la empresa. Sin embargo, no entraré demasiado en las malezas, ya que ya no estamos hablando de demandar estrictamente por la hazaña.
El CFAA es probablemente el reclamo más directo aquí, pero creo que definitivamente se podrían intentar otros. Traspaso a bienes muebles (los servidores) fue un reclamo hecho antes de que el CFAA se hiciera popular, pero también podría usarse. La interferencia tortuosa con una relación contractual podría ser un reclamo divertido para intentar aquí si el pirata informático estaba tratando deliberadamente de cancelar un contrato particular que el fabricante de software tenía con un cliente (s) (más probable si el pirata informático es un ex empleado o un competidor )
Una cosa a tener en cuenta es que muchas compañías tienen programas de recompensas por exploits y son muy conscientes de que las compañías de seguridad hacen lo mismo. Creo que eso hace que sea poco probable que un fabricante de software realmente vaya a demandar al hacker. Creo que solo pedirán comprar el exploit. Sería mucho más barato de esa manera. Creo que también sería una mala relación de relaciones públicas para ellos: si estás tratando de comprar exploits, no querrás que te salpiquen en todos los medios por maltratar a quienes los encuentren, incluso si hubieran tenido intenciones nefastas. De alguna manera, también creo que estos programas de recompensas socavan las posibles afirmaciones de la CFAA. Es difícil argumentar que algo se convirtió más o menos en un “acceso autorizado” dependiendo de dónde decidió vender el exploit si en general ALIENTA a las personas a encontrar estos exploits para comenzar y en particular si el fabricante de software está comprando los exploits indirectamente. de compañías de seguridad también. Entonces saben con certeza que están alentando a las personas a encontrar exploits sin decirle directamente al fabricante del software, es decir, el tráfico.
También agregaré que si un fabricante de software insiste en que hay una IP en un exploit que les pertenece, eso también afectaría a las personas a participar en su programa de recompensas. La gente querría evitar esa responsabilidad y estaría preocupada de que una empresa se llevara la explotación sin pagarla, alegando que era su IP todo el tiempo.
