EFF chce pomóc hakerom
-
- Daniel Cieślak,
- 08.08.2008, godz. 13:12
Fundacja EFF (Electronic Frontier Foundation) zaprezentowała podczas tegorocznej edycji konferecji BlackHat dość nietypową ofertę - organizacja przygotowała stoisko, na którym przez cały czas trwania imprezy dyżurują... prawnicy. Ich zadaniem jest udzielanie pomocy specjalistom ds. bezpieczeństwa, którzy szukają luk w popularnych produktach i są z tego powodu często zastraszani przez producentów oprogramowania.
EFF oferuje hakerom możliwość bezpłatnych konsultacji oraz porad prawnych - mają być one szczególnie cenne dla osób, które wykryją jakiś błąd, ale boją się mówić o nim publicznie z obawy przed reakcją firmy, w której produkcie znajduje się owa luka. "Na rynku jest mnóstwo prawników - ale znalezienie takiego, który doskonale orientuje się w świecie hakerów, luk i błędów w oprogramowaniu, jest prawdziwą sztuką. Postanowiliśmy więc pomóc specjalistom ds. bezpieczeństwa" - mówi Kurt Opsahl, radca prawny Electronic Frontier Foundation.
Tylko w pierwszym dniu konferencji do specjalistów z EFF zgłosiło się sześciu hakerów. Opsahl nie ujawnił, rzecz jasna, na czym dokładnie polegały ich prawne problemy - stwierdził jednak, że we wszystkich przypadkach problem był podobny. Chodziło o uzyskanie informacji o tym, jak bezpiecznie i w pełni legalnie zaprezentować wyniki badań na temat bezpieczeństwa jakiegoś oprogramowania czy usługi - bez ryzyka bycia posądzonym o czarny PR czy nielegalne badanie kodu.
Warto podkreślić, że EFF już od lat pomagała specjalistom ds. bezpieczeństwa w takich sytuacjach - jednak do tej pory była to pomoc niesformalizowana. Teraz to się zmieni - na BlackHat ogłoszono, że organizacja uruchamia program pomocy prawnej o nazwie Coders' Rights. EFF chce w ten sposób pomóc hakerom w badaniach - np. w przypadku analiz, które wymagają zastosowania zabronionej w USA tzw. wstecznej inżynierii kodu czy szukania luk w popularnym oprogramowaniu.
Kurt Opsahl stwierdził, że wiele firm wrogo traktuje specjalistów szukających luk w ich produktach - jego zdaniem, jest to kwestia niezrozumienia procesu tworzenia bezpiecznego oprogramowania oraz niskiej kultury korporacyjnej. "To zwykle ma związek z rozmiarem przedsiębiorstwa - im mniejsza firma, tym wykazuje się większą wrogością wobec specjalistów szukających luk" - mówią przedstawiciele EFF i przypominają, że w ubiegłym roku specjaliści z firmy IOActive musieli w ostatniej chwili odwołać prelekcję na BlackHat, ponieważ firma, w której oprogramowaniu wykryli lukę, zagroziła im pozwem o... naruszenie patentów.
