15 Ноября, 2011

Помощь зала

InfoWatch
Обратились тут за консультацией. Некий доброхакер нашёл уязвимость в популярной программе. И, как полагается, сначала сообщил об этом приватно производителю. Однако разработчики посовещались и высказали мнение, что уязвимость эта – никакая не уязвимость, а так, мелкий недочёт. И что никакой опасности нет, дополнительных рисков не появляется, устранять нечего.

Хакер же категорически не согласен. Он считает, что опасность есть, эксплоиты и атаки вскоре появятся, а производитель просто ошибается. Либо прикрывает тупым отрицанием свою лень или некомпетентность.

Чтобы выносить вопрос на широкое обсуждение, придётся опубликовать все детали. А это позволит "чёрным шляпам" написать эксплоит. Наш этичный хакер этого не желает. Самому разработать concept proof ему кажется слишком затратным мероприятием, тем более, что работу эту никто не оплатит.

С похожими проблемами мы сами сталкиваемся частенько. Большинство утечек, о которых пишут в прессе, на взгляд вашего покорного слуги, неопасны. Утекшую информацию нерентабельно или вовсе невозможно обратить в деньги, поэтому злоумышленники её использовать не станут. Оппоненты же возражают, выдумывая с утекшими данными умозрительные схемы злодеяний в вакууме, хотя на практике ничего подобного не наблюдалось. Как доказать, что утечка опасна или безопасна? Самому, что ли, украсть и смошенничать? И что мне это даст? И что мне за это будет?

Возвращаясь к вопросу, поставленному нашим доброхакером. Пока я ему посоветовал оставить дело без движения. Может, производитель сам опомнится. Может, сыщется-таки эксплоит. Может, подвопросная уязвимость навсегда останется неизвестной и тихо помрёт вместе с продуктом.

Но хотелось бы узнать мнение уважаемых читателей. Ведь в женщинах, политике и футболе разбираются все, независимо от образования, возраста и профессии. Может, вам и про этику есть, что сказать?