В любой непонятной ситуации подавайте на оппонента в суд. Похоже, именно таким принципом руководствуются в британской компании Impero. Исследователю, обнаружившему серьезную уязвимость в программе Impero Education Pro (IEP), следящей за использованием интернета в 27% школ Великобритании, грозят судом и последствиями за то, что он тот обнародовал данные о баге.

В прошлом месяце исследователь Заммис Кларк (Zammis Clark), в сети известный как Slipstream, обнаружил серьезную уязвимость в Impero Education Pro — данная программа мониторит доступ в сеть во многих школах Великобритании, ограждая учащихся от доступа к нежелательному контенту. По словам Кларка, баг потенциально мог привести к раскрытию личных данных о тысячах учеников данных школ, так как позволял исполнить произвольный код на всех ПК под управлением Windows. О своей находке исследователь написал в Twitter, приложив ссылку на proof-of-concept код. Это и стало его основной ошибкой.

slipstream

«Не являясь их клиентом, я не знал, куда обратиться, куда отправить информацию, не знал, ответят ли мне вообще», — рассказал Кларк изданию TorrentFreak. «Я видел их представителей на выставке BETT, в январе, и тогда на вопросы о безопасности мне никто, ничего не ответил. Принимая по внимание опасностью уязвимости, я решил, что полная публикация информации о ней приведет к быстрому закрытию этой дырки».

В этом Slipstream не ошибся, Impero действительно закрыли брешь моментально, и все школы получили обновленную версию программы, за этим компания проследила. Только патч, к сожалению, оказался неэффективен.

«Их патча оказалось недостаточно», — объясняет Кларк. «Я пообщался на форумах с пользователями Impero, и они посоветовали мне написать в поддержку компании, что я сделал. Отправил им письмо, где добросовестно описал, почему их патч не работает, описал, как легко изменил PoC так, чтобы уязвимость можно было эксплуатировать снова».

С этого момента отношения компании Impero и Кларка начали стремительно ухудшаться. На этой неделе он получил от компании письмо (.pdf), с угрозой подать в суд. Исследователя обвинили в незаконной модификации ПО компании (без согласия на то компании и ее клиентов), декомпиляции программы с дурными намерениями и публикации конфиденциальной информации о клиентском ПО. Официальное письмо Impero гласит: «Опубликовав ключ шифрования и другие конфиденциальные данные в интернете и социальных сетях, вы позволили любому желающему нарушить безопасность ПО наших клиентов и записать деструктивные файлы, подорвав таким образом безопасность и работу множества систем по всей Великобритании».

Адвокаты Impero утверждают, что действия Slipstream нанесли компании «прямой ущерб и убытки», а вместе с тем «повредили ее репутации» и несли «потенциальную угрозу» IT-инфраструктуре множества школ по всей стране. Юристы посоветовали Кларку удалить все твиты, касающиеся уязвимости и убрать код с GitHub. Пока хакер этого не сделал.

Slipstream рассказал TorrentFreak, что разочарован таким поворотом событий, он немного наивно считает  такую политику компаний контрпродуктивной.

«Юридические угрозы, это что-то вроде желания «казнить посыльного». Это лишит уверенности других исследователей, которые могли бы активнее сообщать об уязвимостях. К тому же подобные угрозы определенно не остановят настоящих киберпреступников от нахождения новых уязвимостей и использования этих багов со злым умыслом», — считает Кларк.

Фото: zionfiction@flickr

4 комментария

  1. ShadowHD

    17.07.2015 at 11:55

    Похоже, это была не просто дырка, а бэкдор для властей 🙂 А то с чего бы им еще так сильно переживать за обычный взлом? Ну, а если это была просто дырка, то, судя по отношению компании к уязвимостям, у них там еще целая горсть точно есть

  2. divided

    17.07.2015 at 12:47

    Backdoor для властей в школьной программе? Не смешите меня. Они и так получат все данные от школ, если захотят.

  3. cbrnt

    17.07.2015 at 15:30

    Печально, снова чернят имя честного человека без всякой на то причины.

  4. Int

    19.07.2015 at 14:52

    > ограждая учащихся о доступа

Оставить мнение