Problem publikowania informacji o zagrożeniach bezpieczeństwa dotyczy nie tylko oprogramowania. Gdy w grę wchodzi bezpieczeństwo sprzętu służącego do autoryzacji transakcji czy potwierdzenia tożsamości osób, badania w celu wykrycia ewentualnych luk w bezpieczeństwie rozwiązań IT są bardzo cenne. Umożliwiają bowiem wykrycie ewentualnych luk zanim cyberprzestępcy zaczną wykorzystywać je na masową skalę. Z drugiej strony dostawcy tych rozwiązań nie są zainteresowani jakąkolwiek publikacją danych na ten temat, bowiem takie informacje pokazują bardzo dobitnie ich błędy. Aby chronić biznes stosują wszelkie sposoby nacisku, włącznie z wytaczaniem procesów sądowych.

Sklonowana karta

W marcu br. pisaliśmy na Computerworld online o prowadzonych na uniwersytecie Radboud w Nijmegen pracach związanych z klonowaniem kart zbliżeniowych Mifare Classic firmy NXP Semiconductors. Przypomnijmy, Karsten Nohl, student z Uniwersytetu Virginia wykrył nieznane wcześniej słabości kart MiFare Classic. Swoje odkrycia przekazał do analizy naukowcom z Holandii. Pierwsze postępy badań w dziedzinie łamania zabezpieczeń kart MiFare Classic udowodniły, że klonowanie tych kart jest możliwe i nie wymaga dużych nakładów finansowych. Zastosowane zostały bowiem m.in. zbyt słabe mechanizmy szyfrowania. Z oficjalnych informacji wynika, że naukowcy wielokrotnie próbowali przekazać swoje spostrzeżenia producentowi układów i zachęcić go do współpracy nad uaktualnieniem zabezpieczeń.

Tymczasem firma NXP Semiconductors 10 lipca br. skierowała sprawę ewentualnej publikacji wyników badań naukowców na ścieżkę sądową. Jednym z argumentów wytaczanych przeciw badaczom było ryzyko dużych strat finansowych wynikłych z luk w bezpieczeństwie tak rozpowszechnionego produktu, bardzo wysokie koszty aktualizacji systemów do bezpieczniejszego standardu a także utrata dobrej marki przez całą linię produktów. "Blokada dostępu do informacji nie jest dobrym pomysłem, bowiem badacze nie będą mogli wypracować żadnego pomysłu na rozwiązanie problemu" - uważa Karsten Nohl. Jego zdaniem przestępcy zajmujący się klonowaniem kart MiFare szczegółowo znają budowę i wady układów RFID. Jednocześnie naukowcy argumentowali, że upublicznianie informacji o błędach przyspieszy proces tworzenia poprawek. Sąd przyznał im rację.