Zaloguj się do usług
bezpieczeństwa
28 stycznia 2020
Gdzie kończy się etyka?

"Atak hakerów". Pojęcie iście hollywoodzkie, przede wszystkim dlatego, iż w rozumieniu showbiznesu mianem "hakera" określamy "tego złego" - człowieka, który wykrada dane, przeprowadza ataki DDoS, czy włamuje się do miejskiej sieci, by przeprogramować sygnalizację świetlną (Szklana Pułapka 4). O ile Słownik Języka Polskiego dopuszcza taką formę https://sjp.pl/haker (na 3. miejscu w opisie hasła), my preferujemy pierwsze dwie, tj.:

1. osoba szukająca dziur bezpieczeństwa w oprogramowaniu komputerowym;
2. osoba o bardzo dużych umiejętnościach informatycznych, identyfikująca się ze społecznością hakerską

Gdy jednak dochodzi do sytuacji, o której od ostatniego poniedziałku mówi bez mała pół USA, popadamy w lekką konsternację.

Hakerzy, czy mafia?

National Football League (NFL) to najpopularniejsza i najwięcej warta z zawodowych lig w USA, z jej finałem, SuperBowl, ustępującym w oglądalności telewizyjnej w skali świata wyłącznie letnim igrzyskom olimpijskim. W rozgrywkach zamkniętej (bez awansów i spadków) ligi biorą udział zaledwie 32 drużyny, z których dwie szykują się właśnie do wspominanego SuperBowl. I w tej oto sytuacji na kontach na Facebooku, Twitterze i Instagramie przeszło połowy drużyn nikną zdjęcia profilowe, pojawiają się dziwne, nie wyglądające na autoryzowane, newsy, ostatecznie ustępując miejsca takiej informacji:

Autorzy tej spektakularnej akcji sami określają siebie mianem "white hat hackerów", czyli ludzi, którzy w dobrych zamiarach przełamują zabezpieczenia. Z drugiej jednak strony  sugerując (jak widać na zrzucie ekranu), że mogą... pomóc ofiarom w zabezpieczeniu ich sieci. Cóż, mnie to raczej przypomina działalność mafii, takiej topornej, w post-PRLowskim stylu, najpierw robiącej awanturę w barze z kebabem, by następnie "sugerować", że wystarczy zapłacić "za ochronę" by coś takiego się nie powtórzyło.

Nie znam specyfiki amerykańskiego prawa, ale nie sądzę, by w Polsce ktokolwiek podjął ryzyko tak specyficznej "promocji" swojej firmy. Jak precyzuje art. 267 §1 i 2 Kodeksu Karnego: "Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej (...) podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając (...) jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2."; "Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego."

Wkurzyli lwa

Grupy OurMine nie można nazwać nowym graczem na rynku. W przeszłości "zasłynęli" przejęciem Pinterestowego konta Marka Zuckerberga, a także Twitterowych - HBO, TechCrunch, czy FC Barcelona. Atak na NFL (ofiarą padły również oficjalne konta ligi) nieprzypadkowo miał miejsce akurat w tygodniu przed SuperBowl, gdy o lidze i dyscyplinie mówi i czyta lwia większość Amerykanów. Sprawcy twierdzą, że ich celem było udowodnienie, że nie ma systemów nie do złamania i wykazanie podatności w zewnętrznej platformie do obsługi mediów społecznościowych. A mnie ciężko uwierzyć w szczytny cel, choćby dlatego, że "hakerzy" z OurMine wielokrotnie dowiedli, że o responsible disclosure może raz przeczytali na Wikipedii.

Mocno się zdziwię, jeśli po takim numerze ktokolwiek zgłosi się do jego autorów "po ochronę", prędzej zaangażuje prawników, do tego, by dowiedli panom z OurMine, że zrobili źle. O ile liga jako taka traktowana jest w rozumieniu przepisów jako organizacja non-profit, jej właścicielami są wszystkie drużyny, o średniej wartości blisko 3 mld dolarów każda. Zgłaszając podatności w sposób ogólnie przyjęty w środowisku, mogli na nich dużo zarobić (najlepsi już dwa lata temu potrafili zarobić z programów bug bounty porządne, sześciocyfrowe kwoty w dolarach). Tymczasem zostawiając etykę na boku i stawiając na medialny szum może się okazać, że bardzo zirytowali lwa. Jednego z najbogatszych lwów w USA.

A poza tym - kto zapłaciłby za pracę nie mając pewności, czy za jakiś czas o naszych słabościach za pomocą mediów społecznościowych nie dowie się cały świat?

Michał Rosiak


Masz ciekawą informację?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl