Nie, nechcem povedať, že všetci bezpečnostní výskumníci musia byť dlhovlasými milovníkmi heavy rocku (hoci ja mám na sebe skôr svoj priťahujem mikinu Slipknot, ako píšem), a ani tým nechcem povedať, že Ferguson urobil niečo, čím by znížil môj názor na bezpečnosť výskumníkov.
Chcem tým povedať, že popis práce sa v posledných rokoch vážne znehodnotil.
Kedysi platilo, že výskumní pracovníci v oblasti bezpečnosti boli ľudia, či už na univerzitách alebo v laboratóriách dodávateľov bezpečnosti, ktorí žili na úplnej špičke v oblasti IT bezpečnosti. Bol to bezpečnostný výskumník, ktorý odhalil chyby, zraniteľnosti a exploity, a bol to bezpečnostný výskumník kto by zodpovedne odovzdal tieto informácie, aby sa chyby odstránili, zraniteľné miesta opravili a zneužili zastavil.
Popis práce sa v posledných rokoch vážne znehodnotil
Za tie roky som stretol viac skutočných bezpečnostných výskumníkov, ako si pamätám, a to pri ich stoloch vo výskumných laboratóriách v kanceláriách predajcov zabezpečenia (a áno, často sa nachádzajú v suteréne, pred veľkými obrazovkami zobrazujúcimi prepuknutie hrozieb v reálnom čase a údaje o trendoch) a pri rôznom zabezpečení konferencie. Úprimne povedané, nikdy som nestretol bezpečnostného výskumníka, s ktorým by som nemal niečo spoločné a ktorého názor rešpektujem.
Preto som smutný a stále viac nahnevaný na spôsob, akým „výskumník v oblasti bezpečnosti“ ako deskriptor čoraz viac znamená niečo úplne iné a často sa naňho vrhajú hackeri a crackeri, aby dodali nádych legitímnosti tomu, oni robia.
Ako získať sledovateľov na Twitteri
Vezmime si napríklad nedávny prípad nultého dňa zraniteľnosti prehrávača Adobe Shockwave Player, ktorý bol odhalený „výskumník v oblasti bezpečnosti“ zjavne z malého dôvodu, okrem oslavy získania tisícky sledovateľov Twitter.
Viem, že som v tom blúdil, ale toto je asi tak ďaleko od zodpovedného zverejnenia, ako sa vám to kedy podarí (ak zľavíte predaj zero-days na temnej strane webu).
Každý, pre koho je výraz „bezpečnostný výskumník“ odznakom profesionálnej cti, by určite neurobil to, čo urobil tento chlapík (ja nebude mu poskytovať žiadnu ďalšiu publicitu tým, že ho tu pomenujete) tým, že na Twitteri jednoducho uverejní odkaz na novú zraniteľnosť zero-day.
Nezabúdajte, ani by nemali webovú stránku, ktorá sa chváli publikovaním nultých dní v hodnote mesiaca, ktoré možno použiť „za vlastníctvo webových stránok“ a „nepatchovaných klientov“, pričom „písanie bezpečnejších aplikácií“ prichádza na samom konci jeho zoznam.
Verejný výstup
Nebránim sa verejnému šíreniu problémov s cieľom vynútiť zmenu k lepšiemu, a skutočne sú chvíle, keď naozaj neexistuje iná možnosť. Zodpovednosť za toto zverejnenie je však mimoriadne dôležitá, a to znamená zabezpečiť príslušná spoločnosť alebo služba bola upozornená na problém a dostala možnosť ho vyriešiť najprv.
Zverejňovanie nultého dňa nepomôže nikomu a v skutočnosti sa vždy robí len preto, aby ste niečo predali, či už je to vaša povesť okrem iného „bezpečnostní výskumníci“ alebo konzultačné a kódovacie služby, ktoré môžete na jej konci ponúknuť (alebo dokonca podrobnosti o zero-day sám).
Tieto veci majú značnú hodnotu pre komunity hackerov a kyberzločincov a v dôsledku toho môžu viesť k vysokým cenám. To je dôvod, prečo použitie nie menej ako troch úplne nepublikovaných nultých dní v rámci červa Stuxnet okamžite poukázalo na zapojenie vlády: žiadny zločinecký gang motivovaný len ziskom by nepremárnil dva nulté dni, keď by to urobil jeden prácu.
