Sitat av
Patrick
Greit nok, saken er henlagt, men dette er pga tilfeldigheter og motstand. La oss ta et par hva-hvis scenarioer. Hva hvis gutten var myndig? Hva hvis media ikke var der? Hva hvis foreldrene ikke hadde engasjert seg? Hva hvis it eksperter ikke hadde fått vite dette, og ikke var raskt ute med å oppklare situasjonen?
Hvis du finner en mistet gjenstand, har du med loven i bakhånd krav på finnerlønn.
Hvis du finner noe ulåst, kommer eieren selvfølgelig til å verdsette en beskjed om dette. Hvorfor er IT verden så motsatt? Hvorfor kjemper man mot strømmen når man finner sikkerhetsbrudd?
Facebook, google og andre større aktører har valgt å betale ut bug bounties dersom du finner noe som tydelig er feil. Men igjen, dette er jo fullt og holdent opp til personen du varsler, de kunne jo gått til strupen og anmeldt, hvilket kunne ført til en dom og straff som hadde stemplet en som kriminell.
Er det et uløselig problem? Er det noen tegn på at lovverket endres for å imøtekomme slike situasjoner?
For ett elendig eksempel.
Dersom det skulle blitt riktig så måtte du brutt deg inn og Så krevd finnerlønn.
Og helt ærlig, dersom du fant en tenåring i huset ditt med hendene fulle av alle dine papirer (pass, fotoalbum etc), hadde du vært tekknemelig?
Selv om man er uenig med saksgangen og konklusjonene så må man ikke glemme at det har blitt begått ett lovbrudd her.
Selv om jeg mistenker at naboen gjør noe ulovlig så gir det meg ikke rett til å bryte loven for å skaffe til veie bevis.
Dersom en fabrikk glemmer å låse porten, er det ok å gå inn på området å ta kopi av dokumenter?
Eller mener dere at et sikkerhetshull automatisk gir tillatelse til å laste ned andres informasjon?
Dersom dere mener dette så åpner dere samtidig opp for smutthull i loven ved at man kan kopiere hele databaser med informasjon om tredjeparter helt uten straff.
Jeg synes man skal skille mellom det å oppdage ett sikkerhetshull og det å utnytte hullet. Guttungen gjorde begge hvor det siste er ulovlig uansett hvordan man vrir og vender på det.
Ja vi vil ha ansvarlig varsling om sikkerhetshull.
Nei vi vil ikke at uvedkommende skal laste ned data de ikke har tillatelse til å oppbevare.
Sitat av
Myoxocephalus
Fordi IT-verden nettopp er en annen verden, og gompene forstår den ikke. De ser bare sort magi som de motvillig godtar som et nødvendig onde.
Tja, alle sikkerhetshull involverer også en kostnad som gjør det hele om til ett kost-nytte spørsmål.
Man kan også stille spørsmål rundt enkelte IT avdelingers evne til å kommunisere sikkerhet til ledere.
Jeg har sett flere eksempler hvor IT uttrykker bekymring rundt sikkerhet kun ved å presentere kostnader til ledelsen og ikke klarer å formidle den faktiske risikoen og kostnad ved en hendelse. Sikkerhetshull er også ganske vanlig og ressurskrevende å reparere.
Jeg sier ikke at noe av det jeg har skrevet over gir en unnskyldning for dårlig sikkerhet, for dårlig sikkerhet kan komme av veldig mange årsaker, ikke bare at noen er gumper eller ikke kvalifiserte.
Jeg tror også bransjen fortsatt (les: mellomledere og ledere) er umoden. Det er kun i senere tid at sikkerhet hatt fokus også hos vanlige folk.
Det er også en ting til, bransjen vil ikke ha tenåringer lurkende i systemene sine.
Se på freemykiwi som skulle teste sikkerheten til skolen sin, der måtte mods endre innleggene som ble lagt ut fordi de identifiserte skolen og dermed sitter det flere personer som allerede kan ha brutt seg inn fordi én person startet private penetrasjonstester.
Det er også flere eksempler på Twitter hvor én person varsler om noe og plutselig er 1000 proffer og amatører på skattejakt i datasystemer som inneholder informasjon om tredjeparter.
Sist endret av random105675; 5. april 2019 kl. 15:24.
Grunn: Automatisk sammenslåing med etterfølgende innlegg.