Nie mówcie o dziurach

29 lipca 2005 16:57

Były już pracownik Internet Security Systems, zajmujący się wykrywaniem dziur w systemach komputerowych zgodził się nie rozpowszechniać swojej bogatej wiedzy na temat luk bezpieczeństwa w oprogramowaniu sterującym routerami Cisco Systems. Ową zgodę wymusił na Michaelu Lynnie sąd federalny USA.

Cała historia ma swój początek na zorganizowanej w tym tygodniu, w Las Vegas, konferencji dotyczącej spraw bezpieczeństwa systemów komputerowych (Black Hat security conference). Michael Lynn, ekspert w dziedzinie zabezpieczeń informatycznych i pracownik znanej firmy Internet Security Systems, miał wygłosić podczas konferencji wykład na temat odkrytych dziur w oprogramowaniu zarządzającym routerami Cisco (IOS - Internetwork Operating System). Przygotował również pokaz, na którym zaprezentowany był sposób, w jaki można przejąć kontrolę nad nie zabezpieczonymi routerami Cisco (wykorzystuje się w tym celu przepełnienie bufora).

Przedstawiciele Cisco, świadomi wydarzeń, które miały nastąpić zaczęli jednak w sposób stanowczy sugerować ISS, aby ta nie dopuściła swojego człowieka do mikrofonu. Lynn, w ramach protestu i na skutek kategorycznego zakazu ze strony zwierzchników odnośnie rozpoczęcia wykładu, zrezygnował z pracy w ISS i przedstawił uczestnikom konferencji wyniki swojej pracy .

Konsekwencją działania Michaela Lynna było wytoczenie mu procesu karnego przez Cisco Systems i byłego pracodawcę. Argumentem przeciw informatykowi był fakt publikowania na własną rękę materiałów, będących własnością ISS oraz używania tzw. wstecznej inżynierii (reverse engineering), polegającej na wynajdywaniu i obchodzeniu zabezpieczeń urządzeń, nie zawsze legalnymi metodami.

Obecnie ogłoszono, iż została zawarta ugoda między trzema stronami konfliktu. Michael Lynn zobowiązał się oddać wszelkie materiały, dotyczące wykrytych luk bezpieczeństwa w routerach Cisco. Nie będzie się też mógł dzielić publicznie swoją wiedzą na ten temat.

Rozdawany uczestnikom konferencji Black Hat konspekt został pozbawiony 31 stron, zawierających treść prezentacji Lynna.

Choć pojawiają się głosy, że Cisco i ISS miały racjonalne powody do podjęcia działań prawnych przeciwko Lynnowi, to jednak większość opinii wskazuje na fakt, że jest to prosta droga do zamknięcia ust wszystkim, którzy wykryją nowe dziury w systemach komputerowych gigantów branży elektronicznej. Punkty traci również Internet Security Systems, która nie stanęła w obronie swojego pracownika, a pierwszą jej reakcją było zwolnienie Michaela Lynna z zajmowanego stanowiska.

O kłopotach Cisco Systems z zakresu bezpieczeństwa swoich rozwiązań sieciowych pisaliśmy niedawno w artykule "Dziurawy Call Manager" .

Zobacz w PPS: Routery i przełączniki

Wystaw ocenę:

Średnia ocena (liczba głosów: 2)

AudioBot - odsłuchaj materiał

wydrukuj

wyślij do znajomego

Komentarze

Redakcja NetWorld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.