Upubliczniać czy nie upubliczniać?

Dziś gościnny głos na blogu, autorstwa mojego przyjaciela Tomka Nideckiego, obecnie sekretarza redakcji magazynu hakin9. Skoro o hakingu mowa, to i temat dotyczy bezpieczeństwa komputerowego. Wpis jest de facto wstępniakiem redaktorskim do przygotowywanego właśnie numeru pisma, który ukaże się w styczniu 2006 roku (okładka poniżej).

* * *
Ser szwajcarski w eleganckim opakowaniu

Na liście dyskusyjnej Full-Disclosure znalazłem ostatnio bardzo ciekawą dyskusję. Czy upublicznianie wiadomości o lukach w zabezpieczeniach jest etyczne, czy nieetyczne? Scenariusz wydarzeń był następujący - pentester skontaktował się z pewną firmą, informując, że znalazł dziurę w jej oprogramowaniu. Producent nie okazał jednak wdzięczności za chęć niesienia pomocy. Przeciwnie, zareagował wściekłością, bo w firmie od dawna wiedziano o tej luce - tyle, że nie chciano, by informacja o niej kiedykolwiek ujrzała światło dzienne.

Takie sytuacje muszą budzić podejrzliwość. Jak wiele dziur w komercyjnym oprogramowaniu tworzą sami producenci, wiedząc o lukach doskonale, nie naprawiając ich, ale ukrywając? Jedno nurtuje mnie szczególnie - dlaczego te wszystkie luki są ściśle tajne? Czy aby przypadkiem nie są wykorzystywane przez producentów jako spyware? Być może jest to zbytnia podejrzliwość, ale czy przypadkiem i Wam taka myśl nie przemknęła przez głowę?

Polityka ukrywania błędów i luk w zabezpieczeniach przed opinią publiczną nie jest nowością dla ogromnych korporacji, jak Microsoft czy Oracle. Mówimy o obiecywaniu klientom najwyższych standardów bezpieczeństwa, gdy w rzeczywistości dostarcza się im kawałek szwajcarskiego sera przykrytego ładną folią z atrakcyjną nalepką. Z zewnątrz towar wygląda świeżo i wspaniale, w środku brzydko pachnie i jest pełen dziur.

Czy w takich okolicznościach warto powstrzymywać się od ujawniania społecznościom internetowym informacji o lukach w oprogramowaniu wielkich firm, skoro one nie mają skrupułów w okłamywaniu nas? Z jednej strony warto. Nie przez wzgląd na producentów, ale w trosce o ich klientów.

Upublicznienie informacji o lukach sprawi co prawda, że użytkownicy dziurawego oprogramowania staną się potencjalnym celem ataków. Z drugiej strony jednak, co się stanie, jeśli zagrożenia związane z lukami pozostaną w ukryciu? Otóż klienci nadal będą narażeni na ataki, bo przecież zawsze znajdą się tacy, którzy wiedzą o niezałatanych dziurach i wykorzystają tę wiedzę do złych celów. Dopóki nie nagłośni się problemu, użytkownicy będą nieświadomi zagrożenia, bo producent prawdopodobnie nigdy nie pokwapi się, by to zagrożenie usunąć.

Mówić czy nie mówić o lukach - co jest według was gorsze? Ja jestem w stu procentach za upublicznianiem błędów. Podobnie jak nasz magazyn, który w tym numerze udowadnia to po raz kolejny.

Tomasz Nidecki

* * *

A Wy jak myślicie? Co jest dla nas gorsze?
error300.org