r   e   k   l   a   m   a
r   e   k   l   a   m   a

Radykalny plan eksperta CIA: albo odpowiadasz za oprogramowanie, albo udostępniasz jego kod

Strona główna AktualnościOPROGRAMOWANIE

Zbliżamy się do katastrofy w kwestii bezpieczeństwa informatycznego. Wszechobecne przestarzałe, pełne luk oprogramowanie, kompletny brak odpowiedzialności, a do tego nieustanne powtarzanie tych samych błędów grozi nam utratą kontroli nad cyberprzestrzenią. Taką właśnie wizję snuje Dan Geer, ekspert z CIA, który podczas swojego wystąpienia na rozpoczynającej się właśnie konferencji Black Hat w Las Vegas przedstawił tysiącom zgromadzonych hakerów radykalny plan uniknięcia najgorszego.

Opinii Geera łatwo zignorować nie można. Programista ten jest jednym z twórców systemu okienek X Window System i protokołu uwierzytelniania Kerberos, obecnie pracującym jako dyrektor ds. bezpieczeństwa w funduszu inwestycyjnym In-Q-Tel, wspierającym rozwój technik informatycznych kluczowych dla bezpieczeństwa Stanów Zjednoczonych i sprawności operacyjnej Centralnej Agencji Wywiadowczej (CIA). Wzywając do poważnych, wręcz drastycznych zmian w prawie, zyska na pewno wielu sojuszników – ale na pewno też wielu wrogów.

Pomysły te to bowiem wstrząs dla całej branży producentów oprogramowania. Geer chce przede wszystkim całkowitej zmiany podejścia do kwestii odpowiedzialności za błędy w oprogramowaniu. Jak twierdzi, dziś jedynie dwie branże są całkowicie zwolnione z odpowiedzialności – religijna i software'owa – i najwyższy czas to zmienić. Zmiana polegałaby na wprowadzeniu ram prawnych dla dwóch dopuszczalnych modeli biznesowych dla producentów. W pierwszym z nich, producenci mogliby sprzedawać swoje zamknięte, własnościowe oprogramowanie, ale musieliby płacić odszkodowania za ewentualne szkody, do których doprowadziłyby błędy w ich kodzie. W drugim, musieliby publikować kod źródłowy swojego oprogramowania, dać użytkownikom prawo do wyłączenia tych funkcji, których sobie oni nie życzą, i cieszyć się całkowitą ochroną przed pozwami o odszkodowania.

r   e   k   l   a   m   a

Analogiczne podejście miałoby zostać zastosowane w kwestii neutralności sieci. Dostawcy Internetu musieliby wybierać – jeśli chcą analizować ruch sieciowy i różnicować ceny w zależności od rodzaju tego ruchu, to muszą się pogodzić z tym, że są odpowiedzialni za zagrożenia dla ich klientów i będą mogli być pozwani o odszkodowania za szkody w wyniku cyberataku. Jeśli chcą cieszyć się immunitetem, nie odpowiadać za nic, nie mogą w żaden sposób wtrącać się w ruch przechodzący przez ich sieci.

Ekspert CIA przedstawił także ciekawy pomysł na rozwiązanie problemu handlu exploitami 0-day. Jego zdaniem administracja Stanów Zjednoczonych powinna ogłosić nagrody za dostarczenie informacji o błędach, w wysokości dziesięciokrotnie wyższej niż to, co jest w stanie zapłacić rynek. Natychmiast po opracowaniu łatki informacje te powinny zostać upubliczniane. Jeśli się okaże, że krytyczne błędy w oprogramowaniu są raczej rzadkie, to wówczas USA byłyby w stanie całkowicie zneutralizować arsenały cyberprzestępców i swoich wrogów.

Zdaniem Geera należy też pozbawić praw do oprogramowania wszystkich tych, którzy zaprzestali jego wspierania – kod takiego oprogramowania trafiałby do domeny publicznej. Skoro Microsoft sam zaprzestał wydawania łatek dla Windows XP, to nie może utrudniać innym opracowywania takich poprawek na podstawie dostępnego kodu. Ekspert argumentuje, że jeśli ktoś porzuci swoje dziecko czy samochód, to traci do niego prawa. Tak samo powinno być w wypadku oprogramowania. Jeśli zaś chodzi o urządzenia z wbudowanym oprogramowaniem, to ich producenci albo powinni zapewnić narzędzia do zdalnej aktualizacji ich firmware, albo też ograniczyć ich cykl życia. Dotyczy to przede wszystkim domowych routerów, coraz częściej budzących zainteresowanie operatorów botnetów.

Ciekawe stanowisko prelegent zajął także w kwestii prawa do bycia zapomnianym. Uważa on, że to kluczowa sprawa dla ludzkiej wolności i postanowienia Europejskiego Trybunału Sprawiedliwości nie idą wystarczająco daleko. Ludzie muszą mieć możliwość stworzenia siebie na nowo – a w erze powszechnie dostępnej informacji na każdy temat staje się to niemożliwe. Ekspert CIA zauważył, że już dziś służby wywiadowcze mają coraz więcej problemów z budowaniem nowych fałszywych tożsamości – łatwiej przychodzi ukraść komuś tożsamość i ją wykorzystać do działań szpiegowskich.

Możemy oczywiście propozycje te zignorować, ale konsekwencje tego będą straszne, ostrzega Geer. Znajdujemy się w przełomowym momencie rozwoju cywilizacji, konwergencji przestrzeni ciała i przestrzeni informacji – i dzieje się to praktycznie bez żadnej kontroli. Jeśli teraz ludzkość nie przejmie kontroli nad cyfrową sferą i nie zmusi jej do poddania się ludzkim regułom, to w przyszłości może już nie być w stanie tego zrobić.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.