Przejrzałem sobie treść opublikowanej korespondencji między serwisem
hack.pl a home.pl, przeczytałem wszystkie artykuły w prasie - i przyznam,
że nie jestem zachwycony obrazem, który się z tego wyłania.

Zacznę od tego, że jestem zwolennikiem badania bezpieczeństwa technologii,
na których niezawodności polegamy, a także publicznej debaty na ten temat.
Wydaje mi się, że długofalowe korzyści takiego procesu niemal zawsze
znacznie przewyższają ewentualne zagrożenia i niedogodności.

W tym przypadku, sytuacja jest o tyle śliska, że mamy do czynienia z próbą
przełamania zabezpieczeń serwisu WWW bez wiedzy i zgody jego operatora.
Działanie takie samo w sobie może być karalne (KK, art 267, paragraf 1 +
ew. nieautoryzowany dostęp do danych chronionych ustawowo) i niekoniecznie
jest pożądane, ale oczywiście gdy ewidentna jest dobra wola osoby
bezinteresownie zgłaszającej problem, a jej działania nie wpłynęły
negatywnie na procesy biznesowe - wyjątkowo nierozsądne byłoby, gdyby
firma domagała się wszczęcia postępowania, oraz mało prawdopodobne jest
to, by cokolwiek ugrała w prokuraturze lub w sądzie. Ba, przyzwoitość
nakazuje, by taka firma podziękowała danej osobie i być może wynagrodziła
jej wkład w poprawę bezpieczeństwa serwisu.

Tym niemniej, pamiętajmy, że to *tylko* nasze życzenia, a nie obowiązek
atakowanego! Osoba, która próbuje doszukać się dziur na cudzym systemie
porusza się od samego początku po dość ryzykownym terenie i musi liczyć
się z tym, że jest na łasce innych. Grając czysto, może mieć nadzieje na
pozytywny PR i korzyści dla obu stron - ale gdy jej intencje albo metody
budzą wątpliwości, prosi się o zasłużone kłopoty.

Ba, posunąłbym się dalej - w pewnych sytuacjach po prostu nie wypada
wspierać takiej działalności! Gdy mamy podstawy podejrzewać, że atakujący
nas działa na pograniczu prawa albo poza nim, albo gdy czujemy, że próbuje
nas szantażować, to choćby i ekonomicznie opłacałoby się nam zapłacić za
święty spokój, przyzwoitość dyktuje, by takich układów nie wspierać, a
zamiast tego zdemaskować cwaniaka.

I to tyle mojego światopoglądu ;-)

W opisywanym w prasie przypadku home.pl, sytuacja wydaje się być dość
jasna - atakujący skonstruowali swojego maila dość pokrętnie i
dyplomatycznie, ale jego oczywistym przesłaniem jest alternatywa: 200k
PLN, albo publikujemy informacje:

"Chcemy postąpić maksymalnie przyjaźnie wobec home.pl, z naszego punktu
widzenia, dobrze byłoby gdyby na łamach HACK.pl pojawił się news
dotyczący luki w home.pl, ale też rozumiemy Państwa sytuację.

Koszt informacji szacujemy wstępnie na 200,000 złotych, cena -
oczywiście - podlega negocjacji."

Niezbyt przejrzyscie napisane, ale zastanówmy się - jeśli firma odmówi
zapłacenia 200k PLN, news pojawi się na hack.pl, więc także autorzy
serwisu dowiedzą się o podatności. Jeśli zapłaci - no właśnie, to co?
Jeśli news tak czy tak miałby się pojawić, to płacenie czegokolwiek nie ma
większego sensu (takoż fragment "ale też rozumiemy...").

Dla mnie jest to czytelna groźba - jeśli nam zapłacicie, nie ujawnimy
czegoś, co narobi wam wstydu, narazi was na ataki, i może napytać kłopotów
prawnych - kontrola z GIODO, ABW, kto wie od kogo jeszcze. To nie jest
godziwe wynagrodzenie za przekazaną wiedzę - w końcu chodziło o prozaiczną
podatność dotyczącą ścieżek do statystyk, którą home.pl samodzielnie
znalazło w pół godziny po otrzymaniu maila; a poza tym, kwota
*wielokrotnie* przewyższała rynkowe ceny kompletnych audytów aplikacji o
tych rozmiarach, nawet w wykonaniu firm audytorskich z wielkiej czwórki.
To jest kasa za milczenie.

Nie mogę tego widzieć w żaden inny sposób, jak tylko cyniczna i
przemyślana, zapewne nie pierwsza, próba wymuszenia absurdalnie wysokich
korzyści finansowych za utajenie faktów. Wierzę głęboko w piętnowanie
fuszerki, w full disclosure, a na miejscu home.pl czułbym się zawstydzony
i postarałbym się zorganizować porządny, zewnętrzny audyt zabezpieczeń -
ale to w żaden sposób nie usprawiedliwia praktyk "biznesowych" serwisu
hack.pl, które bardziej kojarzą mi się z cwaniaczkami w dresach
inkasującymi opłaty za "ochronę" od sklepikarzy, niż troską o dobro ogółu.

Bardzo cieszę się, że home.pl, jako jedna z niewielu firm, miało odwagę
ujawnić tego typu groźbę zamiast zapłacić, bo prawdopodobnie wpłynie to na
poprawę klimatu w polskim światku IT, gdzie takie zjawiska są (niestety)
coraz częstsze.

/mz