16 July 2010

Informatyk zawodem wysokiego ryzyka?

Kolejny post dotyczący naszego Polskiego "zaścianka". A mianowicie chciałbym napomknąć jak wygląda egzystencja nas informatyków w kontekście przepisów prawnych oraz strachu przed naszymi umiejętnościami.

Wiedza, którą dysponujemy, pozwala nam patrzeć na systemy które używamy z zupełnie innej perspektywy, odkrywać ich błędy nawet bez zbytniego zaangażowania się w to. I co, niestety, smuci wytknięcie komuś błędu może wiele nas kosztować.

Na wstępie muszę zaznaczyć, że specem w kwestiach prawnych nie jestem. Tak więc nie będę się skupiał na tychże kwestiach w kontekście paragrafów.

Świat

Gdy słyszy się, że 'hacker' korzystając z serwisu znalazł poważną lukę bezpieczeństwa, a w nagrodę za powiadomienie właściciela o tym dostał jakiś śmieszny wyrok typu 600 lat pozbawienia wolności to człowiek zastanawia się czy w tej Ameryce jest tak dobrze jak to próbują nam wmówić? A przecież nawet w przypadkach, gdy użyto wiedzy tylko po to, aby pomóc uszczelnić zabezpieczenia, zakończenie często było takie samo. I przynajmniej mi taka sytuacja kojarzy się z inkwizycją. Tak jak kiedyś palono na stosie tych, których się obawiano, tak i teraz zagadnienia informatyczne są postrzegane jako swoista magia oraz budzą lęk i przerażenie.

Z drugiej jednak strony słyszymy o ujawnianiu wad oprogramowania jak choćby ostatnia sprawa z Windowsem XP, jednak nikt o żadnym procesie nie mówi.

Wszystkie te sytuacje dla kogoś nie obeznanego z prawem zapewne wyglądają dość dziwacznie, w tym także dla mnie. Być może jest to spowodowane różnicowaniem zabezpieczeń serwisów/portali i zwykłych programów.

Polska

Z mniej bądź lepiej znanych mi przypadków dotyczących bezpieczeństwa muszę przyznać, że jest dosłownie rÓŻNie. Choć patrząc na to z przymrużeniem oka zaściankiem pod tym względem nie wydajemy się być. Tu sporo na gorsze mogą zmienić ostatnie nowelizacje prawa, ale to już sprawa do dalszego zbadania. Tak czy siak prace społeczne za wytknięcie błędów w serwisie dadzą się przełknąć.

Doświadczenia
  • Administrując siecią posiadającą kilkuset użytkowników zaobserwowałem grupę "wykształconych", którzy robią co chcą, będąc ufnymi w swoją zarąbistość. Jednak pewnego słonecznego dnia przychodzi szara rzeczywistość i wtedy nawet genialny pomysł typu: skrypt zmieniający regularnie mac-a na niewiele się zdaje. Wielu z nich już się boleśnie przekonało, w tym także na moich oczach, że Wielki Brat patrzy a coś takiego jak anonimowość w internecie nie istnieje.
    Pracując w sieci zapominamy, że nasze poczynania można praktycznie w 100% namierzyć, inna kwestia czy to się opłaca. Kluczowym pytaniem jest więc: "Komu się zaszło za skórę?", oraz jak bardzo ten ktoś jest zdeterminowany aby złapać nas na gorącym uczynku.
  • Nagradzanie ludzi z zewnątrz za informację o błędzie też można spotkać i z moich obserwacji wynika, że firmy mogą dużo na tym wygrać.
  • Na pewno niewyobrażalne straty firma 'może' ponieść w wyniku podejścia typu "my wiemy lepiej" bądź też "z hakerami się nie negocjuje", a sprawa jest dużo bardziej skomplikowana niż to się może wydawać na pierwszy rzut oka. Więc jest szansa, że doczeka się osobnego postu.
  • O innych ciekawych przypadkach z życia wziętych, przeczytasz na: Hacking.pl
Rada z mojej strony

Jeśli już znajdziemy jakąś lukę w obcym nam systemie, to:

  • Nie możemy oferować odpłatnego jej załatania. Dzieje się to dlatego, iż jako potencjalni hackerzy możemy chcieć uzyskać dostęp do kodu w celu dalszej penetracji systemu, a w interesie firmy leży zadbanie aby sprawa nie przybrała takiego rozwojowi wypadków.
  • Pozostawienie sprawy samej sobie może okazać się poważnym błędem. Bo problem może wypłynąć a my zostaniemy kozłem ofiarnym (logi mogą okazać się trwalsze od naszej sklerozy).
  • W zależności od metody odkrycia luki można rozważyć złożenie zawiadomienia o przestępstwie na mocy ustawy o ochronie danych osobowych, gdyż o zgrozo atak może okazać się jedyną formą obrony. Tu jednak lepiej zasięgnąć porady prawnej i to wyjątkowo dobrej, nie zapominajmy w końcu, że niektóre bronie są obosieczne.

Przyszłość

Trudno jest przewidzieć, w którą stronę pójdzie kwestia bezpieczeństwa, na pewno niezaprzeczalny wpływ na to mają ustawodawcy. A możliwe ścieżki zarysowują się:

  • Strach : Przepisy pójdą w stronę karania za nie upoważniony dostęp do danych nie zależnie od powodów. Taka postawa może spowodować zatajanie luk w bezpieczeństwie w efekcie czego usłyszymy o kilkulatkach forsujących zabezpieczenia korporacji.
  • Równowaga : Przepisy nie będą tak restrykcyjne a od czasu do czasu spotkamy się z zaniżonymi bądź zawyżonymi wyrokami.
  • Nacisk : Możliwości testowania zabezpieczeń zostaną oficjalnie otwarte, co nie ma szansy zaistnienia bez wyraźnego sprecyzowania jaką korzyść testujący z tego tytułu otrzyma oraz jakie są jego obowiązki (np. odpowiednio wczesne powiadomienie właściciela). Na pewno zwiększyłoby to liczbę specjalistów od bezpieczeństwa jak i ich fachowość. Z drugiej strony uszczupliłoby zasoby finansowe firm.

Materiały:

Dla zainteresowanych bardziej fachowa lektura (komentarze też warte uwagi)

PS. A jak wy się zapatrujecie na kwestie prawne w naszych zawodach?

7 comments:

  1. Temat kwestii prawnych jest mi całkowicie obcy, poza takimi banałami jak prawo autorskie i właścicielskie. Jak rozumiem, pierwszego nigdy się nie zbywa, a drugie można odsprzedać (i tak się dzieje w korporacjach, które automatem przejmują nasze produkty).

    Nie bardzo jednak rozumiem do czego zmierzasz z tym wpisem?! Co Cię skłoniło do jego napisania? Bawisz się w hakera, czy siedzisz po drugiej stronie - admina od bezpieki?

    Bardzo spodobały mi się określenia: grupę "wykształconych", którzy robią co chcą, będąc ufnymi w swoją zarąbistość oraz logi mogą okazać się trwalsze od naszej sklerozy. Przy pierwszym, to prawie spadłem z krzesła :) "Zarąbistość" to będzie moje słowo tygodnia!

    ReplyDelete
  2.    Przede wszystkim jestem mocno zainteresowany bezpieczeństwem i bardzo mi się nie podoba z jaką ignorancją te kwestie potrafią być traktowane. Fakt, że nie mogę choćby przetestować serwisu, któremu powierzam swoje dane też nie napawa mnie optymizmem.

       Martwi mnie też brak jasnych/sensownych reguł w relacji prawo <-> informatyka, bo najchętniej to w ogóle bym się tym nie interesował.

    Widziałem:
     § z doświadczeń od strony 'bezpieki' jak wygląda kwestia rozważania drogi sądowej.

     § z prasy/od znajomych badałem jakie są konsekwencję wypomnienia komuś błędu (bez złych intencji).

     § dzięki kontaktom z hakerami/lamerami m.in. jak się kończy wykorzystanie luki przez osobę do tego nie powołaną.

    ReplyDelete
  3. Ja jako wlasciciel serwera wogole nie doceniam wysilkow proby wlamania na moj serwer bez mojej zgody tylko po to, zeby wytknac jego slabosci.

    Czy bylbys zadowolony, gdyby sasiedzi sprawdzali jak masz zabezpieczone mieszkanie ? Czy nie zapomniales zamknac, czy nie zostawiles klucza pod wycieraczka, czy jak wynosisz smieci to tez nie zostawiasz drzwi otwartych... ?

    Albo w takim sam sprawdzanie zabezpieczen w biurze ? Czy na pewno umiemy rozpoznac kogos nie powolanego, czy ktos niepowolany nie moze wejsc do biura i ukrasc torebki ?

    Mysle, ze takie testy w "swiecie rzeczywistym" by nie przeszly i te dobre dusze wytykajace braki w zabezpieczeniach by nie znalazly zrozumienia, ze robia to tylko dla Twojego dobra.

    Rowniez zdecydowanie sie rozni wytykanie luk w oprogramowaniu w odoroznieniu od wytykania luk w zabezpieczeniu sieci. W przypadku oprogramowania hacker to moze zrobic lokalnie bez dostepu do niczyjej sieci.

    ReplyDelete
  4. @Mis Tigi
        Rozumiem jednak z znaczniej mierze się nie zgadzam.

        Po pierwsze muszę jeszcze raz podkreślić, że kwestia nie jest prosta.
    1.    Wcale nie zakładam, że to miało by być bez zgody (zainteresowanego).
    2.    Uważam, że jeśli ktoś 'testował' by zabezpieczenia to musiały by istnieć do tego odpowiednie regulacje, jak choćby konieczność powiadomienia 'celu' w przeciągu 2~3 dni
    3.    Niektóre testowania nie mogły by być dozwolone w ogóle, ze względu na swój charakter, jak choćby DDOS, który do prawidłowego działania wymaga ochrony na poziomie sieci szkieletowej (w mojej opinii).

        Jeśli chodzi o takie testy w świecie rzeczywistym to przynajmniej z mojej perspektywy się one sprawdzają, jak choćby telefon od kumpla o nie zgaszonych światłach w samochodzie, itp. Tu popieram idee programu "Łapać złodzieja".
    Zwłaszcza, że każdy krok w stronę lepszych zabezpieczeń jest krokiem na trwałe. A z doświadczeń wiem, że często zabezpieczenia to nic innego jak strach na wróble. Więc zupełnie nie widzę sensu w dawaniu zarobić ludziom żyjącym z pozyskiwania nielegalnych danych.

        Jeśli chodzi o kwestie oprogramowania kontra zabezpieczeń sieci, to faktycznie często te sieciowe są znacznie częściej krytyczne, ale dla mnie jest to właśnie powód o większą dbałość.

        Wyobraźmy sobie, że ktoś chce działać na szkoda danej firmy, co to oznacza jeśli wie co robi ?
    -    Wyciek danych + publikacja ( utrata 30% i więcej klientów )
    -    Zablokowanie usług na kilka dni

        A nie łudźmy się, bezpieczeństwo ma często znacznie mniejsze zasoby niż GUI ^__^

    Pozdrowionka!

    ReplyDelete
  5. "1. Wcale nie zakładam, że to miało by być bez zgody (zainteresowanego)."
    A jaki jest sens dyskutować o aspektach prawnych takiego audytu jeśli jest zgoda obu stron?

    "A z doświadczeń wiem, że często zabezpieczenia to nic innego jak strach na wróble. Więc zupełnie nie widzę sensu w dawaniu zarobić ludziom żyjącym z pozyskiwania nielegalnych danych."
    ??

    "(...) to faktycznie często te sieciowe są znacznie częściej krytyczne(...)"
    To wyłącznie Twoja opinia, porównanie w poprzednim poście dotyczyło czegoś zupełnie innego! Nie używaj więc słowa "faktycznie", bo nie zgadzasz się z przedmówcą tylko z samym sobą...

    "Wyobraźmy sobie, że ktoś chce działać na szkoda danej firmy, co to oznacza jeśli wie co robi ?
    - Wyciek danych + publikacja ( utrata 30% i więcej klientów )
    - Zablokowanie usług na kilka dni

    A nie łudźmy się, bezpieczeństwo ma często znacznie mniejsze zasoby niż GUI ^__^"
    Dane z kosmosu + jaki to ma związek z wypowiedzią do której się odnosisz?

    Moje zdanie: Masz poważne problemy z rozumowaniem przyczynowo skutkowym oraz jeszcze większe z artykułowaniem swoich myśli. W związku z czym, prowadzenie z Tobą jakiejkolwiek dyskusji jest po prostu stratą czasu.

    ReplyDelete
  6. @Anonymous
    Co do: "Masz poważne problemy z rozumowaniem przyczynowo skutkowym" to pominę komentarz, jeśli chodzi o artykułowanie myśli to jak najbardziej nigdy nie byłem w tym dobry, podobnie jak mam problemy z dodawaniem liczb a jeśli ci sprawi radość to ci powiem, że nazw miesięcy też dopiero niedawno się nauczyłem. I co z tego? Jeśli należysz do organizacji walczącej o czystość gatunku/języka, to raczej ja do niej się nie nadaje. A komentarze są włączone właśnie po to, żeby można było zaproponować lepsze rozwiązanie, bądź wyjaśnić nieścisłości i tym podobne.

    Odnośnie "zgody obu stron" to istnieje coś takiego jak "brak mocy prawnej" i kilka innych aspektów.

    Słowo "faktycznie" zostało użyte właśnie po to, żeby wskazać, że w danym aspekcie zgadzam się z przedmówcą.

    Natomiast dane biorę z doświadczenia, ewentualnie z odpowiednich statystyk, ale wtedy staram się zamieszczać link do nich.

    Moje zdanie:
    Dyskusja na nie oczywisty temat nigdy nie będzie prosta, jeśli chcesz dyskutować tylko z ludźmi którzy wypowiadają się tylko tak samo jak Ty i tylko w taki sam sposób jak Ty to masz do tego pełne prawo. Ja natomiast wole dyskutować z ludźmi którzy się nie zgadzają ze mną, gdyż taka jest to bardziej produktywny.

    Pozdrawiam.

    ReplyDelete
  7. Czyżby kolejne konsekwencje 'lekkiego' traktowania bezpieczeństwa?:
    Pozew przeciwko Sony w sprawie wycieku danych

    Jeśli Sony które i tak ma sztab ludzi od bezpieczeństwa może mieć problemy tego kalibru to jak może skończyć jakaś mała firemka która komuś podpadnie?

    ReplyDelete