Компьютеры » Безопасность » Микрософт - доказанная угроза национальной безопасности ч.2
Микрософт - доказанная угроза национальной безопасности ч.2
Главная
ВЕЛИКАН ОЧЕНЬ, ОЧЕНЬ НАПУГАН, НО БИЛЛИ Г. - НЕ ГОСПОДЬ БОГ
Сегодня, когда Microsoft мертвой хваткой держит большинство компьютерных платформ, компания будет бороться зубами и когтями, чтобы сохранить конкурентное преимущество. Для Microsoft нет большей радости, чем в манере, напоминающей Сталинский Советский Союз, подвергать цензуре, подавлять и уничтожать публичное обсуждение и несогласие, относящееся к качеству ее расхваливаемых продуктов. Фактически, можно пойти дальше и сказать, что Microsoft пытается оказать правовое давление на Интернет-сообщество, чтобы подвергнуть цензуре дискуссии об ее продуктах.
Как широко известно в технологических кругах, Microsoft печально известна добавлением вставок, на которые распространяются права собственника, в код программных продуктов, способствующих их взаимодействию только с другими приложениями Microsoft. В мае 2000, в попытке показаться общественно-ориентированной (т.е., "частью движения за открытые исходные тексты", преимущественно разработчиков под платформы Unix и Apple) относительно своего ПО, и надеясь выиграть несколько очков в свою пользу у Правительства США, Microsoft опубликовала свою спецификацию о том, каким образом она включает хорошо известную функцию безопасности UNIX Kerberos в состав Windows 2000. Известные как "компания за закрытыми дверями", Редмондчане решили выпустить эту спецификацию в Интернет как "конфиденциальный документ Microsoft", который был заключен в разрешенную для копирования, исполняемую программу. Читатели обязаны щелкнуть по кнопке, согласившись с лицензией на ПО Microsoft, обязывающей пользователей рассматривать этот материал как "коммерческую тайну Microsoft", до того, как получить возможность прочесть документ, пестрящий на каждой странице напоминанием "Конфиденциальный Документ Microsoft". В итоге, в противоположность тому, чем на самом деле является ПО с открытыми исходными текстами, Microsoft поместила свое "клеймо" собственника и условия на то, что подразумевается как ее информация "об открытых исходных текстах". В соответствии с правилами отрасли, для того, чтобы действия Microsoft по выпуску Kerberos рассматривались сообществом Сети действительно имеющими отношение к "открытым исходным текстам", необходимо соблюдение следующих двух (или еще нескольких) условий (основываясь на определении "открытых исходных текстов", данном Фондом Открытых Исходных Текстов (Open Source Foundation) - доступным по адресу http://www.opensource.org/osd.html):
Свободное Распространение
Лицензия не может ограничивать ни одну из сторон в продаже или передаче программного продукта в качестве компоненты обобщенного программного дистрибутива, содержащего программы из нескольких разных источников. Лицензия не может требовать авторского гонорара или другой платы при такой продаже.
Исходный Код
В программу должен быть включен исходный код, и должно быть разрешено ее распространение, как в форме исходных кодов, так и в скомпилированной форме. В случае, когда какая-либо форма продукта не распространяется с исходным кодом, должны существовать хорошо освещенные способы получения исходного кода по цене, не превышающей обоснованную стоимость тиражирования - предпочтительно, путем бесплатного копирования через Интернет. Исходный код должен иметь наиболее удобную форму, в которой программист мог бы модифицировать программу. Умышленно запутанный исходный код не допускается. Промежуточные формы, такие как результат работы препроцессора или транслятора не допускаются.
Однако, произошли две вещи. Во-первых, читатели извлекли файл формата Acrobat из программы Microsoft и распространили его по всему миру, включая посылку спецификации на Slashdot, очень популярный публичный форум для любителей технологии (Slashdot известен как новый в Интернете центр дискуссий о технологической политике, вопросах ПО с открытыми исходными текстами, Linux и новых технологиях, а так же других тем, с которыми можно ознакомиться на http://www.slashdot.org/). Люди отовсюду стали посылать спецификацию Kerberos на веб-сайты и листы рассылки электронной почты. Во-вторых, люди стали рассказывать другим, как обойти программу установки Microsoft, чтобы извлечь файл формата Acrobat из оставшейся части пакета, обходя, таким образом, юридические заявления Microsoft... не такая сложная вещь, учитывая бестолковый способ, которым он был упакован производителем.
На Slashdot диалог по этой теме очень быстро достиг критической массы. Несколько человек послали полную спецификацию Microsoft на веб-сайт и было более 1000 комментариев от читателей, обсуждающих плюсы и минусы Microsoft-овской реализации Kerberos, а так же глупость, с которой Microsoft выпустила свой "конфиденциальный" исходный код в мир. Когда дело взорвалось, отовсюду стали посылать спецификацию Kerberos на веб-сайты в протест против явной попытки Microsoft осуществить сетевую цензуру.
Вскоре после этого, Microsoft послала жестко сформулированное ультимативное письмо владельцу Slashdot, заявив, что некоторые из комментариев пользователей их публичной службы являются нарушением Цифрового Закона Тысячелетия об Авторских Правах (Digital Millennium Copyright Act - DMCA), нового закона, который значительно усиливает позиции владельца авторских прав в любом диспуте с людьми (или организациями), которые попытаются переиздать защищенный авторскими правами материал. По слухам, Microsoft послала похожее письмо поставщику Интернет для Slashdot с просьбой немедленно убрать страницы, которые доступны в сети до сих пор. С точки зрения исторического интереса, во многих публичных дебатах по этому предмету противники принятия DMCA предостерегали, что крупные корпорации будут использовать его как дубину против критики, как это сейчас пытается сделать Microsoft по отношению к Slashdot.
Согласно Сетевому Институту Киберпространственного Права и Политики UCLA (UCLA Online Institute for Cyberspace Law and Policy), Цифровой Закон Тысячелетия об Авторских Правах (DMCA) по существу:
Делает преступлением обход анти-пиратских мер (защит от копирования, НСД и т.п.), встроенных в большинство коммерческих программ.
Ставит вне закона производство, продажу или распространение устройств для "взлома" программного кода, используемых для нелегального копирования ПО.
Разрешает, все же, "взлом" устройств защиты авторских прав для проведения исследований в области шифрования, оценки способности продукта к взаимодействию с другими программами и тестирования систем компьютерной безопасности.
Предусматривает освобождение от запретительных условий для некоммерческих библиотек, архивов и образовательных учреждений при определенных обстоятельствах.
В целом, ограничивает ответственность поставщиков услуг Интернет за нарушение авторских прав при простой передаче информации через Интернет.
Однако, поставщики услуг должны удалять материалы, составляющие нарушение авторских прав, с сайтов пользователей.
Ограничивает ответственность бесприбыльных высших учебных заведений - когда они действуют как поставщики сетевых услуг, и при определенных условиях - при нарушении авторских прав сотрудниками факультетов или аспирантами.
Явно гласит, что "ничто в этом параграфе не должно затронуть права, средства, ограничения, или оправдания для нарушения авторских прав, включая честное использование (fair use) ...".
Роб "Роблимо" Миллер (Rob "Roblimo" Miller), из группы управления Slashdot, немедленно ответил на ноту Microsoft, поместив письмо Microsoft и свой ответ на веб-сайт, осветив, таким образом, еще один спор Компьютерных Энтузиастов с Большим Бизнесом: "После небольшого размышления о природе свободы, вы, возможно, пожелаете отозвать ваше требование убрать комментарии читателей со Slashdot. Пожалуйста, поймите, что если мы станем подвергать цензуре письма читателей, потому что в них содержатся идеи, опубликования которых не хочет Microsoft, мы можем создать нездоровый прецедент для других сетевых центров новостей и поставщиков сетевых услуг, включая и те, которыми частично или полностью владеет Microsoft".
Будем, в данном случае, реалистами. Microsoft виновата во всем сама, но, как и большинство людей, они показывают пальцем на всех остальных. Если они хотели рассматривать их спецификацию Kerberos как коммерческую тайну и "Конфиденциальный Документ Microsoft", то, в первую очередь, не надо было ее публиковать. Кроме этого, метод, использованный для выпуска спецификации (вставка файла Acrobat внутрь пакета установки способом, позволяющим легко его извлечь, минуя, таким образом, процедуру подтверждения лицензии), показал свою полную несостоятельность. Наконец, жалкая попытка Microsoft "открыть" спецификацию без реального предоставления спецификации в форме "открытых исходных текстов" только сбивает публику с толку и лишь усиливает противоречивость ситуации. Проще говоря, Microsoft села в лужу, но, как обычно, не может этого признать.
Похоже, что Microsoft считает важными первые три пункта:
Делает преступлением обход анти-пиратских мер, встроенных в большинство коммерческих программ.
Ставит вне закона производство, продажу или распространение устройств для взлома программного кода, используемых для нелегального копирования ПО.
Разрешает, все же, взлом устройств защиты авторских прав для проведения исследований в области шифрования, оценки способности продукта к взаимодействию с другими программами и тестирования систем компьютерной безопасности.
...но корпорацию не заботит, что материал, обсуждаемый в спецификации, является конфиденциальным; вместо этого, Microsoft использует DMCA, чтобы компенсировать провал их логики, когда они сперва опубликовали спецификацию, а теперь хотят сделать, чтобы "все было правильно". Вместо того, чтобы найти и исправить недостаток на техническом уровне, компания решает напрячь свои юридические мускулы и идет по этому пути, вызывая, таким образом (не в первый раз), глубокое возмущение и презрение сообщества Интернет (в частности, сторонников открытых исходных текстов).
И ОНИ ЕЩЕ УДИВЛЯЮТСЯ, ПОЧЕМУ СУЩЕСТВУЕТ ДВИЖЕНИЕ ЗА КИБЕР-СВОБОДУ . . .
Сейчас, во времена Интернет, большинство компьютерных пользователей, вероятно, столкнулись с изрядной частью программных продуктов, страдающих от плохо составленной или вообще отсутствующей документации, нездорового стремления к интеграции и общеизвестных ошибок, игнорируемых производителем (как упоминалось выше). В таком случае мир должен узнать про Единый Акт о Сделках с Компьютерной Информацией (Uniform Computer Information Transactions Act - UCITA), который проталкивается торговцами программным обеспечением с целью обезглавить судебные иски от недовольных потребителей.
Согласно Статье II-B UCITA, распространители программного обеспечения освобождаются от обязанности тестировать свои продукты на предмет наличия в них ошибок или вирусов. Более того, производители могут избежать возмещения ущерба, нанесенного вирусом, включив в продукт простое уведомление об отказе от связанных с этим гарантий, которое пользователи не увидят, пока не купят и не установят этот продукт. Также, производители не несут ответственности за ущерб, понесенный в результате некачественной разработки программного продукта и ошибок в нем, как нет и юридических мер, принуждающих их эти ошибки исправлять. По имеющимся данным, ни одна другая промышленная отрасль США не дошла до применения послепродажных отказов от гарантий.
Тодд Паглия (Todd Paglia), бывший юрисконсульт Потребительского Технологического Проекта в Вашингтоне, демонстрирует еще одну шокирующую юридическую лазейку для промышленности программных средств, которая должна прозвучать сигналом тревоги и вселить страх в сердце любого, кто базировал на продуктах Microsoft свое предприятие, коммерческое, военное или правительственное: Путешествуя по "паутине" вы находите программный пакет, который вам захотелось купить. Вы так и делаете и, до того как скопировать его, вы щелкаете по картинке "Я согласен", соглашаясь с условиями лицензии из 12 листов. Вы, общем-то, должны иметь возможность ознакомиться с лицензией до копирования программы, но практически никто этого не делает - обычно она довольно длинная и объемная, переполненная юридическими терминами. Даже многие юристы, участвующие в конференции по разработке UCC 2B подтверждают, что они не читают этих лицензий. По ходу, вы еще отвечаете на различные вопросы о вашей операционной системе, предполагаемом деловом или персональном характере использования продукта, домашнем и рабочем адресе и телефонных номерах, годовом доходе и т.п. С чем вы только что согласились? Продавец может навязать вам в лицензии любые условия, например:
Программный продукт поставляется "как есть" без гарантий - это считается "ясным", даже если это указывается в "коробочной" лицензии,
Продавец не несет ответственности за дефекты в программе, даже если производителю о них известно,
Продавец не несет ответственности за вирусы, даже если не было предпринято никаких мер, чтобы их устранить,
Продавец не несет ответственности за любой ущерб, включая случайные или логически вытекающие потери, среди которых звонки в службу поддержки пользователей, которые могут обойтись дороже чем сам программный продукт,
Защита потребителя ограничена заменой продукта или частичным возвратом денег,
Производитель может диктовать форму любых действий по устранению неполадок, имеется в виду, что вы должны идти к ним,
Вся предоставленная вами персональная информация может быть использована с любой целью.
Автор Дилберта (Dilbert), Скотт Эдамс (Scott Adams), недавно написал комический рассказ по вопросу "коробочных лицензий" (см. очерк от 14 января 1997 на http://www.infowarrior.org/). По рассказу, Дилберт не прочел "коробочной" лицензии в упаковке программного продукта и, в результате, он по договору нечаянно становится рабом основателя Microsoft, Билла Гейтса. Некоторые "коробочные" лицензии включают чуть ли не все любимые в этой отрасли оговорки, немного не доходя до рабства по контракту. Отказ от обязательств производится для всех возможных дефектов, вирусов или сбоев, и часто делаются заявления о том, что программный продукт поставляется "как есть". В то время как потребитель может ожидать, что подержанная машина может продаваться "как есть", и понимать, что это значит, когда на машине проставлен показывающий это знак, совершенно другое дело, когда "коробочная" лицензия содержит, внутри пакета, который может быть прочитан только после приобретения, условие типа "как есть" по отношению к абсолютно новой компьютерной программе. Это:
Переопределяет "фактическое нарушение контракта", чтобы затруднить возврат дефектного продукта. Производителям программного обеспечения позволяется добавлять в контракт статью (которую вы никогда не видите до продажи, потому что она находится внутри упакованной коробки), говорящую, что вы не вправе расторгнуть контракт и потребовать возврата денег, даже если продукт абсолютно бесполезен.
Позволяет производителям программного обеспечения требовать с пользователей невозмещаемую поминутную оплату за техническую поддержку, даже в случае дефектов, о которых производителям было известно во время продажи.
Узаконивает ограничения, делающие более сложным или невозможным для пользователей пользование услугами третьих сторон (например для исправления ошибок, связанных с 2000 годом, даже когда оригинальный производитель слишком занят, чтобы вовремя вам помочь) или передачу входящих в пакет программных средств (когда компания X приобретается компанией Y, Y может быть вынуждена внести новую лицензионную плату за каждую копию всех программных пакетов на компьютерах компании X).
Узаконивает "бомбы с часовым механизмом", которые автоматически отключают программный продукт по наступлению указанной даты, пока не будет внесена и зарегистрирована плата за обновление лицензии. UCITA так же позволяет производителю послать на ваш компьютер сообщение, которое отключит вашу копию его программного продукта, заодно, возможно, "отключив" и ваш бизнес. Вы сможете получить возмещение убытков, если производитель пошлет это сообщение по ошибке, но только если вы ответите на предупреждающее сообщение от производителя единственно верным образом.
Если кто-то удивлен, почему мы делаем ударение на UCITA, подумайте, какой огромной базой установленного программного обеспечения обладает Microsoft в мире, и в скольких ключевых областях - правительственных, военных и коммерческих организациях. Как будет прекрасно, если компания-разработчик ПО будет обладать защитой от судебных исков в случае, если она отключит один из своих продуктов, лицензионный период которого "истек" - как раз (представим себе) когда военный корабль, оборудованный Microsoft Windows, наводил и запускал ракету "Томагавк"? Ой! Мы только что убили несколько сотен человек, потому что в ракету до запуска была заложена неполная информация о цели. По UCITA, у ВМФ или семей погибших нет возможности подать иск против Microsoft за их политику "помощи самим себе", предусматривающую отключение продуктов без соответствующего предупреждения. Таким образом, UCITA еще больше расширяет существующие схемы лицензирования ПО и продолжает страховать поставщиков. Давайте не будем забывать небольшую проблему, заставившую Военный корабль США "Йорктаун" вернуться в гавань Норфолка на буксире, после того как бортовая программа вызвала крах его серверов под Windows NT в 1997. Некоторые люди до сих пор расшифровывают Windows NT как "Needs Tweaking" (Требующая Доработки - прим. пер.) или, в случае с "Йорктауном", "Needs Towing" (Требующая Буксировки - прим. пер.).
Многие люди забывают, что в 1998 и 1999 корпорация Microsoft объявила о рассмотрении системы ежегодных платежей за их операционные системы и приложения. Это значит, что каждый год лицензированные пользователи продукта Microsoft (скажем, Windows) будут должны платить определенную сумму (скажем, 100 долларов США), чтобы продолжить использовать продукт и, таким образом, сохранить денежный поток, текущий в сундуки Microsoft.
В соответствии с UCITA, если потребитель не вносит плату за продление лицензии в течении данного срока в пятнадцать (15) дней, производитель ПО вправе, по своему усмотрению, дистанционно отключить компьютер потребителя с истекшим лицензионным сроком его программного продукта, эффективно удерживая данные потребителя в качестве заложника или произвольно закрывая бизнес любого размера. Какая власть для не избираемой негосударственной организации, чтобы овладеть миром!
Теперь, когда Microsoft объявляет о сотрудничестве с производителями биометрики, будет еще проще привязывать продукт к конкретной личности при помощи биометрического идентификатора и, таким образом, еще проще осуществлять это конкретное положение UCITA, не говоря о потенциальном открытии Шкатулки Пандоры в отношении неприкосновенности частной жизни от "Большого Брата".
Чтобы увидеть элементы UCITA в действии, посетите веб-сайт компании, занимающейся безопасностью, Network Associates (http://www.nai.com/). При регистрации на получение ограниченной по времени копии программного продукта Network Associates, человек получает следующую информацию о лицензии ПОСЛЕ того, как его персональная информация уже получена компанией. Значит, в сущности, потребитель уже кое-что "заплатил" NAI в форме информации о потребителях, которая может быть использована в рыночных целях, и не имеет возможности отказаться от лицензии NAI, так как его информация уже взята на заметку компанией ДО ТОГО, как он увидел условия лицензионного соглашения. Помимо вопросов частной жизни, обратите внимание на выделенные строки в нижеприведенном лицензионном соглашении NAI. Прочтите пункт 102(a)(20) UCITA: " Договорное ограничение использования означает имеющее исковую силу ограничение, создаваемое договором, которое относится к использованию или раскрытию или доступу к лицензируемой информации или правам на информацию, включая ограничение на область или способ использования".
http://www.nai.com/registration/agreement.asp
Установка этого программного продукта означает ваше согласие с положениями и условиями лицензионного соглашения. Пожалуйста, перед установкой прочтите лицензионное соглашение. Другими правилами и нормами для установки этого программного продукта являются:
Продукт не может быть отдан напрокат, в долг или в аренду - Вы - единственный владелец продукта.
Клиент не имеет права раскрывать результаты любого контрольного теста любой третьей стороне без предшествующего письменного одобрения Network Associates.
Клиент не будет публиковать обзоры продукта без предшествующего согласия Network Associates.
Никакой ответственности за последующие убытки. Ни при каких обстоятельствах Network Associates или их поставщики не будут нести перед вами ответственности за любые последующие, специальные, случайные, или косвенные убытки любого типа, возникшие из-за поставки, производительности или использования программного обеспечения. Даже если бы Network Associates была поставлена в известность о возможности таких убытков. Ни при каких обстоятельствах ответственность Network Associates по любым претензиям к договору, правонарушению или любой другой теоретической ответственности, если таковые будут, не превысит внесенной вами лицензионной платы.
Для получения дополнительной информации о Network Associates и наших продуктах, пожалуйста, посетите нашу домашнюю страницу по адресу http://www.nai.com/ или звоните 1-800-338-8754.
Более того, Мировая Организация по Интеллектуальной Собственности (World Intellectual Property Organization - WIPO) быстро двигается к тому, чтобы ввести в действие законы и нормы, очень близкие к DMCA, которые запретят как незаконные независимые оценки программной безопасности и предотвратят публикацию результатов таких оценок без разрешения производителя, но эта дискуссия оставлена для другой статьи.
Юрист из Калифорнии Кем Кэйнер (Cem Kaner) обсуждает случай из реальной жизни, касающийся этой формы ограничений на открытые и честные обзоры программного продукта компании. В статье "Тест, которого не было" в журнале PC Magazine за август 1999, Кэйнер рассказывает, как Oracle не дал журналу опубликовать сравнительные обзоры своих продуктов. Согласно этой статье, Мы планировали сделать то, чего еще не делалось в новейшей истории - сравнение производительности баз данных на в точности одном и том же аппаратном обеспечении. Поскольку лицензия на программы СУБД запрещает публикацию результатов контрольного теста без письменного разрешения поставщика, переговоры о получении разрешения - всегда трудная задача... Oracle... формально отказался позволить нам опубликовать любые результаты контрольного теста.
В результате PC Magazine не опубликовал контрольные тесты. Свободный рынок требует свободного прохождения конкурентной информации. Как же еще покупатели смогут сделать информированный выбор, если производители ПО не разрешат объективных комментариев и критики по поводу их продуктов? В том виде, к которому ведет UCITA, все обзоры ПО будут приторно-сладкими, источающими мед, и не будут давать потребителям никакой полезной информации типа: "почему Продукт А лучше (или хуже) Продукта Б".
В декабре 1999 Ребекка Гулд (Rebecca Gould), Вице-президент по Общественной Политике базирующегося в Вашингтоне Альянса Делового ПО (Business Software Alliance) (анти-пиратской и лоббистской группы от ведущих компаний-разработчиков ПО) отметила перед Объединенной Комиссией по Науке и Технологии Генеральной Ассамблеи Вирджинии (Joint Commission on Technology and Science of the Virginia General Assembly), что среди ведущих компаний, поддерживающих принятие UCITA всеми 50 штатами, есть и Microsoft. UCITA очень поддерживается Microsoft, и не без причины. Как только UCITA станет законом, Microsoft, поставщик печально известного "дырявого" и незащищенного ПО, будет полностью защищен и изолирован от принятия любой ответственности за качество и надежность своих продуктов.
Недавнее сообщение L0PHT в "soapbox" лучше всего суммирует преимущества объективных независимых дискуссий и анализа безопасности программных продуктов (http://www.l0pht.com/~oblivion/soapbox/index.html): Когда проблемы безопасности существуют на промышленных серверах, доступных из Интернет, время очень критично. Каждый проходящий день - это еще один день, в течение которого сервер незащищен. Сколько людей знает об этой проблеме? Кто активно этим пользуется? Это сказать невозможно. Этичная практика в отношении безопасности - как можно быстрее предупредить могущих пострадать людей, особенно если существуют шаги, которые они могут предпринять, чтобы самостоятельно снизить или устранить риск.
L0pht недавно нашел проблему с Интернет-сервером Microsoft"s IIS 4.0, проблему "showcode". Она позволяла пользователям глобальной сети читать файлы по всему серверу, если режим доступа к файлам был установлен в "общедоступно". Похоже, что эта проблема существует на многих сетевых серверах, которые слабо закрыты. L0pht был удивлен тем, насколько широко распространенной оказалась проблема. Были затронуты многие серверы электронной коммерции высокого уровня. Были затронуты многие и многие корпоративные серверы.
Исследование проблемы, занявшее меньше дня, завершилось простым решением. Стереть файлы примеров, которые делали систему уязвимой. Им в любом случае не место на промышленных серверах. Мы разработали сборник советов и дали решение проблемы.
Когда мы сообщили об этом Microsoft, они сказали, что уже знали о проблеме в течение "нескольких недель". Они были информированы WebTrends об этой проблеме, исследовали ее, и выпустят Бюллетень Безопасности. Вопрос не кажется таким уж сложным, чтобы его исследование заняло несколько недель. И исправление было простым. Просто удалить файлы. Нет необходимости загружать программное исправление или даже настраивать реестр. Что же заняло столько времени?
L0pht выслал полное описание "showcode" на Bugtraq, репортерам компьютерной индустрии, и Microsoft 7 мая 1999, 9:30am EST. Позже в этот же день, примерно в 1:40 p.m. EST, WebTrends выпустил пресс-релиз по этой же проблеме. Он говорил о том, как WebTrends открыл проблему. Пресс-релиз WebTrends не говорил, как обнаружить проблему, и не содержал ее решения - две вещи, которые присутствовали в описании L0pht. Все говорило о том, что вы должны загрузить и запустить их продукт, если хотите получить эту информацию.
Это заставляет задуматься, а не был ли выпущен пресс-релиз именно в это время, потому что L0pht уже проинформировал общественность первым. Это заставляет задуматься, почему Microsoft держал при себе эту проблему и ее простое решение в течение нескольких недель.
Многие взломщики держат изъяны в безопасности в секрете, чтобы они могли их использовать, не беспокоясь о "заплатах" от производителей или администраторских исправлениях. Это рассматривается общественностью, связанной с безопасностью, как полностью неэтичное поведение. Зачем держать изъяны в безопасности в секрете, если вы не собираетесь ими воспользоваться или, возможно, получить что-то за них взамен? Теперь мы имеем производителей ПО, держащих вещи в секрете. Во всяком случае, в секрете в течение значительного периода времени. То ли это поведение, которого мы желали бы от индустрии?
Вот почему листы рассылки с полным раскрытием фактов, как Bugtraq, и веб-сайты, как Packet Storm Security, столь важны. Они позволяют потребителям получать отчеты о дефектах и, надо надеяться, исправления в своевременном режиме. Не существует централизованной расчетной палаты, вроде агентства производителей ПО или государственного агентства, чтобы все до конца замедлить.
Информация об изъянах в безопасности чрезвычайно ценна как для злоумышленников, так и для потребителей. Компании и организации, открыто и максимально оперативно публикующие информацию, делают общественности, связанной с безопасностью, большую услугу. Те, кто выбирает использование информации в первую очередь в своих личных целях [включая цели производителя], подвергают потребителей риску.
UCITA, DMCA и связанные с ними предложения будут только стремиться предотвратить правдивое общественное оглашение изъянов в безопасности. Без L0PHT-ов в мире мы никогда не будем до конца знать, насколько же в действительности защищено наше компьютерное программное обеспечение. Для Microsoft, компании, контролирующей основную часть операционных систем и пакетов автоматизации документооборота, UCITA будет окончательным выигрышем, так как его принятие будет означать, что для поставщиков программных средств нет стимула производить качественное программное обеспечение и корректировать публично описанные недостатки, таким образом, Интернтет-сообщество будет продолжать подвергаться риску.
ЗАКОНОМЕРНЫЕ ВЫВОДЫ
Основываясь на вышеописанных соображениях и огромном количестве уязвимых и подверженных злонамеренному использованию продуктов Microsoft, установленных в ключевых организациях по всему миру, и подтвержденном факте, что многие продукты Microsoft являются либо причиной, либо легкой мишенью для значительных инцидентов с безопасностью Интернет, профессионалы в сфере информационных технологий просто обязаны найти время и серьезно рассмотреть потенциал для будущих проблем с безопасностью, если они продолжат строить и устанавливать информационные инфраструктуры наиболее критичных для нации организаций на таком шатком и ненадежном основании. Мир информационных технологий должен послать общее послание Клану Гейтса в Редмонд и четко сказать им, что если они не являются частью решения, они определенно (как показано выше) являются частью проблемы.