Лидеры проекта Fedora убрали популярное средство проверки на проникновение из
своей базы данных опасаясь, что оно может создать лишние проблемы с законом.
Решение было принято в прошлый понедельник в ходе анонимного голосования
совета директоров проекта, которые отвергли запрос на включение SQLNinja в архив
доступных приложений. Это произошло даже несмотря на то, что он был включен в
набор других хакерских приложений, остро критикуемых некоторыми наблюдателями.
"Очень недальновидное решение отвергать программное обеспечение, направленное
на легальное использование", - заявил Джейкоб Аппелбаум, программист Tor Project.
"Они решили судить о возможности использования приложения исходя только из
своего опыта. Это путь безумия".
SQLNinja это доступный инструмент, который сканирует уязвимости к
SQL-инъекции плохо сконфигурированных веб-приложений, использующих Microsoft SQL
Server в качестве внутренней базы данных. Его создатель, Альберто Ривелли,
соглашается что он "очень агрессивен по природе", частично потому, что главным
образом направлен на получение контроля над удаленными машинами путем получения
командного интерфейса на удаленном сервере баз данных и использование его как
точки опоры во взламываемой сети.
Однако его сайт настаивает на том, чтобы SQLNinja использовался лишь
профессиональными тестерами и только в случае, если у них есть на это
разрешение.
"Парни из Fedora могут включать или отклонять что им угодно", - сказал он.
"Без сомнения, решение исключить приложение, такое как SQLNinja, может сделать
их дистрибутив менее популярным среди людей, занимающихся проверкой на возможность
проникновения и специалистов в области безопасности".
Решение Fedora - это не первый случай, когда вопросы законности побудили
организацию наложить ограничения на программы безопасности. В прошлом году
PayPal заморозил аккаунт хакера Макси Марлинспайке после того, как неизвестный
использовал его исследования в области аутентификации для того, чтобы
опубликовать поддельный сертификат для платежной системы.
В 2007 Германия предприняла жесточайшие анти-хакерские меры, объявив вне
закона создание или владение инструментами безопасности двойного назначения
(гражданского и военного). В 2008 правительство Великобритании рассмотрело
возможность принятия таких же мер.
В ходе заседания правления проекта Fedora не было высказано конкретных
возражений, которые привели к решению об отказе. Вероятно одним из
факторов явилось то, что SQLNinja рекламируется как средство вторжения в
удаленную систему, а не как инструмент безопасности.
Члены руководства также обсудили насколько включение подобного программного
обеспечения увеличит их ответственность перед законом.
"После взвешивания всех "за" и "против" включения программы в Fedora мы
решили вопрос голосованием", - говорит Fedora Project Leader Джаред Смит.
Руководитель проекта Fedora написал по почте следующее: "Руководство проекта
Fedora проголосовало за исключение программы из базы данных Fedora в связи с
вышеперечисленными причинами".
Решение было принято на втором заседании во время которого также было
добавлена новая формулировка в юридическую директиву, касающуюся включения
хакерских программ. Она гласит: "Там, где программный продукт не имеет, даже в
перспективе, иного использования кроме разве что того, которое является
незаконным или неправомерным, в виду повышенного юридического риска включения
такого программного обеспечения, руководство проекта Fedora имеет право
отвергать включение программного продукта".
Смит сказал, что это включение должно прояснить положение о программах,
которые могут быть использованы как для защиты, так и для проникновения в
защищенные сети.
"По большому счету это белое пятно и как руководство мы хотим заверить, что
мы были очень аккуратны в выборе программ, вошедших в Fedora", - объяснил он.
Fedora уже включает массу других хак-программ, таких как Ettercap, Dsniff,
Yersinia, Nessus и Nikto.