Wednesday, November 25, 2009

Tort Law on Negligence

If any lawyers want to contribute to this, please do. In my post Shodan: Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Step Towards Intrusion as a Service, some comments claim "negligence" as a reason why intruders aren't really to blame. I thought I would share this case from Tort Law, page 63:

In Stansbie v Troman [1948] 2 All ER 48 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 claimant, a householder, employed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defendant, a painter. The claimant had to be absent from his house for a while and he left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defendant working cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re alone. Later, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defendant went out for two hours leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front door unlocked. He had been warned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 claimant to lock cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door whenever he left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house.

While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house was empty someone entered it by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unlocked front door and stole some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 claimant's posessions. The defendant was held liable for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 claimant's loss for, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal action of a third party was involved, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft from an unlocked house was one which should have occurred to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defendant.


So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 painter was liable. However, that doesn't let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thief off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hook. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thief, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will still arrest, prosecute, and incarcerate him. The painter won't serve part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thief's jail time, even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 painter was held liable in this case. So, even in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best case scenario for those claiming "negligence" for vulnerable systems, it doesn't diminish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's role in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crime.

7 comments:

Anonymous said...

Straw man. No one is saying it's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker's fault that someone got attacked. The thief is still cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thief. But an admin who puts telnet servers on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet with no password should be liable, just like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 painter was liable in your example.

Richard Bejtlich said...

Not a straw man. I think I just moved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ball forward to have someone admit that.

Porter said...

Rich, you're absolutely right. I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 yesterday on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shodan blog post that "it is very easy to blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim failed to carry out due diligence to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves."

Easy to blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker? It should always be easy to blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker! They are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones who did it!

It appears to me that it's easier to blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim. The admin didn't do this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin didn't do that, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were "asking for it."

Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house analogy, protecting a house is much simpler, right? You only have a few entrances, windows, maybe a garage etc...

In an "Enterprise" house, you have a constantly changing structure. New doors are constructed, new windows are added, and all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's an underground railroad running through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basement. The enterprise house is an amoeba, a shape-shifter, constantly changing. And because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no such thing as 100% security, how can someone be expected to make it so under conditions such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se?

Now certainly if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is direct proven negligence, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re should be consequences. But security engineering hasn't reached cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maturity of, let's say civil engineering.

In civil engineering, a bridge builder must be licensed and has liability if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y build a faulty bridge. A bridge is constantly under attack (from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elements and cars driving across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Earth underneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is moving as well. However, it doesn't change shape at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same rate as an enterprise.

Anonymous said...

Take your argument and turn it slightly..

You leave your house unlocked when you leave to run to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 store. When you come back your stereo is gone. In this case, who can be charged with negligence? Who is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wronged party due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 negligent act? Surely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state is inconvienced, even injured, by your actions? You knew, or reasonible should have known, that your actions placed you at risk....

The argument doesn't hold...

I'll let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lawyers talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 civil vs. Tort aspects.

AppSec said...

Always Remember.. OJ was not found guilty in a criminal court, yet he was taken to task in civil court.

An individual is not going to sue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves for negligence. The issue would be taken with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurance company.

I'm not sure tort law would matter in this case.

jcg said...

disagree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Enterprise" house comment - "how can someone be expected to make it [secure] under conditions such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se?". if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house is high (as you would expect of an enterprise house), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n why are you adding new windows and doors without giving any thought to how to do so in a way that maintains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise/house? you wouldn't ask a contractor to add an addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house, but not think about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 locks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 addition or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 locks from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main house. you would want those to be secure from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that we don't think about this in computer security "because it's hard" is negligence at its worst.

Lifting Creme said...
This comment has been removed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author.