«It seemed that when people entered the computer center they left their ethics at the door»Слабости есть во всем: в наших телах перед вирусами и течением времени, в нашей памяти и разуме. Программное обеспечение, создаваемое нами тоже несовершенно.
Donn Parker, «Rules of Ethics in Information Processing», 1968
«Кажется, что, когда люди вошли в компьютерный центр, они оставили свою этику у двери»
Донн Паркер, «Правила этики в обработке информации», 1968
В данном материале попробую рассмотреть вопрос этики поиска и исследования уязвимостей.
Наверное, человечество всю свою историю искало уязвимости в разных областях. Например, медицина. На картине ниже врачи-ученые изучают тело умершего, чтобы понять, как работает или устроен человеческий организм.
Урок анатомии доктора Тульпа. 1632. Рембрандт
На мой взгляд, в истории медицины и истории исследований уязвимостей в программном обеспечении много общего. Ученых-медиков не так давно могли признать виновными в проведении медицинских исследований, т.к. такие работы противоречили идеологии государства-церкви. Со временем человечество убедилось в необходимости медицинских исследований и экспериментов, но при этом были выработаны определенные правила, рекомендации проведения таких исследований. Как например, Nuremberg Code (1947) (1) или «The Belmont Report. Ethical Principles and Guidelines for the Protection of Human Subjects of Research», 1979. (2)
Информационные технологии настолько плотно переплелись со всеми аспектами нашей жизни, что представить современность без них совершенно невозможно. Однако, во всех технологиях есть уязвимости, использование которых несет угрозу для человека.
Уязвимость — параметр, характеризующий возможность нанесения описываемой системе повреждений любой природы теми или иными внешними средствами или факторами.
Почему мы ищем уязвимости?
У людей могут быть совершенно разные мотивы поиска уязвимостей перечислим некоторые из них:
— любопытство;
— исследовательский интерес;
— корыстный интерес;
— желание прославиться, заработать репутацию;
— спектр личных мотивов;
— сделать доброе дело.
Интересной выглядит ситуация с точки зрения этики, когда человек обладает соответствующей квалификаций для поиска уязвимостей, но не делает этого, а обстоятельства его могут вынудить к этому.
Предлагаю для поиска ответа на этот вопрос рассмотреть несколько измененную дилемму Хайнца:
Женщина умирает от особой формы рака. Есть только одно лекарство, которое, по мнению докторов, могло бы ее спасти. Это недавно открытый препарат. Изготовление лекарства стоит дорого. Но фармацевтическая компания назначила цену в 10 раз больше.
Муж больной женщины, Хайнц, обошел всех знакомых, взял взаймы сколько смог и использовал все легальные средства, но собрал лишь около половины суммы. Он обратился в фармацевтическую компанию за помощью и просил снизить цену лекарства, либо продать его в рассрочку. Но компания ответила, что не собирается менять свою ценовую политику.
И тогда Хайнц решил взломать корпоративную сеть компании, выкрасть формулу препарата и способ его изготовления, передать эту информацию тому, кто сможет изготовить для его жены лекарство.
Должен ли Хайнц украсть лекарство? Почему?В этом отношении интересна позиция Брюса Шнайера (4), он говорит:
Если бы Хайнц не любил свою жену, должен он был бы украсть лекарство для нее?
Предположим, что умирает не его жена, а чужой человек. Должен ли Хайнц стащить лекарство для чужого? Почему да или нет?
Самое главное: «правильного» решения этой дилеммы нет! Если человек считает, что фармацевтическую компанию нужно взломать, его нельзя назвать более нравственным или менее нравственным. Весь вопрос в том, как принимается решения (3)
To me, the question isn't whether it's ethical to do vulnerability research. If someone has the skill to analyze and provide better insights into the problem, the question is whether it is ethical for him not to do vulnerability research.Наверное, можно частично согласится с приведенным мнением, что центральный вопрос не в том: исследовать или не исследовать программное обеспечение на уязвимости, а насколько этично для данного исследователя проводить такую работу, может ли он проводить такие исследования, и насколько этично исследование само по себе, при этом еще конечно существует вопрос применимости законодательства.
Для меня вопрос заключается не в том, является ли этичным исследование уязвимости. Если у кого-то есть умение анализировать и лучше понимать проблему, вопрос в том, является ли этичным для него не проводить исследования уязвимости.
Какие кодексы этичного поведения существуют в ИТ?
— «IEEE Code of Ethics»; (5)
— «ACM Code of Ethics and Professional Conduct»; (6)
— «Software Engineering Code of Ethics». (7)
Принципы этичного исследования уязвимостей
Авторы статьи «Empirical Research and Research Ethics in Information Security» (8) приводят такой список принципов этичного исследования в области информационной безопасности:
— Do Not Harm Humans Actively;The Australian Council for International Development (ACFID) приводит перечень десяти вопросов (9), на которые необходимо ответить перед тем, как начать общее исследование:
— Do Not Watch Bad Things Happening;
— Do Not Perform Illegal Activities to Harm Illegal Activities;
— Do Not Conduct Undercover Research.
---------------------------------------------------------------------------------------
— Не наносите вред людям;
— Не оставайтесь в стороне;
— Не производите незаконных действий для прекращения незаконных деяний;
— Не проводите тайных исследований.
When planning to conduct research, consider:
1. Is the research necessary and well justified? What are you looking to investigate and why is it important?
2. Is the research well planned? Does it connect to a particular program of work in your organization? Do researchers have the relevant expertise to conduct the research?
3. What is the context in which the research will be conducted? How will this context influence the research design?
4. How is the methodology and analysis appropriate to the context and what is being investigated?
5. What are the potential harms and benefits for researchers and participants that could arise from the research?
6. What information about the research will be provided to the participants? How will free and informed consent be obtained and ensured throughout the research process?
7. Are there any other parties or partners involved in the research? What are their interests in the research? Who will benefit directly and indirectly from the research?
8. How do you plan to protect confidentiality and anonymity? What will happen to the data? How will it be accessed and secured?
9. Have researchers received training, information and assistance related to addressing ethical issues?
10. How will the findings be disseminated and used? Will participants have access to validating and receiving the results of the research? What will happen when the research is complete?
При планировании проведения исследований учитывайте:
- Является ли исследование необходимым и обоснованным? Что вы ищете для изучения и почему это важно?
- Исследование хорошо спланировано? Соединяется ли она с конкретной программой работы в вашей организации? Имеют ли исследователи соответствующие знания для проведения исследований?
- Каков контекст, в котором будут проводиться исследования? Как этот контекст повлияет на дизайн исследования?
- Как методология и анализ соответствуют контексту и тому, что исследуется?
- Каковы потенциальный вред и выгода для исследователей и участников, которые могут возникнуть в результате исследований?
- Какая информация об исследовании будет предоставлена участникам? Как получить и обеспечить свободное и осознанное согласие на протяжении всего исследовательского процесса?
- Существуют ли какие-либо другие стороны или партнеры, участвующие в исследовании? Каковы их интересы в исследовании? Кто будет получать выгоду прямо или косвенно из исследования?
- Как вы планируете защищать конфиденциальность и анонимность? Что будет с данными? Как к ним будет организован доступ и обеспечена их защита??
- Получили ли исследователи подготовку, информацию и помощь, связанные с решением этических вопросов?
- Как будут распространяться и использоваться результаты? Получат ли участники доступ к проверке и получению результатов исследования? Что произойдет, когда исследование будет завершено?
Стоит привести также ряд вопросов из статьи “Towards Community Standards for Ethical Behavior in Computer Security Research» (10):
— Are the research results intended to protect a specific population, and if so, which population? (E.g., the owners of infected hosts, the victims of secondary attacks using a botnet, the researchers’ own institution, or the general internet user.)
— Is there a way to achieve multiple benefits to society simultaneously when studying criminal botnet behavior? (E.g., developing new defenses, while aiding investigation of criminal acts and assisting victimized network sites?)
— Who will benefit more from publication of research findings, and in which order: Victims of criminal acts; authorities responsible for protecting their citizens; the researchers themselves; or the criminals who are perpetrating computer crimes?
-Is there any other way to accomplish the desired research result(s)?
- Результаты исследований рассчитаны на защиту определенного круга лиц, и если да, то кто они? (Например, владельцы зараженных хостов, жертвы вторичных атак с использованием ботнета, собственное учреждение исследователей или интернет-пользователь?)
- Существует ли способ одновременного получения множественных преимуществ обществу при изучении поведения преступного ботнета? (Например, разрабатывать новые средства защиты, помогая расследовать преступные деяния и помогать зараженным сетевым площадкам?)
- Кто больше выиграет от публикации результатов исследований и в каком порядке: жертвы преступных деяний; органы, ответственные за защиту своих граждан; сами исследователи; или преступники, совершающие компьютерные преступления?
- Есть ли другой способ достижения желаемых результатов исследования?
Некоторые выводы и предложения
Анализируя изложенное, можно сказать, что существует, как минимум, две категории вопросов, на которые нужны ответы.
Этика исследователя
Перед началом исследователю необходимо задать себе вопрос: «Не наврежу ли я?».
Ведь скажем, случайно «выставленный» в интернет интерфейс работающей технологической системы, становится объектом исследования. Попытка поиска уязвимости, в одном случае может привести к кратковременному сбою на производстве, в другом к аварии и, как следствие, к возможным человеческим жертвам.
Вторым немаловажным вопросом, на мой взгляд, является «конфликт интересов» исследователя.
Попробую разъяснить этот посыл: стоит отказаться от исследования, если сам исследователь будет заинтересован в тех или иных результатах исследования. Например, известный специалист по информационной безопасности проводит аудит защищенности компании, контрольным пакетом акций которой владеет его близкий родственник – очевидна возможная заинтересованность такого специалиста.
Третье, конфиденциальность.
Информацию, которую получил исследователь, он не должен использовать в личных целях или использовать любым другим образа, противоречащим закону.
Четвертое, профессионализм — насколько исследователь компетентен в вопросе поиска и исследования уязвимостей. Например, можно ли считать экспертом в этом вопросе студента первого курса технического ВУЗа или специалиста по защите информации с пятилетним опытом работе «на бумаге»?
Думаю, что требуется минимальная независимая оценка, скажем, некий «проходной балл» в область работы. Ведь, никто не допускает студента, учащегося на хирурга к операциям на пациентах без наработки определенного опыта, в том числе и жизненного.
Этика исследования
В части самого исследования, на мой взгляд, стоит рассмотреть такую группу вопросов.
- Цель исследования. Насколько цель соответствует критериям этичного исследования.
- Например, сложно считать цель исследования безопасности кардиостимуляторов этичной, когда, по заявлению самих же исследователей, цель исследования – повлиять на стоимость курса акций производителя кардиостимуляторов и на разнице получить прибыли и окупить исследование. Интервью с MedSec Holdings CEO Justine Bone.
- Выбранная методология исследования – насколько позволит достигнуть целей исследования
- Границы исследования. Исследователю необходимо точно понимать в какой момент стоит остановить работы.
- Объективность и полнота исследования. Исследование должно учитывать факторы, имеющие значение при проведении исследования, а также использовать научно обоснованные методики. Финансовая модель компании-исследователя не может дать полную гарантию относительно объективности исследования, хотя на коротких позициях позволит получить прибыль, что на практике может привести к превращению исследований по безопасности в инструмент конкурентной борьбе. Хотя нужно отметить, что выводы об уязвимостях оборудования St. Jude Medical, Inc., были подтверждены независимым экспертом в суде США. (см. материалы дела Приложение А) (11)
- Выбранная методологий исследования – насколько позволит она достигнуть целей исследования, соблюсти принципы объективности и полноты для такого рода исследований.
- Конфиденциальность исследования. Если «плохие парни» получат даже неполные результаты исследования – это может привести к печальным последствиям.
- И самый важный вопрос, насколько исследование нарушает права человека в области неприкосновенности частной жизни, его безопасности. Люди с кардиостимуляторами, узнав об их уязвимости вряд ли останутся равнодушными к этому обстоятельству, но с другой стороны информацию об уязвимости тоже запрещать к распространению нельзя. Об этом прямо говорит решение суда:
«Plaintiff’s request for injunctive relief fails because, … also would undermine the public interest by enabling Plaintiff to continue marketing products with significant security vulnerabilities, as detailed in the Muddy Waters reports and confirmed by the Bishop Fox analysis, see Exhibit A. Thus, any such injunction, by silencing Defendants, endangers the lives and risks the health of thousands of unsuspecting consumers. »
«Запрос Истца судебного запрета (Прим. Пер: относительно такой информации) не удовлетворен… позволив Истцу продолжать продавать продукты со значительной уязвимостью безопасности, как подробно описано в отчетах Muddy Waters и подтверждено анализом Bishop Fox, см. Приложение A. Таким образом, любое такой судебный запрет, ставит под угрозу жизнь и рискует здоровьем тысяч ничего не подозревающих потребителей.»Учитывая изложенное выше, можно предложить использовать такой чек-лист исследования:
1. Необходимо ли это исследование: какие аргументы «за» какие «против»?
2. Какова истинная цель исследования?
3. Если вы работаете в компании в сфере информационной безопасности, соответствуют ли цели исследования целям компании?
4. Имеют ли исследователи соответствующие знания для проведения такого исследования?
5. Адекватен ли дизайн и соответствует ли методология внутреннему содержанию исследования?
6. Есть ли иной путь получения аналогичных результатов исследования?
7. Каков потенциальный вред и выгода для исследователей и участников, который может возникнуть в результате исследования?
8. Существуют ли какие-либо другие стороны или партнеры, участвующие в исследовании? Каковы их интересы в исследовании? Кто будет получать выгоду прямо или косвенно из исследования?
9. Есть ли «конфликт интересов» вокруг исследования?
10. Как вы планируете защищать конфиденциальность и анонимность? Что будет с данными? Как к ним будет обеспечен доступ? Как планируется организовать защиту данных?
11. Получали ли исследователи подготовку, информацию и помощь, связанную с решением этических вопросов?
Вопросы этики поиска и исследования будут всегда, как показывает история медицинских исследований должен будет сформироваться как минимум общественный институт контроля над проведением исследований уязвимостей информационных технологий.
Возможно, также стоит расширить обзор границ этичности исследований уязвимостей в части работающих систем на предмет их надежности и непрерывности работы, т.к. если в контролируемой среде исследования произойдет деградация ИТ сервиса, то это будет лучше, если тоже самое произойдет при реальной неожиданной атаке злоумышленников.
Стоит выразить надежду, что общественные процессы в направлении этичности исследований уязвимостей будут только развиваться. Полагаю, что этот процесс мы уже можем наблюдать в части раскрытия информации об уязвимостях.
В следующем материале попробую рассказать о подходах и существующей практике в раскрытии информации об уязвимостях программного обеспечения.
(2) The Belmont Report. Ethical Principles and Guidelines for the Protection of Human Subjects of Research
(3) Дилемма Хайнца
(4) Bruce Schneier, The Ethics of Vulnerability Research.
(5) IEEE Code of Ethics.
(6) ACM Code of Ethics and Professional Conduct.
(7) Software Engineering Code of Ethics.
(8) Weippl E., Schrittwieser S., Rennert S. (2017) Empirical Research and Research Ethics in Information Security. In: Camp O., Furnell S., Mori P. (eds) Information Systems Security and Privacy. ICISSP 2016. Communications in Computer and Information Science, vol 691. Springer, Cham
(9) Principles and Guidelines for ethical research and evaluation in development.
(10) Dittrich, D., Bailey, M.D., Dietrich, S.: Towards community standards for ethical behavior in computer security research. Technical Report 2009-01, Stevens Institute of Technology, Hoboken, NJ, USA (April 2009)
(11) Судебное разбирательство
(2) Dittrich, D., Bailey, M., & Dietrich, S. (2011). Building an active computer security ethics community. IEEE Security and Privacy, 9(3), 1–9.
(3) Buchanan E1, Aycock J, Dexter S, Dittrich D, Hvizdak E. “Computer science security research and human subjects: emerging considerations for research ethics boards.”
(4) Conducting Cybersecurity Research Legally and Ethically. Aaron J. Burstein. University of California, Berkeley (School of Law)
(5) Ethics Research & Development Summary: Cyber-security Research Ethics Decision Support (CREDS) Tool Workshop on Ethics in Networked Systems Research
(6) Ethical Dilemmas in Take-down Research. Tyler Moore and Richard Clayton. Center for Research on Computation and Society, Harvard University, USA
(7) Schrittwieser, S., Mulazzani, M., & Weippl, E. (2013), “Ethics in Security Research — Which Lines Should Not Be Crossed?”, Security and Privacy Workshops (SPW), 2013 IEEE, pp1-4.
(8) Legal, Ethical, and Professional Issues in Information Security, Jessica Shimmal Faculty of Science Information and Technology, University of South Pacifc, Laucala Fiji Island
(9) The Sage encyclopedia of qualitative research methods / editor, Lisa M. Given.
Комментарии (15)
pyrk2142
19.02.2018 19:33Довольно частая проблема — некий конфликт интересов: условно, публикация уязвимости приводит к урону для компании, иногда даже невосполнимому (если уязвимость исправить нельзя по какой-то причине), а пользователи могут получить пострадать с некой вероятностью, если кто-то еще использует или найдёт эту уязвимость. Можно причинить ущерб сразу, либо с некой вероятностью он будет в будущем, но в гораздо большем объеме.
sharxan Автор
20.02.2018 11:24Да, это так. Поэтому обе стороны (исследователь и производитель/разработчик) должны суметь найти «общий язык» или хотя бы постараться это сделать, чтобы максимально снизить вероятный ущерб в будущем.
Louie
19.02.2018 20:221. Классное начало, но несколько сумбурное развитие материала. Как выше сказали, сильно напоминает «законы робототехники», которые никакого отношения к этике не имеют, а являются лишь жесткими защитными механизмами. Так и перечисленные правила следует рассматривать именно в контексте прецедентного права и связанной с ним западной юридической практики защиты крупного корпората.
2. Медицина. Мощная, но ложная аналогия. Взять хоть морально-этические экстремумы — неизлечимые заболевания, эвтаназию, аборты, смерть мозга, отказ от реанимации, ятрогенные заболевания и т.д. Есть ли аналогии этому в пентестах? Нет. Максимум похожего, что можно «выдавить» — врачебная тайна. Но и она напоминает случай, цитируемый В.В. Вересаевым в «Записках врача»(1900):
К частному глазному врачу обратился за помощью железнодорожный машинист. Исследуя его, врач попутно открыл, что больной, страдает дальтонизмом. Это – недостаток зрения, при котором человек не может различать некоторых цветов, чаще всего не может отличать зеленого цвета от красного. Но, как известно, вся железнодорожная сигнализация основана как раз на различении зеленого цвета от красного; зеленый флаг или фонарь знаменует свободный путь, красный – дает сигнал, что грозит опасность. Врач сообщил машинисту о его болезни и сказал, что ему нужно отказаться от работы машиниста. Больной ответил, что он никакой другой работы не знает и от службы отказаться не может. Что должен был сделать врач? Манасеин отвечал: «Молчать. Виновато железнодорожное управление, что оно не устраивает периодических врачебных осмотров своих служащих. А врач не имеет права выдавать тайн, которые узнал благодаря своей профессии, это – предательство по отношению к больному».
Кстати, настоятельно рекомендую «Записки» к прочтению всем. С тех пор морально-этические вопросы ни в жизни, ни в медицине существенно не сдвинулись.
3. Этика исследования. Придумана, по большей части, для обеспечения интересов крупных корпораций. Чтобы бюрократический и финансовый порог был настолько велик, а занесенная над буйной головушкой секира настолько остра, чтобы как только идея какая — трижды подумай, четырежды взвесь как бы чего не вышло. Задумал какой экспериментальный клистир поставить — нарисуй план ягодиц, пройди этический комитет, доклинику, клинику, двойное слепое рандомизированное мультицентровое… я уж не говорю об экстремистах типа Фрейда, Кюри, Эдисона, Тесла, Бутлерова или Мечникова или живодерах типа Гальваниsharxan Автор
20.02.2018 10:57Спасибо за комментарий.
1. Кодексы этики и являются некими защитными механизмами, построенными на моральных началах. И ведь ни кто не заставляет следовать им — это некая полярная звезда, на которою можно ориентироваться.
2. Почитаю. Однако, вопрос не в пентесте, а в пентесте как исследовании, которое должно обладать определенными параметрами, чтобы считаться обоснованным, объективным.
Описанный случай, это пример врачебной тайны, которая в определенных случаях может быть передана без согласия гражданина см. ст. 13 ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
3. Не полностью согласен. Этика исследования существует для того, чтобы исследования были действительно исследованиями и не были бесчеловечными. Пример: история появления «Нюрбергского кодекса» 1947.
Относительно ограничений — это больше правовые запреты, лакуны в законах, которые действительно могут использоваться для извлечения выгоды крупными корпорациями.
Или такая ситуация: если инженер создает ПО, в которое вложил средства семьи, и хочет обеспечить хорошее образование детям на деньги, полученные от продажи. Но, некий начинающие пентестер «влез» в хранилище с исходниками, при этом случайно, уничтожив большой «кусок» кода (год работы) и после этого опубликовал сообщение об успешном пентесте.
Можно ли описанное выше считать этичным поведением (до и после)? Нужно ли было так поступать? И как должен отнестись к этому инженер-разработчик?Louie
20.02.2018 12:39Спасибо за ответ! Приятно с вами дискутировать.
Давайте весь этот ком интересного материала для размышлений переведем в одну плоскость и разделим на законно/незаконно, морально/аморально, научно/ненаучно. Судя по заголовку и посылу статьи — нас должна интересовать лишь средняя часть. Мораль, которая является предметом изучения этики, как науки.
То есть, этические кодексы должны одинаково осуждать как законные и научные аморальные методы, так и незаконные и ненаучные. А этого нет.
Есть концепция вреда, испрошенного/неиспрошенного/информированного согласия, и т.д. А вот этично ли дергать ручки дверей в туалете? Научно ли? Каким специалистом нужно быть, чтобы делать это законно?sharxan Автор
20.02.2018 18:57Почему этические кодексы вообще должны что-то осуждать?
Этический кодекс или моральный кодекс — система правил или этических принципов, управляющих поведением членов определенного сообщества (социальной, профессиональной или этнической группы), выражающих понимание достойного поведения в соответствии с этическими принципами, моралью данного сообщества. Вики.
Тот же самый «Нюрнбергский кодекс» 1947 не осуждает, а лишь говорит о принципах проведения медицинских экспериментах над людьми,
Если поднимать вопрос о правовых кодексах, то Уголовный кодекс РФ носит диспозитивный характер, т.е. в нем нет ни одной статьи, которая является запретительной.
Любопытство часто бывает неэтичным, умение пройти по грани — в этом, видимо, и состоит зрелость исследования и исследователя.Louie
21.02.2018 03:28Потому, что это так работает. Пионер — всем ребятам пример.
Вот вы, например, напишете «этический кодекс ит аудиторов». Казалось бы, — благое дело. Но будет ли обязан им руководствоваться любой любопытствующий, кто фактически проводит аудит, но не причисляет себя к этой славной гильдии? Увы, будет. И будет осужден и наказан, если не будет. И в первую очередь — этой самой гильдией.
Будут ли должны им руководствоваться те, кто писал Stuxnet? Нет.
Коль скоро взлом, кражу, порчу в ИТ уже осуждает УК, предлагаю обойтись без очередного «кодекса корпоративной этики» а-ля Ростелеком. Пусть «незрелые» исследователи спокойно набивают шишки, а для пущей этики кладут себе на стол «Нравственные письма» Сенеки.sharxan Автор
21.02.2018 11:16В 4 часа утра ответ — оценил. Спасибо :)
Хорошо, когда есть разные мнения на вопрос.
Можно написать массу кодексов этики, но если понимания этичности нет в человеке, то кодексы не помогут.
Если же человек по своей натуре понимает границы, то ему кодексы не нужны.
В иных случаях кодекс может стать подспорьем, чтобы не «наломать дров».
sharxan Автор
20.02.2018 16:13Почему этические кодексы вообще должны что-то осуждать?
Этический кодекс или моральный кодекс — система правил или этических принципов, управляющих поведением членов определенного сообщества (социальной, профессиональной или этнической группы), выражающих понимание достойного поведения в соответствии с этическими принципами, моралью данного сообщества. Вики.
Тот же самый «Нюрнбергский кодекс» 1947 не осуждает, а лишь говорит о принципах проведения медицинских экспериментах над людьми,
Если поднимать вопрос о правовых кодексах, то Уголовный кодекс РФ носит диспозитивный характер, т.е. в нем нет ни одной статьи, которая является запретительной.
Любопытство часто бывает неэтичным, умение пройти по грани — в этом, видимо, и состоит зрелость исследования и исследователя.
qrasik
Если уязвимость существует, то рано или поздно её применят для нехорошего и размышлять про этику и прочие светлые вещи будет уже некогда.
Так что единственная вещь которую должен совершить приличный исследовать, хотя бы попытаться донести информации о проблеме ответственному лицу. Собственно вот и вся этика.
sharxan Автор
Это следующий этап. Прежде, чем донести информацию до ответственного лица — ее нужно получить.
qrasik
Не довод.
Бывают случаи, когда эта самая информация буквально вываливается тебе под ноги.
sharxan Автор
Такое тоже бывает, но нужно суметь понять и оценить то, что «падает», для одного это набор символов, для другого клад на миллион.
Бывает же так, что на простое действие, ненаправленное на исследование — «вываливается» ценная информация. Наверное, это случайность.
А если при исследовании получается какой-то результат — это нормально. Вопрос в том насколько корректно и полно это исследование. Иначе, история будет напоминать заметку про столовую и хакера.
Донесение информации до ответственных лиц, публикация — это отдельный вопрос, который тоже требует изучения.