Publicarea rezultatelor stiintifice despre lacunele de securitate

« Google, eBay si titularii de marci

Phisher roman judecat in SUA »

Publicarea rezultatelor stiintifice despre lacunele de securitate

01/08/08

15:54:04, by bogdan, 327 words

Categories: Stiri - Drept&IT din intreaga lume, Libertate de exprimare

Publicarea rezultatelor stiintifice despre lacunele de securitate

Sa zicem ca avem un sistem informatic, bazat pe un cip, de acces in diverse spatii publice sau private. Cum ar fi Oyster, pentru cei ce au mers cu metroul sau alt transport public in Londra.

Sa presupunem ca sunteti un cercetator la o universitate si in munca dvs de cercetare, descoperiti mari probleme de securitate la cipul respectiv (mai precis criptarea poate fi usor sparta). Ba chiar demonstrati ca poate fi relativ usor spart si clonat. Publici si pe Internet un videoclip care arata cum este posibil. Apoi demonstrezi practic cum poti sa mergi pe gratis timp de o zi pe metroul din Londra. Mai dai si un comunicat de presa pe site-ul facultatii. Toate acestea, fara a dezvalui exact in ce consta lacuna de securitate folosita.

Dar in momentul in care anunti ca vei prezenta o lucrare academica in Octombrie 2008, bazat pe aceasta lacuna, te trezesti dat in judecata. Pentru ca astfel, zice compania ce produce chipul, oamenii vor putea afla care e lacuna de securitate si sa profite de ea. Deci n-ai voie sa publici asa ceva.

Mai sa fie! Noroc ca instanta olandeza s-a prins bine de problema si a respins cererea companiei. Argumentatia face toti banii:

Judecatorul considera ca libertatea de exprimare, asa cum este prevazuta de art 10 al Conventiei Europene pentru Drepturile Omului, se aplica si la publicatiile academice. Restrictiile sunt posibile, doar daca sunt necesare pentru protejarea unor nevoi sociale, ce sunt demonstrate convingator. Judecatorul considera ca intr-o societate democratica, interesele sunt servite de publicarea rezultatelor cercetarii stiintifice si informarea publicului despre riscurile deficientelor de securitate ale cipului.(s.n.) (…) Pagubele aduse companiei producatoare nu sunt rezultatul publicarii cercetarii, ci al productiei si vinderii unui cip care are deficiente, dupa cum s-a demonstrat. Iar aceasta din urma este responsabilitatea a firmei producatoare.

Actori:
Cipul: Mifare Classic
Firma producatoare: NXP Semiconductors
Hackerul sau profesorul: Dr. Bart Jacobs
Universitatea: University of Nijmegen
Instanta: Nijmegen Court (pentru cei ce pricep olandeza, aici decizia)

Permalink 8 comments » • Send a trackback »

Trackback address for this post

8 comments

Comment from: fredyllor [Visitor]

hmm....tot nu fac public, gaurile de security; e prea periculos, is vecin cu "sri"...

01/08/08 @ 16:38

Comment from: Nistor Ioan-Andrei [Visitor]

Excelent!

01/08/08 @ 18:37

Comment from: gigix [Visitor]

rm -rf /

01/08/08 @ 21:57

Comment from: V [Visitor]

ha ha... "cip cu deficiente" mi-a placut. Verde-n fata!

02/08/08 @ 01:39

Comment from: Andrei [Visitor]

Segmentul,zona asta ascunde multe alte situatii incredibile care probabil nu sunt descoperite inca.

02/08/08 @ 19:43

Comment from: ana pauper [Visitor]

· http://anapauper.wordpress.com

Oare in SUA cum ar fi decis instanta?

Si ce ma fac cu cardul meu Oyster?
Il arunc? :(

04/08/08 @ 17:11

Comment from: bogdan [Member] · http://www.legi-internet.ro

Ana, pastreaza-l ca sa-l incerci sa-l reincarci prin metode mai neobisnuite. Oricum cind il dai inapoi primesti gajul de 3 lire :-)

05/08/08 @ 18:13

Comment from: Piti [Visitor]

Da, se vede clar ca la unii justitia, poate fi scrisa cu litere mari, ceea ce nu prea face obiectul in RO.
Desigur nimic nu este impenetrabil, dar pote cel mai mult a suparat JUSTITIA Olandeza, lipsa de reactie pozitiva a Companiei.
Mai mult, acolo Mediul Academic beneficiaza de maxima credibilitate, caci se vede foarte clar ca nimeni nu s-a dus la Dl. Cercetator sa-l MITUIASCA, doar ca sa taca din gura!
Oare de ce?
Poate fiindca este o societate normala?

07/08/08 @ 17:38

Comment feed for this post