צדיק ורע לו

הדרך לגיהנום רצופה כוונות טובות. מומחה אבטחה בכיר ממרכז CERIAS לחקר אבטחת המידע שבאוניברסיטת פורדיו בארה"ב מתריע על כך שדיווח לחברות תוכנה על פרצות אבטחה במוצרים שלהן עלול לגרום לצרות צרורות. דיווח של אתר האינקוויירר.

פסקל מונייר, חוקר ומרצה בעל שם, סיפר על מקרה שבו אחד מתלמידיו גילה פרצת אבטחה באתר אינטרנט מסוים, תוך כדי שימוש בלי תוכנה חיצוני (דהיינו ללא התערבות בקוד המקור של האתר). לאחר שדיווחו השניים על הפרצה, גילו להפתעתם שבמקום הכרת תודה מן המשטרה הם זכו ליחס השמור בדרל כלל להאקרים מסוכנים, שכלל חקירה ממושכת ולא נעימה בעליל שהתמקדה בדרך בה מצא את הפרצה.

לדבריו, הסיבה לכך היא כי המשטרה הניחה שאם הוא דיווח על פירצה אחת, סביר להניח שהוא מצא עוד כמה פרצות, עליהן הוא לא דיווח, ואותן הוא ניצל למטרות זדוניות.

מונייר כתב בבלוגו שכיוון שהסטודנט העדיף שלא להזדהות ובמקום זה בחר למסור את המידע אודות הפרצה באמצעותו, המשטרה התעצבנה עוד יותר. מונייר סירב לחשוף את שמו של הסטודנט, מה שהוביל לעימות די חריף עם חוקריו אשר הוציאו לו שפע של צווים משפטיים וכתב אישום כבד במיוחד.

האוניברסיטה שותקת

בעוד שכל זה מתרחש, האוניברסיטה בה עובד מונייר לא ממש הנידה עפעף והדבר היחידי שהציל את עורו, בסופו של דבר, הייתה העובדה שהסטודנט החליט לעשות מעשה ולפנות בעצמו למשטרה. אך הטעם הרע בהחלט נשאר, ומונייר כתב שבסופו של דבר הוא פשוט ממליץ לתלמידיו שלא לדווח על פרצות האבטחה שהם מוצאים ברשת, כי המעשה הטוב הזה פשוט לא שווה את הסיכון.

מקרה זה נגמר יחסית בטוב, אך לא מדובר במקרה יחיד מסוגו. בסוף חודש אפריל הוגש כתב אישום נגד אריק מקארתי, מומחה אבטחה שהואשם בחדירה למערכת רישום אוניברסיטאית ללא היתר, כאשר ביקש להוכיח את קיומה של פרצה באתר.

יצרני תוכנה ומנהלי רשתות רבים אינם ממהרים לתקן פרצות המדווחות להם ומבקשים הוכחת פריצה. על מנת להוכיח את קיומה של הפרצה, צריכים חוקרי האבטחה לפרוץ באופן מעשי את המערכת או התוכנה, ובכך לעבור על החוק. הפתרון היחידי למצב זה הוא לקבל מהיצרנים או המנהלים אישור בכתב מראש לפעולת הפריצה.