Tak řešení nevypadá
Vydavatel Blackhole a autor článku se zalekl a článek zmizel.
Názory na morálnost postupu, jakým byl problém na Blackhole zveřejněn, kolik času dostal administrátor serveru na nápravu, či jak závažný problém je, že se nějaké nahotinky dobrovolně zveřejněné na webu staly ještě veřejnější, se mohou lišit.
Ve prospěch Blackhole svědčí, že problém byl zřejmě znám už dříve, a článek pouze odhalil, co řada "útočníků" už stejně používala. V neprospěch zcela zbytečné napsání a přidání "exploitu" v php.
Ovšem myšlenka vlastníků onoho serveru, že by zákon měl zabránit šíření informací o bezpečnostních problémech, mi přijde naprosto nepřijatelná. Ať už Blackhole dostatečný čas na opravu poskytla nebo neposkytla, stažení článku není řešním pro nikoho a zvlášť ne pro uživatele fotoalb. Kdo má zájem, už se k "zmizelým" informacím dostane.
I když v pitoreskní podobě nahotinek a hádání "klíčů" z řady pořadových čísel, objevuje se tu zásadnější spor o tzv. "full disclosure". Stručně řečeno, jde o právo výzkumníků a médií zveřejňovat informace o bezpečnostních děrách včetně detailů, usnadňujících zneužití, nebo dokonce zveřejňování exploitů.
Teoretické rozbory, zda je správné dávat nástroje do rukou i "těm špatným", mohou vyznívat nejednoznačně. V případě výrobců software už ale historie jasně ukázala, že hrozba veřejné ostudy a veřejná známost nebezpečí, vedoucí k tlaku zákazníků, je velmi účinným (někdy jediným účinným) nástrojem, jak výrobce donutit k včasnému vydávání oprav.
Je škoda, že vydavatel Blackhole pohrůžku vyslyšel - u našich sousedů mohlo dojít k zajímavému precedenčnímu sporu. Osobně si myslím, že zvlášť v tomto konkrétním případě by trestní oznámení bylo rychle odloženo. Pokud se slovenské zákony příliš neliší od našich - k přístupu k "utajeným" obrázkům není potřeba žádného útoku nebo modifikací na serveru, tvůrci obrázků explicitně souhlasili s jejich vystavením, správce serveru upozorňuje, že u poskytované služby není zaručena žádná bezpečnost - není na první jasné, k jaké škodě by mělo docházet a čeho by se mohl prohlížením obrázků člověk dopustit. Tím méně je pak jasné, jakého trestného činu by se dopouštěl vydavatel Blackhole zveřejněním uvedeného návodu. (Pokusím se získat přesnější vyjádření právníka.)
O vyjádření jsem požádal i Milana Dubce ze společnosti eTechnologies
Vyjádření eTechnologies
Neslo o ziadnu chybu na pokec.sk.
Na www.fotoalbumy.sk bolo mozne dostat sa zadanim priblizne 500.000 kombinacii a dedukciou k fotkam k zadanym albumom. V podstate je to nieco ako kratke heslo.
Pokial skusite urcite mnozstvo kombinacii, tak sa k tomu raz dostanete. Postup, ktory sme pouzivali sa bezne pouziva na strankach s rovnakym zameranim.
Je to rovnake ako keby niekto zadaval na ciselnom zamku kombinacie cisiel do vtedy kym sa dvere neotvoria. Vzhladom na to, ze sme retazec rozsirili, tak sme to tymto ludom realne znemoznili.
Po tom co sa objavil spomenuty clanok, sme toto heslo predlzili a momentalne pre zadanie adresy resp. naburanie zamknutych fotiek budete potrebovat 500.000*36^32 kombinacii, aby sa k takejto fotke dostal. Cize sanca utocnika sa znizila na tisiciny promile.
Problem je v tom, ze zamky sa nerobia pre ludi, ktori sa nepokusaju otvorit
zamknute dvere ale pre tych ludi, ktori sa o to pokusaju a chcu tak nieco
ukradnut.
Podstatnym cinom je, ze ludia, ktori si prezerali sukromne fotografie pomocou postupu zverejneneho na www.blackhole.sk konali s vedomim, ze obsah danych fotoalbumov je uzamknuty,
a pokusali sa protizakonne dostat k takto zabezpecenym udajom.
(update: zdá se, že článek doličný se na blackhole znovu objevil a na fotoalbumy.sk byl upraven systém přidělování jmen souborů)
