Radykalny plan eksperta CIA: albo odpowiadasz za oprogramowanie, albo udostępniasz jego kod

Radykalny plan eksperta CIA: albo odpowiadasz za oprogramowanie, albo udostępniasz jego kod07.08.2014 17:47

Zbliżamy się do katastrofy w kwestii bezpieczeństwainformatycznego. Wszechobecne przestarzałe, pełne lukoprogramowanie, kompletny brak odpowiedzialności, a do tegonieustanne powtarzanie tych samych błędów grozi nam utratąkontroli nad cyberprzestrzenią. Taką właśnie wizję snuje DanGeer, ekspert z CIA, który podczas swojego wystąpienia narozpoczynającej się właśnie konferencji Black Hat w Las Vegasprzedstawił tysiącom zgromadzonych hakerów radykalny planuniknięcia najgorszego.

Opinii Geera łatwo zignorować nie można. Programista ten jestjednym z twórców systemu okienek X Window System i protokołuuwierzytelniania Kerberos, obecnie pracującym jako dyrektor ds.bezpieczeństwa w funduszu inwestycyjnym In-Q-Tel, wspierającymrozwój technik informatycznych kluczowych dla bezpieczeństwa StanówZjednoczonych i sprawności operacyjnej Centralnej AgencjiWywiadowczej (CIA). Wzywając do poważnych, wręcz drastycznychzmian w prawie, zyska na pewno wielu sojuszników – ale na pewnoteż wielu wrogów.

Pomysły te to bowiem wstrząs dla całej branży producentówoprogramowania. Geer chce przede wszystkim całkowitej zmianypodejścia do kwestii odpowiedzialności za błędy w oprogramowaniu.Jak twierdzi, dziś jedynie dwie branże są całkowicie zwolnione zodpowiedzialności – religijna i software'owa – i najwyższy czasto zmienić. Zmiana polegałaby na wprowadzeniu ram prawnych dladwóch dopuszczalnych modeli biznesowych dla producentów. Wpierwszym z nich, producenci mogliby sprzedawać swoje zamknięte,własnościowe oprogramowanie, ale musieliby płacić odszkodowaniaza ewentualne szkody, do których doprowadziłyby błędy w ichkodzie. W drugim, musieliby publikować kod źródłowy swojegooprogramowania, dać użytkownikom prawo do wyłączenia tychfunkcji, których sobie oni nie życzą, i cieszyć się całkowitąochroną przed pozwami o odszkodowania.

Analogiczne podejście miałoby zostać zastosowane w kwestiineutralności sieci. Dostawcy Internetu musieliby wybierać – jeślichcą analizować ruch sieciowy i różnicować ceny w zależnościod rodzaju tego ruchu, to muszą się pogodzić z tym, że sąodpowiedzialni za zagrożenia dla ich klientów i będą mogli byćpozwani o odszkodowania za szkody w wyniku cyberataku. Jeśli chcącieszyć się immunitetem, nie odpowiadać za nic, nie mogą w żadensposób wtrącać się w ruch przechodzący przez ich sieci.

Ekspert CIA przedstawił także ciekawy pomysł na rozwiązanieproblemu handlu exploitami 0-day. Jego zdaniem administracja StanówZjednoczonych powinna ogłosić nagrody za dostarczenie informacji obłędach, w wysokości dziesięciokrotnie wyższej niż to, co jestw stanie zapłacić rynek. Natychmiast po opracowaniu łatkiinformacje te powinny zostać upubliczniane. Jeśli się okaże, żekrytyczne błędy w oprogramowaniu są raczej rzadkie, to wówczasUSA byłyby w stanie całkowicie zneutralizować arsenałycyberprzestępców i swoich wrogów.

Zdaniem Geera należy też pozbawić praw do oprogramowaniawszystkich tych, którzy zaprzestali jego wspierania – kod takiegooprogramowania trafiałby do domeny publicznej. Skoro Microsoft samzaprzestał wydawania łatek dla Windows XP, to nie może utrudniaćinnym opracowywania takich poprawek na podstawie dostępnego kodu.Ekspert argumentuje, że jeśli ktoś porzuci swoje dziecko czysamochód, to traci do niego prawa. Tak samo powinno być w wypadkuoprogramowania. Jeśli zaś chodzi o urządzenia z wbudowanymoprogramowaniem, to ich producenci albo powinni zapewnić narzędziado zdalnej aktualizacji ich firmware, albo też ograniczyć ich cyklżycia. Dotyczy to przede wszystkim domowych routerów, corazczęściej budzących zainteresowanie operatorów botnetów.

Ciekawe stanowisko prelegent zajął także w kwestii prawa dobycia zapomnianym. Uważa on, że to kluczowa sprawa dla ludzkiejwolności i postanowienia Europejskiego Trybunału Sprawiedliwościnie idą wystarczająco daleko. Ludzie muszą mieć możliwośćstworzenia siebie na nowo – a w erze powszechnie dostępnejinformacji na każdy temat staje się to niemożliwe. Ekspert CIAzauważył, że już dziś służby wywiadowcze mają coraz więcejproblemów z budowaniem nowych fałszywych tożsamości – łatwiejprzychodzi ukraść komuś tożsamość i ją wykorzystać do działańszpiegowskich.

Możemy oczywiście propozycje te zignorować, ale konsekwencjetego będą straszne, ostrzega Geer. Znajdujemy się w przełomowymmomencie rozwoju cywilizacji, konwergencji przestrzeni ciała iprzestrzeni informacji – i dzieje się to praktycznie bez żadnejkontroli. Jeśli teraz ludzkość nie przejmie kontroli nad cyfrowąsferą i nie zmusi jej do poddania się ludzkim regułom, to wprzyszłości może już nie być w stanie tego zrobić.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na