Читать «Журнал "Компьютерра" №710» онлайн - страница 28

Андерсон приводит еще один пример, связанный с ответственностью: он касается банков и их взаимоотношения с клиентами. Если кто-то украл деньги с какого-то банковского счета, то виноватым может оказаться как банк (например, использовалась небезопасная инфраструктура для аутентификации пользователей или украдена база данных), так и клиент (например, записал пароль на бумажке, наклеенной на монитор офисного компьютера, а файл с цифровым сертификатом положил на "Рабочий стол"). По законодательству США, действует презумпция виновности банка: ему придется доказывать, что "лоханулся" пользователь, либо возмещать убытки. Во многих европейских странах ситуация противоположная. Нетрудно догадаться, что банки США в среднем лучше и эффективнее защищают свои системы, хотя и тратят на это меньше денег.

 

Нельзя продать? Отдадим даром!

В условиях отсутствия легального рынка уязвимостей, единственное, что получает исследователь, публикующий свои изыскания - известность, имя и славу. В такой ситуации говорят об "экономике репутаций". Когда-то именно вопрос репутации был основным движущим фактором развития вредоносного кода. Впрочем, в индустрии безопасности имя можно конвертировать в деньги сравнительно просто: громкое "разоблачение" может стать неплохим пиаром и привести к исследователю толпы клиентов, жаждущих безопасности (даже от мнимых угроз).

Во время обсуждения ситуации вокруг руткита Blue Pill Виталий Камлюк сказал, что, с его точки зрения, публикация кода руткита была поступком не очень этичным и может оказаться помощью "темной стороне". Мы попросили Джоанну Рутковску прокомментировать это мнение.

"Конечно, у меня другой взгляд. Во-первых, заметьте, что эксплойты и proof-of-concept-код (например, Blue Pill) не создают новых уязвимостей в системе - они только используют уже существующие уязвимости. Если бы компьютерные системы были правильно спроектированы и реализованы, эксплойтов не было бы. Публично доступные эксплойты и другой подобный код только показывают возможные опасности и позволяют изучать возможные способы противодействия таким проблемам.