Программист Мартин Свенде (Martin Swende) получил письмо от юридического отдела компании INSIDE Secure, в котором его предупреждают о потенциальном нарушении прав интеллектуальной собственности и требуют удалить из интернета его open source библиотеку, использующую уязвимости в криптографической системе производства HID Global.

Здесь требуется пояснение. Дело в том, что HID Global продаёт системы контроля доступа с использованием RFID-микросхем. Их продукты линейки iClass установлены по всему миру. Обычно человек получает брелок или карточку с RFID-чипом, по которой можно зайти на охраняемую территорию (или открыть дверь), приложив брелок/карточку к специальному ридеру.

Как и другая подобная система Mifare, которая пользуется ещё большей популярностью, в iClass применяется криптографическая защита коммуникаций между радиометкой и RFID-ридером. В 2010 году в интернете появилось первое академическое исследование с описанием уязвимостей в этой криптосхеме. С тех пор опубликовано несколько других работ, которые полностью дискредитируют криптографическую защиту в продуктах iClass.

Основываясь на этих работах, Мартин Свенде разработал свободную библиотеку, где реализовал шифры, используемые в продуктах семейства iClass. Эту библиотеку можно использовать для проверки безопасности установленных на фирме систем контроля доступа.

Теперь Мартину грозят судебные разбирательства. Вместо того, чтобы исправить недостатки, компания HID Global предпочла нанять юристов, пытаясь убрать из интернета дискредитирующую информацию.

«В мире интернет-безопасности никто не удивляется наличию уязвимостей и не считает это чем-то из ряда вон выходящим. Компании предлагают вознаграждения за нахождение таких багов и проводят соревнования на поиск уязвимостей. В мире интернет-безопасности компании пользуются уважением не за выпуск “неуязвимых” продуктов, а за ответственное, аккуратное и своевременное исправление ошибок. Индустрия “физической безопасности”, похоже, отстала на десятилетие. Я не думаю, что от этого выигрывают пользователи и, в долговременной перспективе, сами производители», — сокрушается Мартин Свенде.

003



10 комментариев

  1. 22.10.2014 at 17:30

    Вот так ищи уязвимости) А вообще неадекватное поведение компании.

    • 23.10.2014 at 17:18

      Ну, положим, уязвимость-то нашёл не он. И привлечь его хотят не за «раскрытие уязвимостей», а за публикацию шифра, защищённого патентом. Тот самый случай, когда юридически правильное противоречит здравому смыслу.

  2. http://kipelovna.livejournal.com/

    22.10.2014 at 20:09

    Больная компания, психи. Нет, что бы спасибо сказать и денежкой наградить, они угрожают.

  3. http://romanakamagician.tumblr.com/

    22.10.2014 at 20:26

    Мне недавно понравилась мысль одного человека, который написал, что для того чтобы заставить фирму исправить проблему в безопасности и заставить ее более лучше относится к безопасности — нужно просто слить полученные данные. Нет ничего хуже публично приносить извинения за свои ошибки, зато сразу действует на фирму.

  4. 23.10.2014 at 09:50

    Допустим, удалит он свою библиотеку, как они того требуют. Уязвимость от этого исчезнет что ли?

  5. 23.10.2014 at 11:56

    Компании впадлу платить деньги за найденную уязвимость.

  6. 24.10.2014 at 05:27

    Надо было несколько фирм опрокинуть используя эту дыру. Чтобы компания уже тратила деньги на возмещение убытков своих клиентов, а не на адвокатов.

    • 24.10.2014 at 12:26

      Да уже писали как гостиницы грабят где такие системы установлены, а воз и нынче там. Вроде бы перепрошивкой это не лечится, проблема комплексная и зависит от железа и компании придется миллионы американских рублей тратить что бы этот вопрос решить, вот и затыкают рты

Оставить мнение