Хакеру угрожают судом за раскрытие уязвимостей
- четверг, 23 октября 2014 г. в 03:11:07
Программист Мартин Свенде (Martin Swende) получил письмо от юридического отдела компании INSIDE Secure, в котором его предупреждают о потенциальном нарушении прав интеллектуальной собственности и требуют удалить из интернета его open source библиотеку, использующую уязвимости в криптографической системе производства HID Global.
Здесь требуется пояснение. Дело в том, что HID Global продаёт системы контроля доступа с использованием RFID-микросхем. Их продукты линейки iClass установлены по всему миру. Обычно человек получает брелок или карточку с RFID-чипом, по которой можно зайти на охраняемую территорию (или открыть дверь), приложив брелок/карточку к специальному ридеру.
Как и другая подобная система Mifare, которая пользуется ещё большей популярностью, в iClass применяется криптографическая защита коммуникаций между радиометкой и RFID-ридером. В 2010 году в интернете появилось первое академическое исследование с описанием уязвимостей в этой криптосхеме. С тех пор опубликовано несколько других работ, которые полностью дискредитируют криптографическую защиту в продуктах iClass.
Основываясь на этих работах, Мартин Свенде разработал свободную библиотеку, где реализовал шифры, используемые в продуктах семейства iClass. Эту библиотеку можно использовать для проверки безопасности установленных на фирме систем контроля доступа.
Теперь Мартину грозят судебные разбирательства. Вместо того, чтобы исправить недостатки, компания HID Global предпочла нанять юристов, пытаясь убрать из интернета дискредитирующую информацию.
«В мире интернет-безопасности никто не удивляется наличию уязвимостей и не считает это чем-то из ряда вон выходящим. Компании предлагают вознаграждения за нахождение таких багов и проводят соревнования на поиск уязвимостей. В мире интернет-безопасности компании пользуются уважением не за выпуск “неуязвимых” продуктов, а за ответственное, аккуратное и своевременное исправление ошибок. Индустрия “физической безопасности”, похоже, отстала на десятилетие. Я не думаю, что от этого выигрывают пользователи и, в долговременной перспективе, сами производители», — сокрушается Мартин Свенде.