25.1 C
София

Как американският съд пречи на откриването на следващия Heartbleed

Най-четени

Методи Дамяновhttps://www.kaldata.com/
В "Калдата" от 2012г. насам. С интереси в сферата на информационната и интернет сигурност, дисруптивните технологии (IoT, AI, облак), видеоигрите с душа и послание и интернет свободата. Фен на Кен Ливайн, Ричард Столман и Джон Пери Барлоу.


Heartbleed, наскоро откритата уязвимост в OpenSSL, която позволява прихващане на данни предавани чрез защитена връзка, успя да стресне доста хора – както експерти по инфозащита, така и обикновените хора, които населяват Мрежата. Предвид факта, че уязвимостта е достатъчно сериозна и засяга огромно количество сайтове, а също така е била незабелязана повече от две години, то е нормално да се запитаме какво би се случило, ако Google и Codenоmicon не бяха я открили. След месец, година или две вероятно щяхме да чуем за поредния сериозен пробив, за кражбата на данните на милиони хора, и това благодарение на експлоатирането на Heartbleed. За щастие това няма да се случи. Именно, защото има хора, които търсят и се опитват да запушат подобни дупки в защитата на Мрежата и ни карат да се чувстваме спокойни, че има кой да ни пази.

На това обаче не се гледа с добро око от някои хора, и за нещастие от тези малцина зависят доста неща. Това разбираме от материал в британския The Guardian, който разкрива, че американското правителство не само не стимулира тези модерни супергерои на киберпространството, но и им пречи.

Не един и двама известни експерти по инфозащита разказват пред медията, че те са били заплашвани със съд, ако продължават да тестват интернет структурата за наличието на уязвимости и това във време, в което мнозина споделят мнение, че американските закони и Белия дом правят Мрежата несигурна за потрбителите.

Юридическата база, на която се правят въпросните заплахи е „Закона за борба с компютърните измами и престъпления“ (US Computer Fraud and Abuse Act (CFAA), като експертите по сигурност споделят, че той съдържа неясни и противоречиви формулировки, налага сериозни наказания, като в същото време вади наказуемите действия от контекста на конкретните ситуации, приравнявайки специалисти и престъпници.

Един от тези експерти, които се е съгласил да говори с медията е Х.Д. Мур, създател на Metasploit и шеф на отдела по изследвания към Rapid7, консултантска компания работеща в сферата на информационната защита. Мур разказва, че миналата година е бил предупреден от властите да прекрати свой проект – Critical.IO, чиято цел била да намери уязвимости в интернет инфраструктурата , използвайки автоматизиран софтуер.

Друг един специалист по информационна сигурност – Джеремая Гросман, изпълнителен директор на Whitehat Security, споделя своето предвиждане, че отношението на властите към него и колегите му, ще отдръпне мнозина специалисти от тази областта, което от своя страна ще доведе до общо понижение на цялата сигурност в Интернет. „Това, което те правят сега е убийството на кариери, тъй като те въобще не вземат под внимание мотивацията за нашите действия“, споделя той. Що се отнася до това има ли смисъл работата им, то Том Брюстър от медията привежда откриването на сериозна уязвимост в UPnP-протокола, която е разкрита именно благодарение на Critical.IO. А въпросната уязвимост засягала между 40 и 50 млн. машини в Интернет. Не е зле за проект, който стартира едва през 2012 г. Благодарение на законодателите, подобни разкрития все по-рядко ще излизат на бял свят явно. Мур споделя, че властите (той не желае да спомене името на институцията, която му създава проблеми) все още се занимават с него, въпреки че той е изложил мотивите за действията си и е бил честен с тях в даване на подробности за работата си.

Мур също така разкрива, че именно действията на правозащитните органи са причината той да се оттегли за известно време от индустрията. „Нужно е да има хора, които да имат способностите да вникнат в дълбочина в тези системи, хора, които знаят как да манипулират технологията по начин, по който един престъпник го прави, но със съвсем друга цел“, обяснява той. „Нуждаем се от такива хора, които да помогнат на потребителите да разберат за опасностите, и да работят с организациите и компаниите, за да отстранят тези заплахи. Понастоящем закона е срещу такива хора. Той не прави разлика между изследовател и престъпник и не помага на потребителите да осъзнаят рисковете“.

Зак Лание (Zach Lanier) от Duo Security също е притенен от това, като споделя за случай, при който той и колегите му са открили критични уязвимости в устройство насочено към употреба от деца и след като са съобщили разкритието на производителя на устройството, той започнал да получава заплахи за съдебни дирения от страна на адвокати.

Лание разказва, че са се опитали да водят диалог с тях, предоставили им всички подробности по случая и когато решили да направят откритията си публични им се обадил адвокат. Едно от основните обвинения, които били отправени към тях било, че те били хаквали системите им. Заплахите за съд накарали Лание и колегите му да прекратят работа по случая.

Има ли светлина в тунела? Мнозина споделят надеждата си, че нещата може да се подобрят към по-добро. Основание за подобни надежди дава например силната подкрепа за „Закона на Арън“, кръстен на името на самоубилия се миналата година Арън Шуорц. Семейството на Шуорц обвинява именно противоречивата природа на CFAA за съдбата на младия активист. Воден от идеалистични подбуди, един от организаторите на протестите срещу ACTA и SOPA в САЩ и създател на RSS, сваля без да е опълномощен за това, хиляди документи от онлайн хранилището за академична литература и периодика Jstor от сървър на Масачузетския технологичен институт. След като властите и засегнатите страни започват съдебно преследване и става ясно, че го грози петдесетгодишна ефективна присъда, Шуорц слага край на живота си.

Абонирай се
Извести ме за
guest
3 Коментара
стари
нови оценка
Отзиви
Всички коментари

Нови ревюта

Подобни новини