Radykalny plan eksperta CIA: albo odpowiadasz za oprogramowanie, albo udostępniasz jego kod

Zbliżamy się do katastrofy w kwestii bezpieczeństwainformatycznego. Wszechobecne przestarzałe, pełne lukoprogramowanie, kompletny brak odpowiedzialności, a do tegonieustanne powtarzanie tych samych błędów grozi nam utratąkontroli nad cyberprzestrzenią. Taką właśnie wizję snuje DanGeer, ekspert z CIA, który podczas swojego wystąpienia narozpoczynającej się właśnie konferencji Black Hat w Las Vegasprzedstawił tysiącom zgromadzonych hakerów radykalny planuniknięcia najgorszego.

07.08.2014 17:47

Opinii Geera łatwo zignorować nie można. Programista ten jestjednym z twórców systemu okienek X Window System i protokołuuwierzytelniania Kerberos, obecnie pracującym jako dyrektor ds.bezpieczeństwa w funduszu inwestycyjnym In-Q-Tel, wspierającymrozwój technik informatycznych kluczowych dla bezpieczeństwa StanówZjednoczonych i sprawności operacyjnej Centralnej AgencjiWywiadowczej (CIA). Wzywając do poważnych, wręcz drastycznychzmian w prawie, zyska na pewno wielu sojuszników – ale na pewnoteż wielu wrogów.

Obraz

Pomysły te to bowiem wstrząs dla całej branży producentówoprogramowania. Geer chce przede wszystkim całkowitej zmianypodejścia do kwestii odpowiedzialności za błędy w oprogramowaniu.Jak twierdzi, dziś jedynie dwie branże są całkowicie zwolnione zodpowiedzialności – religijna i software'owa – i najwyższy czasto zmienić. Zmiana polegałaby na wprowadzeniu ram prawnych dladwóch dopuszczalnych modeli biznesowych dla producentów. Wpierwszym z nich, producenci mogliby sprzedawać swoje zamknięte,własnościowe oprogramowanie, ale musieliby płacić odszkodowaniaza ewentualne szkody, do których doprowadziłyby błędy w ichkodzie. W drugim, musieliby publikować kod źródłowy swojegooprogramowania, dać użytkownikom prawo do wyłączenia tychfunkcji, których sobie oni nie życzą, i cieszyć się całkowitąochroną przed pozwami o odszkodowania.

Analogiczne podejście miałoby zostać zastosowane w kwestiineutralności sieci. Dostawcy Internetu musieliby wybierać – jeślichcą analizować ruch sieciowy i różnicować ceny w zależnościod rodzaju tego ruchu, to muszą się pogodzić z tym, że sąodpowiedzialni za zagrożenia dla ich klientów i będą mogli byćpozwani o odszkodowania za szkody w wyniku cyberataku. Jeśli chcącieszyć się immunitetem, nie odpowiadać za nic, nie mogą w żadensposób wtrącać się w ruch przechodzący przez ich sieci.

Ekspert CIA przedstawił także ciekawy pomysł na rozwiązanieproblemu handlu exploitami 0-day. Jego zdaniem administracja StanówZjednoczonych powinna ogłosić nagrody za dostarczenie informacji obłędach, w wysokości dziesięciokrotnie wyższej niż to, co jestw stanie zapłacić rynek. Natychmiast po opracowaniu łatkiinformacje te powinny zostać upubliczniane. Jeśli się okaże, żekrytyczne błędy w oprogramowaniu są raczej rzadkie, to wówczasUSA byłyby w stanie całkowicie zneutralizować arsenałycyberprzestępców i swoich wrogów.

Zdaniem Geera należy też pozbawić praw do oprogramowaniawszystkich tych, którzy zaprzestali jego wspierania – kod takiegooprogramowania trafiałby do domeny publicznej. Skoro Microsoft samzaprzestał wydawania łatek dla Windows XP, to nie może utrudniaćinnym opracowywania takich poprawek na podstawie dostępnego kodu.Ekspert argumentuje, że jeśli ktoś porzuci swoje dziecko czysamochód, to traci do niego prawa. Tak samo powinno być w wypadkuoprogramowania. Jeśli zaś chodzi o urządzenia z wbudowanymoprogramowaniem, to ich producenci albo powinni zapewnić narzędziado zdalnej aktualizacji ich firmware, albo też ograniczyć ich cyklżycia. Dotyczy to przede wszystkim domowych routerów, corazczęściej budzących zainteresowanie operatorów botnetów.

Ciekawe stanowisko prelegent zajął także w kwestii prawa dobycia zapomnianym. Uważa on, że to kluczowa sprawa dla ludzkiejwolności i postanowienia Europejskiego Trybunału Sprawiedliwościnie idą wystarczająco daleko. Ludzie muszą mieć możliwośćstworzenia siebie na nowo – a w erze powszechnie dostępnejinformacji na każdy temat staje się to niemożliwe. Ekspert CIAzauważył, że już dziś służby wywiadowcze mają coraz więcejproblemów z budowaniem nowych fałszywych tożsamości – łatwiejprzychodzi ukraść komuś tożsamość i ją wykorzystać do działańszpiegowskich.

Możemy oczywiście propozycje te zignorować, ale konsekwencjetego będą straszne, ostrzega Geer. Znajdujemy się w przełomowymmomencie rozwoju cywilizacji, konwergencji przestrzeni ciała iprzestrzeni informacji – i dzieje się to praktycznie bez żadnejkontroli. Jeśli teraz ludzkość nie przejmie kontroli nad cyfrowąsferą i nie zmusi jej do poddania się ludzkim regułom, to wprzyszłości może już nie być w stanie tego zrobić.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (96)