Архивы: по дате | по разделам | по авторам

Администрация Буша обращается за помощью к хакерам

АрхивСегодня
автор : Вика Кучерук   02.08.2002

Ричард Кларк, советник Президента по компьютерной безопасности, призвал профессионалов и хакеров активнее заниматься поиском уязвимостей в программных продуктах.

По данным Национального института стандартов и технологий (NIST) Министерства торговли США ежегодный ущерб, которые терпит американская экономика из-за ошибок в программном обеспечении и программных сбоев, достигает 59,5 млрд. долл. При этом, если половину этих убытков можно списать на низкую квалификацию пользователей, то другая половина – целиком лежит на совести разработчиков ПО.
Другие промышленно развитые страны также несут убытки, масштаб которых измеряется миллиардами или даже десятками миллиардов долларов США, так как в этих странах без компьютеров уже не обходится ни одна сфера экономики.

По мнению директора NIST Ардена Бемента, более тщательное тестирование программных продуктов и выявление ошибок в них еще на ранних стадиях разработки позволило бы уменьшить величину ущерба более чем на 20 млрд. долл. Похоже, что сами производители ПО справиться с этими проблемами самостоятельно не в состоянии. Дело в том, что поиск ошибок в огромных современных программах представляет собой весьма трудоемкую процедуру, отнимающую в некоторых случаях до 80% средств, отпущенных на разработку. При этом не следует упускать из вида и то обстоятельство, что в современном, быстро изменяющемся мире программный продукт может морально устареть прежде, чем в нем будут устранены все имеющиеся ошибки.

Такая ситуация не может не привлечь внимание государства. Еще в начале года Национальная академия наук США предложила принять закон, устанавливающий ответственность за выпуск некачественного программного обеспечения. Правда, о дальнейшей судьбе этой инициативы ничего не известно.

В этой связи крайне интересным представляется заявление, сделанное советником президента США по компьютерной безопасности Ричардом Кларком (Richard Clarke). Это заявление прозвучало вчера на проходящей в Лас-Вегасе хакерской конференции Black Hat. Признав неспособность производителей программного обеспечения своими силами справиться с этой проблемой, он призвал профессионалов по компьютерной безопасности и хакеров активнее заниматься поиском уязвимостей в программных продуктах.

Советник Буша признал также, что производители софта придерживаются в отношении независимых исследователей различной политики. Некоторые поддерживают и даже награждают охотников за ошибками, другие же больше обеспокоены возможностью стать жертвами вымогательства и сохранением лица фирмы. Именно последние обращаются в различные инстанции с требованиями гражданского или уголовного преследования хакеров. В связи с этим возникает необходимость совершенствования законодательства, так как известно множество случаев, когда люди, обнаружившие несовершенство механизмов защиты того или иного программного продукта становились объектами юридического преследования со стороны производителей этих программ. Интересно, что он имел в виду, уж не дело ли Дмитрия Склярова и компании Elcomsoft?

Вместе с тем Кларк призвал хакеров придерживаться определенных процедур и понимать ответственность за свои действия. В первую очередь человек, обнаруживший ту или иную программную ошибку, должен обратиться к производителю этой программы. При отсутствии в течение некоторого времени ответа со стороны разработчика, следует обращаться в государственные структуры.

В настоящее время у хакеров обычно принято делиться своими «находками» с «коллегами» через электронную почту или на страницах своих интернет-сайтов. Вопрос о том, насколько подробно при этом можно раскрывать суть обнаруженного программного изъяна, до сих пор вызывает не прекращающиеся споры в среде профессионалов по компьютерной безопасности. Одни говорят, что лучший выход – полное раскрытие всей имеющейся информации, другие считают, что хакер должен лишь предупредить об имеющейся проблеме, не показывая как ею можно воспользоваться.

Кларк сказал, что хакеры не должны помогать преступникам, раскрывая как можно воспользоваться обнаруженными дырами в программном обеспечении, прежде чем разработчики ПО смогли получить возможность залатать имеющиеся бреши. По его мнению «раскрывать информацию до выхода патча безответственно и иногда чрезвычайно вредно».

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.