Ch*WamwD*pe bez pochwały od Microsoftu

Pewien polski specjalista ds. bezpieczeństwa opublikował kilka dni temu exploita, demonstrującego, jak załatana niedawno luka w MS Office 2003 może zostać wykorzystana do skutecznego zaatakowania komputera PC. Microsoft potwierdził skuteczność exploita, jednak odmówił podania w swoim alercie danych hakera. Dlaczego? Ponieważ specjalista wybrał wyjątkowo nietypowy pseudonim...

Autorem exploita jest polski specjalista ds. bezpieczeństwa, ukrywający się pod dość nietypowym, wulgarnym pseudonimem "ch*wamwd*pe" (w oryginale bez gwiazdek - red.). To on wykrył ów błąd (dzięki temu był teraz w stanie szybko przygotować exploita) - informację o nim sprzedał firmie VeriSign, która z kolei poinformowała o problemie Microsoft. Koncern potwierdził lukę, przygotował uaktualnienie i opublikował biuletyn bezpieczeństwa na ten temat. Problem w tym, że w dokumencie - wbrew ogólnie przyjętemu zwyczajowi - nie podano pseudonimu (lub nazwiska) odkrywcy błędu. Zamiast tego napisano, że błąd odkryty został przez VeriSign iDefense.

Przedstawiciele Microsoftu tłumaczą, że decyzję taką podjęto, ponieważ pseudonim hakera jest wulgarny i obraźliwy. "Osoba ta podpisała się frazą, która w języku polskim jest bardzo wulgarna, dlatego zdecydowaliśmy się napisać w biuletynie, że błąd wykryty został w ramach projektu VeriSign iDefense Vulnerability Contributor Program" - tłumaczą przedstawiciele koncernu. (VPC to program, w ramach którego VeriSign gromadzi informacje o błędach w popularnym oprogramowaniu i udostępnia je swoim klientom, aby mogli lepiej zabezpieczyć się przed ewentualnymi atakami).

"Zwykle nie miewamy takich problemów - specjaliści od wykrywania błędów rzadko podpisują się w ten sposób. Przypadek Polaka jest jedną z niewielu podobnych spraw, z jakimi się zetknąłem" - mówi Matthew Richard, szef iDefense Rapid Response Team.

Z podobnym przypadkiem zetknęła się kiedyś firma 3Com, która w ramach program TippingPoint również kupuje informacje o błędach - swego czasu trafiło do niej zgłoszenie od Manuela Santamarina Suareza, który podpisał się niezwykle wulgarnym pseudonimem. "Udało nam się jednak wyperswadować mu ten pomysł - tłumaczyliśmy, że rozumiemy oryginalność, ale na miłość boską - bądźmy profesjonalistami..." - mówi Terri Forslof z TippingPoint.

Forslof zwraca uwagę, że jest wiele powodów, dla których oficjalne dokumenty dotyczące informacji o lukach nie powinny zawierać wulgaryzmów - nie chodzi tu tylko o możliwość obrażenia kogoś. Jeśli w alercie znajdzie się wulgarne słowo, znacząco rośnie szansa, że zostanie on zablokowany przez program antyspamowy lub oprogramowanie filtrujące strony WWW. A to może utrudnić odpowiednie rozpowszechnianie ważnych informacji.

Przedstawicielka TippingPoint uważa jednak, że Microsoft i VeriSign powinny znaleźć jakiś sposób uhonorowania Polaka, bo po prostu mu się to należy. "Może gdyby koncern z Redmond od razu podał dane odkrywcy błędu, to nie musiałby on publikować exploita. Dla ekspertów ds. bezpieczeństwa bardzo ważna jest wiarygodność - być może więc ekspert przygotował exploita tylko po to, by udowodnić, że to on odkrył lukę?" - komentuje Forslof.


Zobacz również