gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
HP ameaça activar DMCA
Contribuído por chbm em 31-07-02 16:18
do departamento hpuke
Cifragem Branc0 escreve "Segundo esta notícia a HP ameaçou activar o DMCA (Digital Millenium Copyright Act) contra uma equipa de programadores após estes terem descoberto uma falha de segurança e terem publicado um exploit, que pelo que percebi nem sequer é remoto, como "proof of concept" dessa mesma falha de segurança.
Aparentemente a HP tinha conhecimento da falha de segurança há aproximadamente um ano mas pelos vistos é mais comodo prender os programadores do que arranjar o código. "

Ciberpolítica Ainda Embrionária em Portugal | Versão Caixa Mágica 8.01  >

 

gildot Login
Login:

Password:

Referências
  • News.com
  • Branc0
  • esta
  • HP
  • exploit
  • Mais acerca Cifragem
  • Também por chbm
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    dar e receber (Pontos:2, Interessante)
    por elmig em 31-07-02 16:30 GMT (#1)
    (Utilizador Info) http://www.alunos.ipb.pt/~ee3931/
    Algumas grandes companhias dão muito a linux. Pagam a programadores para desenvolverem em linux, financiam, ... mas alguns casos são estranhos como este, faz lembrar qnd a AMD obrigou o ppl do phpnuke a tirar o simbolo da AMD dos topics. Vá-se perceber estas grandes corporaçoes...

    "Big brother is watching you, and little brother is too. When big brother goes to sleep, little brother goes through his stuff."

    Devil's Advocate (Pontos:1)
    por Nunones em 01-08-02 9:04 GMT (#9)
    (Utilizador Info) http://www.fe.up.pt/~ee99043
    São coisas ligeiramente diferentes.

    A AMD protegeu o seu símbolo/empresa tal & qual qualquer entidade o faria.
    Se era pub gratuita ou se não tinha assim tanta importância, cabe a eles decidir.
    Decidiram que não queriam lá o simbolo deles. Assim seja. Game Over.

    A HP também não pode ser vista como a má da fita.
    Independentemente de terem (ou não) avisado a HP com o devido tempo (o que quer que isso seja), devo dizer que não concordo muito com a publicação de código fonte que permita explorar o bug.
    Acho que muitas das vezes, é preciso distinguir a identificação de um dado bug e a sua informação para o público em geral, com a publicação de código que permita explorar esse bug.
    Em alguns casos parece-me que são duas coisas distintas.
    Esta publicação deste código fonte põe alguns clientes da HP em risco. A função da HP é proteger os seus clientes.
    Agora, a utilização de recursos legais é que é discutivel.
    Se tivessem, quando foram contactados, publicado um patch que resolvesse este bug, sim, imho, era a melhor forma.
    Resolveram ir atrás de quem publicou o código/bug, foi a opção deles.
    Será que agora os clientes da HP não podem também usar meios legais para punir a HP, depois de provado que conhecido o bug a HP não fez nada ?
    Sendo assim, e com uma comunicação saudável e com um timing certo, as empresas (nomeadamente, a HP) só tinham a agradecer às equipas/empresas/individuos que descubram bugs no seu software.
    Quando a publicação de bugs/exploits parece uma corrida ao "first post!!!" parece-me natural que venham a acontecer situações como esta.
    Afinal de contas, não será que os maus da fita, e que devem ser punidos, são quem vier a usar o código ?

    IMHO, acho que todos têm a sua culpa.
    O "Phased", fez asneira em juntamente com a publicação do bug, meter lá código que podia muito bem manter só para ele e para o grupo responsável para a correcção do bug. Mais ainda, se não contactou primeiro a HP, então fez dupla asneira.
    A HP fez asneira da grande em não dar atenção/resposta aos supostos avisos.
    Mais ainda, quem vier a usar esse código, esses sim, imho, os maus da fita, que sejam responsabilizados também.

    intés,
    Nuno Nunes

    Re:Devil's Advocate (Pontos:2)
    por pmsac em 01-08-02 13:42 GMT (#10)
    (Utilizador Info) http://2130706433/
    Não é a publicação de código que coloca os clientes em risco. Muitas vezes, como neste exemplo, é a única forma de o diminuir. Veja-se o que fez a HP para corrigir o código, desde que o bug foi tornado público em 2001... nada. Fiaram-se no facto de terem uma stack não executável, em vez de ataquerem (também) o problema original. Repare-se também na data de copyright do exploit original (ano 2000). Agora imagina que nenhum dos exploits era publicado: tinhas uma série de administradores a correr software _presumivelmente_ seguro, mas que não o era. O que é melhor: andares num carro que sabes não ter travões, ou andares num carro que não tem travões e tu não o saberes ?
    -- pmsac.oO(Cogito sumere potum alterum)
    Re:Devil's Advocate (Pontos:2)
    por pmsac em 01-08-02 18:33 GMT (#11)
    (Utilizador Info) http://2130706433/
    s#HP#Compaq/HP#
    s#ataquerem#atacarem#
    -- pmsac.oO(Cogito sumere potum alterum)
    conjectura!? (Pontos:2, Interessante)
    por racme em 31-07-02 16:30 GMT (#2)
    (Utilizador Info)
    Aparentemente a HP tinha conhecimento da falha de segurança há aproximadamente um ano mas pelos vistos é mais comodo prender os programadores do que arranjar o código.

    stripey is the man
    developed at http://www.snosoft.com in the cerebrum labs


    Isto ta mal pra todos, é a conjectura Mundial, o 911, o governo do Mr Durao,os talibans, e o bush que nunca mais bombardeia o Iraque.
    diz antes assim, antes contractavam-se "hackers" agora prendem-se


    ...no reino de Quelthalas...
    im awake, im awake!
    Re:conjectura!? (Pontos:3, Informativo)
    por pmsac em 31-07-02 18:28 GMT (#3)
    (Utilizador Info) http://2130706433/
    s/contractavam-se/contratavam-se
    -- pmsac.oO(Cogito sumere potum alterum)
    Re:conjectura!? (Pontos:2)
    por racme em 01-08-02 1:58 GMT (#8)
    (Utilizador Info)
    LOL ;)

    heheh




    ...no reino de Quelthalas...
    im awake, im awake!
    É triste e vergonhoso!!! (Pontos:3, Informativo)
    por Eraser em 31-07-02 21:20 GMT (#4)
    (Utilizador Info)
    Viva!

    Não consigo entender isto. Alguém chama atenção para um bug de segurança à companhia responsável pelo SO e UM ANO depois publica uma adivisories com "proof of concept".
    Qual é o problema da HP? Além de incompetentes os tipos são burros?
    Um ano não é tempo suficiente para terem corrigido o bug?
    Ainda por cima querem procesar o pessoal que tornou a falha pública! É preciso ter lata! Daqui a pouco não nos podemos queixar de nenhum problema de segurança em público senão vamos presos.
    Estou muito desiludido. Parece que não é só a Microsoft que anda a investir em advogados.

    Tenho esperança que esta seja o primeiro e último caso porque se levado ao extremo pode se tornar num modo de censura na Internet. :((

    Fiquem bem!
    JP


    Re:É triste e vergonhoso!!! (Pontos:0, Informativo)
    por Anonimo Cobarde em 01-08-02 1:20 GMT (#7)
    o problema nao era da HP mas sim da compaq :) TRU64 eh compaq e nao hp ;) mas agora passou a ser da hp devido ah fusao...é so um pequeno detalhe ;)
    Re:É triste e vergonhoso!!! (Pontos:2)
    por xeon em 02-08-02 15:34 GMT (#12)
    (Utilizador Info) http://pthelp.org
    Bemvindo 'a realidade do DMCA.

    E ainda querem implementar algo parecido na Europa ...
    -- Reading the FM

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]