Full Disclosure הנה מדיניות פרסום מפגעי אבטחה בגלוי, גם אם לספק התוכנה או למפעיל האתר בו נמצא המפגע אין תיקון לבעיה. Bruce Schneier ו-Marcus J. Ranum מציגים שתי עמדות מנוגדות. אני חושב ששניהם צודקים וגם טועים.
המצדדים במדיניות של פרסום מפגעים (כדוגמת Bruce Schneier), טוענים כי בתקופה בה מפגעים לא דווחו בגלוי, אלא דווחו לחברות בלבד, לא תוקן שום דבר והחברות היו לוקחות את הממצא ומתעלמות ממנו באלגנטיות. שנייר טוען בנוסף, כי בעיית חורי אבטחה בתוכנה אינה בעיית תוכנה (מנקודת מבט של החברה המפתחת), אלא בעיית יחסי ציבור. זאת כיוון שמי שנפגע מהמפגע זה הלקוחות ולא יצרן התוכנה (הוא עלול להיפגע רק כתוצאה מפגיעה תדמיתית). מכיוון שכך, הדרך הנכונה ביותר להתמודד עם חורי אבטחה היא להפוך את זה לבעיית יחסי ציבור של חברות התוכנה, קרי - לפרסם בגלוי.
מן העבר השני של המתרס (Marcus J Ranum), נטען כי לאחר עשור של פרסום מפגעים, לא נראה כי רמת האבטחה עלתה. כך שקשה להראות (למרות שלכאורה פרק הזמן ארוך דיו) שיש תועלת במדיניות הזו. מבחינתו של ראנום, חושפי הפרצות בסך הכל רוצים את דקות התהילה שלהם. בין אם כדי להתפרסם או כדי לחסוך בתקציבי שיווק. אלא שלמדיניות הזו, המונעת מאינטרסים אישיים של חוקרי האבטחה, יש מחיר ציבורי ולכן עדיף להפסיק עם המנהג המגונה.
דעתי היא ששניהם טועים. שנייר צודק בקביעתו כי היכן שאין שקיפות, המים עכורים. ללא פרסום של מפגעי אבטחה בציבור לא יהיה שיפור ברמת האבטחה. ראנום צודק שרמת האבטחה הכוללת לא עלתה ולכן קשה לראות כיצד פרסום מפגעים תורם לשיפור האבטחה. בפועל המשתנה שמשפיע הוא לא פרסום או אי פרסום, אלא השוק בו מתחרה החברה, חשיבות הדימוי הציבורי והחלופות שיש ללקוחות. בעבר היו לי כל מיני רשימות של חברות שמבצעות ניסויים בבעלי חיים וחוברת קטנה (של אנונימוס?) שהפצירה בי להחרים את החברות הללו. אלא שעיון קצר ברשימה מגלה שכמעט כל המוצרים בבית שלי מיוצרים על ידי חברות שמבצעות ניסויים בבעלי חיים ולכן זה לא סביר שאחרים את כל החברות. זו דוגמא למדיניות Full Disclosure לא אפקטיבית. מאחר וכולם עושים את זה, הלקוחות לא מסוגלים להבחין בין יצרנים שמבצעים ניסויים לכאלה שלא מבצעים ולכן אין משמעות לחשיפה.
כאשר רוצים לגרום לשינוי אמיתי אצל יצרנים הטעות הכי גדולה היא לנסות לבנות תיק נגד כולם. דווקא מדיניות ה-Full Disclosure מול מיקרוסופט היא דוגמא טובה. בשוק של Microsoft, מערכות הפעלה, דפדפנים ו-Office, עיקר החשיפות מתבצעות על מוצרים שלה. אני נוטה להניח שזה לא בגלל שהמוצרים האלה הכי גרועים (אולי גם, אך לא בכזה פער), אלא בגלל שמתקיפים אותם יותר. התוצאה היא שמיקרוסופט סומנה כחברה בעלת מוצרים לא מאובטחים, בעוד שהמתחרים (לכאורה) מאובטחים. התוצאה התבטאה בהעדפות צרכנים, מהלכים שיווקיים של מתחרים, מהלכים של ממשלות וארגונים גדולים למעבר למתחרים. מהלכים שעולים למיקרוסופט כסף. הרבה כסף. לו התפלגות המפגעים הייתה אחידה בכל מערכות ההפעלה, הדפדפנים ויישומי המשרד, למיקרוסופט זה לא היה מזיז והיא לא הייתה משקיעה את מה שהיא משקיעה באבטחה כיום, כיוון שהצרכנים היו אומרים לעצמם - נו טוף, ככה זה בתוכנה..
Full Disclosure היא מדיניות חשובה שצריך להתמיד בה. אלא שבמקום לגלות את כל המפגעים, עדיף ללכת על הגדולים. אלה שיוצרים שינוי. לחפש מפגעים באתרים הגדולים, אצל יצרני התוכנה המובילים ותמיד אצל גורם מוביל אחד. במקום להפוך את דימוי שוק התוכנה כולו לשוק של מוצרים פרוצים לסמן יעד אחד ולגרום לו כזה נזק תדמיתי אל מול המתחרים (שגם הם לא משקיעים באבטחה מספיק....) שייצור בידול בתפיסת הצרכנים ויגרום לחברה ולמתחרות להבין שיש פה גורם שמבדיל בין ארגונים. רוצים לשפר את רמת האבטחה באתרי מסחר אלקטרוני - תתמקדו כל פעם באתר אחד מהקבוצה בה אתם רוצים לשפר את האבטחה. אין מה לעשות, לפעמים שעיר לעזאזל זו מדיניות אפקטיבית יותר מצדק מוחלט.
השאלה הגדולה היא כיצד מבצעים כזה מהלך, כאשר למעשה אין איזשהו מהלך מוביל ואין מחויבות של חוקרי האבטחה לביצוע שינוי חברתי. במובן זה אני מסכים עם ראנום שחוקרי אבטחה, האקרים וכדומה אינם פועלים למען האינטרס הציבורי אלא למען קידום עצמם. זה כמובן לא פסול, אלא שנוצר פה מעין כשל שוק (אם לקחת מושגים מכלכלה). במקום שחשיפת הפרצות תהפוך למנוף לקידום האבטחה, היא הופכת לגורם שמסייע לארגונים להתעלם מהבעיה. נקודה מעניינת היא הנקודה הישראלית. פה אין בכלל חשיפה של פרצות אבטחה. מדינה שיש בה כל כך הרבה האקרים ואף אחד מהם לא חושב לבדוק את רמת האבטחה באתרים ישראליים (חוץ מההוא שנאשם על ידי המוסד בניסיון פריצה - זו הזדמנות טובה להמליץ לכם לקרוא את פסק הדין המרתק). אולי זה שיקוף של תהליכים חברתיים רחבים יותר בישראל.
בבלוג זה
בכל הבלוגים
