Hakerzy wypowiadają wojnę
Znów jest głośno o niesławnej grupie hakerskiej Anti-Sec. Postanowiła ona wypowiedzieć wojnę branży bezpieczeństwa IT.
"Uważana przez niektórych specjalistów za niezastąpioną, polityka pełnej jawności (Full Disclosure) w stosunku do usterek w zabezpieczeniach działa wyłącznie na korzyść producentów systemów i narzędzi z zakresu bezpieczeństwa" - uważają członkowie grupy, którzy na znak protestu włamali się w ubiegły weekend na strony amerykańskiego serwisu hostowania zdjęć - Imageshack.
Całkowite ujawnienie informacji o danej luce, włącznie z publikacją exploitów służy wyłącznie do tworzenia atmosfery zagrożenia, w której ludzie są bardziej skłonni do kupowania firewalli, oprogramowania antywirusowego oraz zlecania audytów bezpieczeństwa, uważają członkowie Anti-Sec.
Grupa już od wielu tygodni zaznacza w sieci swoją obecność przez dyskredytowanie witryn WWW. W serwisie Imageshack, na wszystkich stronach ze zdjęciami zostało umieszczone przekierowanie do strony z manifestem napisanym przez włamywaczy. Kampania crackerów obrała sobie za cel serwisy takie jak astalavista.com, których operatorom zarzucają oszustwa takie jak wyłudzanie pieniędzy za usługi, które później nie są oferowane. Z uwagi na zaistniałe przypadki włamań pojawiła się też plotka, że grupa jest w posiadaniu exploita typu Zero Day dla OpenSSH.
Ponadto, w udostępnionym w serwisie Imageshack w formie zdjęcia dokumencie czytamy, że publikowanie exploitów to jedynie woda na młyn domorosłych crackerów, którzy próbują wykorzystywać je do nieuczciwych celów. Gdyby naprawdę chodziło o bezpieczeństwo, to nie publikowano by nawet celowo "osłabionych" kodów, które przydają się crackerom amatorom. Trzeba też pamiętać, że raz opublikowany szkodliwy kod szybko się rozprzestrzenia i wkrótce można go pobrać z rozmaitych miejsc.
W swoich zarzutach członkowie Anti-Sec mają sporo racji. Z jednej strony faktem jest, że obecnie większość poważnych specjalistów od zabezpieczeń stosuje zasadę Responsible Disclosure i publikuje jedynie same informacje o luce, bez exploitów, bądź też upublicznia te ostatnie dopiero w momencie, kiedy producent danego oprogramowania przygotuje łatę likwidującą zagrożenie.
Jeśli jednak przyjrzymy się np. serwisowi z exploitami takiemu jak milw0rm.com, który właśnie wznowił działalność, to widać, że same exploity to w tej chwili ostatnia rzecz, na której brak można by było narzekać.
Grupa Anti-Sec chce wyeliminować politykę Full Disclosure. Jej członkowie zamierzają aktywnie przeciwdziałać określonym społecznościom, firmom i osobom. Celem ataków grupy można się stać, prowadząc choćby blog na temat bezpieczeństwa bądź też strony z exploitami.
Jakkolwiek poważnie można traktować tego rodzaju groźby, to z pewnością powinny one wywołać nową, pełną kontrowersji dyskusję na temat sensu publikowania exploitów i jego użyteczności dla bezpieczeństwa sieci.