Niebezpieczna wiedza

Na dobre i na złe

Problem prowadzenia kursów z technik ataku na systemy komputerowe jest jednak trudny do jednoznacznego rozstrzygnięcia na gruncie prawnym. Brakuje literatury i orzecznictwa w tej sprawie. Prawnikom zajmującym się problemami technik informacyjnych nie są jeszcze znane żadne precedensowe rozstrzygnięcia. "Dlatego w tym przypadku nie można przesądzać o niczym w sposób ogólny. Każdy przypadek trzeba rozpatrywać osobno" - mówi Rafał Cisek, pracownik naukowy Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej na Uniwersytecie Wrocławskim.

Duże znaczenie mają w tym przypadku intencje, jakimi kierują się organizatorzy kursów prezentujących narzędzia hakerskie. Jest to bowiem tzw. wiedza podwójnego użytku - może być wykorzystana zarówno w dobrym, jak i złym celu (tak jak, nie przymierzając, siekiera, która może służyć zarówno do rąbania drewna, jak i zabijania). Czy można zatem stwierdzić, do jakich celów dane narzędzie było przygotowywane? Zdaniem Rafała Ciska można to zrobić chociażby na podstawie analizy jego budowy.

W Polsce mało gra się w baseballa, ale sprzedaje dużo kijów baseballowych. Prawdziwy, amerykański kij baseballowy różni się jednak od tych, które są powszechnie sprzedawane w naszym kraju (np. są krótsze, by łatwiej je było schować pod kurtkę). Jeżeli chodzi o kursy internetowe, to o zamiarach ich organizatorów można zorientować się chociażby po tematyce szkolenia czy rozłożeniu akcentów w poszczególnych kwestiach. "Kiedy nauczyciele czy trenerzy nie przedstawiają rozwiązań hakerskich w kontekście zabezpieczeń systemu komputerowego, lecz sposobów jego złamania, to wtedy można myśleć o postawieniu organizatorom zarzutu o podżeganie do przestępstwa czy o współsprawstwo wyrządzonej szkody" - wyjaśnia Rafał Cisek. Zarazem jednak dodaje, że udowodnienie zamiarów jest sprawą niezwykle trudną. Organizatorzy kursów zawsze mogą się bronić, twierdząc, że nie zakładali, iż ktoś użyje nabytej wiedzy w sposób niezgodny z prawem, że nie mogą brać odpowiedzialności za czyjeś suwerenne decyzje.

Kwestią indywidualnego osądu pozostaje zatem odpowiedź na pytanie, czy uczenie pisania wirusów komputerowych i inne tego rodzaju przedsięwzięcia edukacyjne rzeczywiście służą lepszej ochronie systemów komputerowych czy też prowadzą do utwierdzania postaw relatywizmu etycznego w środowisku informatycznym.

Weryfikacja przez atak

Wielu specjalistów sądzi, że jedynym sposobem weryfikacji stopnia bezpieczeństwa oferowanych na rynku programów może być ich wystawienie na publiczne ataki.

Sytuację, w której firmy nie informują swoich klientów o zauważonych błędach w swoim oprogramowaniu, określa się mianem "ochrony przez przemilczanie" (security through obscurity) - czyli problemu nie ma dopóty, dopóki się o nim nie mówi.

Zazwyczaj programiści pracujący nad aplikacjami mają zakaz przekazywania na zewnątrz jakichkolwiek informacji o wykrytych punktach krytycznych. Powinni raczej sami znaleźć sposób ich wyeliminowania. Wtedy firma może zarobić dodatkowo na oferowanych up-grade'ach, bez których "program nie może prawidłowo działać". Zdaniem niektórych specjalistów rozwiązaniem byłoby poddawanie wszystkich wprowadzanych na rynek produktów próbie totalnego ataku. Metoda "ochrony przez przemilczanie" nie spełnia wymogów bezpieczeństwa, służy raczej ochronie interesów firm komputerowych.

Zdaje się jednak, że również takie postulaty firmy będą chciały wykorzystać z pożytkiem dla siebie. Wygląda na to, że ich przedstawiciele zaczynają rozumieć, iż nie wystarczą same zapewnienia o bezpieczeństwie i potrzebne są bardziej przekonujące argumenty. Okazuje się, że takich mogą dostarczyć hakerzy - udana próba zmierzenia się z nimi może stanowić dla firmy powód do chluby. Z tego właśnie powodu Novell Polska był sponsorem turnieju hakerskiego dla młodzieży "Security Day", który został rozegrany w czerwcu br. w Rudzie Śląskiej.

Do konkursu przystąpiło 620 uczestników. Ich zadaniem było jak najszybsze włamanie się do specjalnie przygotowanego hosta, udokumentowane umieszczeniem na serwerze swoich danych lub zebraniem jak najdokładniejszych danych o jego konfiguracji. Novell Polska szczyci się, że żadnemu z uczestników nie udało się złamać oferowanego przez firmę oprogramowania do zarządzania serwerem.

W opinii niektórych przedstawicieli środowiska informatycznego takie wykorzystywanie działań hakerskich jest działaniem wyłącznie marketingowym.

Jakkolwiek można dyskutować z tak stanowczymi ocenami, pytanie - jak daleko można się na tej drodze posunąć - pozostaje otwarte.


TOP 200