Cisco zachowało się w sposób racjonalny i adekwatny do sytuacji. Zasady polityki ochrony własności intelektualnej i bezpieczeństwa systemów sieciowych naszych klientów są znane od lat. Sprawa z udziałem Michaela Lynna jest doskonałym przykładem łamania podstawowych norm, zarówno tych moralnych jak i prawnych. Lynn, po tym, jak luka w systemie IOS routerów została już zdiagnozowana, a "łatki" opracowano przedstawił cały mechanizm włamywania się do oprogramowania zarządzającego. Wykład miał formę instruktażową, krok po kroku ukazując, w jaki sposób obchodzi się zabezpieczenia. Taką postawę można zakwalifikować jako celowe i szkodliwe działanie, co ma znamiona czynu kryminalnego.

Podsumowując, nasi klienci nie powinni się niczego obawiać, ponieważ pozostajemy czujni w dziedzinie systemów bezpieczeństwa, a wszelkie zauważone nieprawidłowości są natychmiast korygowane.

Jednak nie wszyscy wierzą w czyste intencje działań Cisco. Podobno nakłanialiście uczestników spotkania do pozbycia się prezentacji Lynna z materiałów konferencyjnych?

Nie mieliśmy żadnych negatywnych sygnałów od uczestników w tej sprawie. Wierzę, że nasi klienci ufają nam w tak delikatnej materii. Czy cała historia z Lynnem mogła mieć inny przebieg? Z pewnością tak. Po fakcie zawsze łatwiej jest krytykować czyjeś działania. Jednak w tamtej konkretnej chwili trzeba było podejmować szybkie decyzje i tak też uczyniliśmy.

Rozumiem, że dość nerwowa reakcja Cisco była jednostkowym wydarzeniem?

Tak, opracowujemy nowe standardy zachowań w podobnych sytuacjach.

Poprzez wymianę prawników?

Nie chodzi tutaj o naszych prawników, do ich pracy nie mamy zastrzeżeń. To, co się powinno zmienić, to postrzeganie Cisco przez uczestników, będących świadkami takich sytuacji jak te z konferencji Black Hat. Pracujemy nad tym.

Wspomniał Pan, że przed wystąpieniem Lynna większość dużych klientów Cisco miało już dostęp do "łatek" naprawiających lukę w IOS. Czy jesteście jednak pewni, że oni zainstalowali tę aktualizację?

Co prawda, w umowach sprzedaży naszych rozwiązań nie ma wyraźnej klauzuli zobowiązującej klientów do instalowania przesyłanych przez nas poprawek, ale zdecydowane większość z nich ufa nam w tej kwestii I zawsze przeprowadza takie aktualizacje. W rzadkich przypadkach bardzo poważnych zagrożeń, nasze sugestie są wręcz obligatoryjne i poważni użytkownicy nigdy ich nie kwestionują.

Routerom z IOS zdarzają się luki, a jak bezpieczne są wasze rozwiązania VoIP?

Gdy pięć lat temu zaczynaliśmy "przygodę" z telefonią internetową, nikt nie myślał poważnie o względach bezpieczeństwa. W ostatnim czasie nastąpiła jednak diametralna zmiana punktu widzenia w tych kwestiach. Obecnie nasze działania koncentrują się głównie na zabezpieczaniu technologii głosowych (m.in. dzięki patentom przejętym w wyniku akwizycji spółki Okena w 2003 roku oraz wprowadzeniu specjalnych systemów chroniących przez tzw. SPITem - SPam over Internet Telephony. Nasze opracowania zabezpieczające technologię VoIP zostały niedawno nagrodzone, co dodatkowo mobilizuje nas do wytężonej pracy.

Rozmawiał: Matt Hamblen

Opracował: Dariusz Niedzielewski

Więcej o konferencji Black Hat i Michaelu Lynnie pisaliśmy tutaj:

"Nie mówcie o dziurach"