TOP

KYBEZ

Za odhalení bezpečnostní slabiny stíhání. I tak to občas chodí

V dobré víře chcete pomoci firmě či instituci odstranit bezpečnostní nedostatek, který jste objevili
a místo toho vás potká nečekaný “trest”. Tak to bohužel v mnoha případech dopadá.

Bulharský případ

IT expert Petko Petrov byl minulý týden zatčen bulharskou policií za to, že na Facebooku publikoval video,
ve kterém odhalil chybu v softwaru, jenž zpracovává osobní údaje občanů. Tím údajně překročil zákon.
Petrov ve videu demonstroval zranitelnost v systému, který využívá město Stara Zagora, jež tvoří centrum
stejnojmenné provincie s 330 000 obyvateli. Ve videu Petrov ukazuje, jak jednoduché je se do systému nabourat
a stáhnout data o více než 230 000 lidech.
Zároveň poukazuje na to, že podobný systém využívá většina bulharské
veřejné správy. Ke zveřejnění videa dohnal Petrova přístup města a výrobce softwaru. Petrov oběma subjektům
již dříve poslal informace o nalezení chyby, oni se ovšem rozhodli ji ignorovat.

Chyba? Žádná není 

Podobný přístup zažíváme denně. Ať v rámci aktivit platformy KYBEZ nebo jiné činnosti se nám povede najít stránky,
jež byly infikovány škodlivým kódem nebo weby, které jsou děravější než ementál. Na objevenou chybu vždy majitele
stránek upozorníme. Ovšem pouze 30 % organizací ji uspokojivým způsobem vyřeší.

A komu tím prospějete? 

Poměrně velká skupina majitelů webů se chová jako státní správa pod vládou jedné strany. Pokud odhalíte jejich chybu
a podáte o ní zprávu, jste špatný vy, protože jste chybu na “dokonalém” webu našel.
  A nikoliv jeho majitel či provozovatel.
Ti se vám mnohdy nestydí ani vyhrožovat právními úkony.  Z těchto důvodů muselo například brněnské VUT upravit sylabus
předmětu Bezpečnost IT systémů, kde se studenti učili tyto nedostatky odhalovat na skutečných případech.

Pokud chcete zlepšit zabezpečení vašeho webu, můžete využít dva způsoby. Tím prvním je nechat si web zkontrolovat a otestovat
od profesionálů
, s čímž vám rádi pomůžeme. Druhou variantou je dát na své stránky výzvu, že když někdo najde chybu ve vašem
zabezpečení, tak mu vyplatíte finanční odměnu
v závislosti na velikosti této chyby. Takto řeší nedostatky v zabezpečení například
námořní pěchota v rámci programu Hack the Marines nebo i česká veřejná správa v rámci svého Hackathonu.

 

Zdroj: https://www.zdnet.com

Mohlo by se Vám líbit: