Рассказать ли на конференции Defcon об уязвимости в кардиостимуляторах, которая позволяет убивать людей по Bluetooth? На первый взгляд, ответ очевидный — нет, нельзя, это неэтично, такую информацию следует держать в секрете от широкой публики, а только сообщить производителю в рамках стандартной практики информирования об уязвимостях нулевого дня.
Но если копнуть глубже, то ситуация не так проста, пишет Роберт Грэхем (Robert Graham) из Errata Security.
Во-первых, производители тех же кардиостимуляторов на десятилетия отстали в обеспечении безопасности своих продуктов. Часто там бэкдоры с простым дефолтным паролем (для сервисных целей), которые исключительно просто обнаружить — на это способен даже школьник, потратив несколько минут. Скрывать такие уязвимости мало смысла.
Во-вторых, производители практически не реагируют на сообщения от независимых специалистов по безопасности. Они прекрасно знают о наличии очевидных бэкдоров. И если им сообщают об уязвимости, они говорят: да, есть, мы об этом знаем, и в следующих моделях продукта исправим её. Ну а что касается старых устройств, то проще забыть про них, они постепенно выходят из строя, так сказать, естественным путём.
В сообществе ИБ принято считать, что публичное раскрытие 0day-уязвимостей, если вендор не реагирует на них, — правильное и хорошее дело, которое в перспективе улучшает общую ситуацию на рынке безопасности и стимулирует производителя к более активным действиям. Под давлением общественного мнения он всё-таки может что-то предпринять, а не просто отмахнуться от проблемы.
Но что, если публичное раскрытие информации будет стоить чьей-то жизни? Ведь это сложно оправдать нормами, которые сложились в индустрии информационной безопасности. К тому же, против исследователя могут завести настоящее уголовное дело, хотя в теории он защищён правом на свободу слова.
Может быть, подходящим вариантом было бы обращение в прессу, которая независима от медицинского лобби, с демонстрацией конкретного эксплойта для конкретного кардиостимулятора. Но если поднимется скандал в прессе, то информация о бэкдоре всё равно быстро попадёт в открытый доступ.
В общем, раскрытие 0day-уязвимостей к кардиостимуляторам поднимает ряд моральных и этических проблем. В связи с этим можно вспомнить историю хакера Джека Барнаби, который собирался выступить на Black Hat с докладом о дистанционном воздействии на кардиостимуляторы в августе 2013 года, но неожиданно умер за несколько дней до начала конференции.