Czy władze powinny ujawniać informacje o lukach bezpieczeństwa, jeśli się o nich dowiedzą? Najbardziej oczywista odpowiedź brzmi "tak". Dzięki temu producenci oprogramowania mogą załatać luki i wszyscy będą bezpieczni. Niestety coraz częściej zdarza się, że władze chcą zachować informacje dla siebie. Problem był podnoszony przy głośnej sprawie Apple vs FBI.

Droga władzo! Jakiej luki użyłaś?

Zagadnienie wraca przy okazji sprawy dotyczącej Mozilli. Twórcy Firefoksa wystąpili do Sądu Okręgowego w Waszyngtonie z wnioskiem o zmuszanie władz do ujawnienia informacji o pewnej luce. Ta luka miała być wykorzystana do namierzenia osób korzystających ze strony z pornografią dziecięcą. Nie była to właściwie luka w Firefoksie, ale w przegląrce Tor Browser. Ponieważ Tor Browser bazuje na Firefoksie Mozilla ma prawo przypuszczać, że luka dotyczy części kodu związanej z Firefoksem. 

Interwencja Mozilli miała związek ze sprawą człowieka o nazwisku Jay Michaud. Sąd najpierw zgodził się na to, aby informacje dotyczące luki zostały ujawnione prawnikom broniącym Michauda. Zdaniem Mozilli nie jest to najlepszy pomysł, aby informacje o luce najpierw jakimś ludziom, a dopiero później producentowi oprogramowania. Wydaje się raczej, że luka powinna być ujawniona najpierw producentowi oprogramowania, aby można było ją załatać i następnie bezpiecznie przekazać informację na potrzeby postępowania. 

Dziś Reuters poinformował, że sędzia odrzucił wniosek Mozilli. Do sprawy włączył się także amerykański Departament Sprawiedliwości, który poprosił sędziego o ponowne przemyślenie kwestii jakiegokolwiek ujawniania informacji o luce. Wiadomo, że Departament powołał się na sprawy bezpieczeństwa narodowego. Ostatecznie wychodzi na to, że prokuratura w ogóle nie ujawni informacji o luce, co podważa znaczenie wniosku Mozilli. Zdaniem sędziego producent oprogramowania może się zwrócić ze swoim problemem bezpośrednio do władz Stanów Zjednoczonych. 

Rząd przechowuje luki i prowadzi pedofilskie strony

Rząd USA naprawdę zaczyna się zachowywać jak klient na rynku luk. Na marginesie warto dodać, że sprawa Jaya Michauda jest powiązana z innym kontrowersyjnym działaniem władz.

W styczniu pisaliśmy o tym, jak FBI prowadziła pedofilską stronę by namierzyć osoby wymieniające się pornografią dziecięcą. Chodziło o stronę Playpen, która została założona przez przestępców, ale nie została zamknięta natychmiast po przejęciu. Władze prowadziły stronę jeszcze przez 2 tygodnie jako "stronę-pułapkę", co pozwoliło na postawienie zarzutów 137 osobom. 

Działanie FBI było skuteczne ale również wzbudzało poważne zastrzeżenia etyczne. FBI de facto kontynuowała popełnianie jakże paskudnego przestępstwa, przyczyniając się również do dalszego krzywdzenia ofiar pedofilii. 

Nic nie wiemy!

Wypada jeszcze wrócić do sprawy Apple vs FBI. W tym przypadku wiemy, że FBI skorzystała z jakiejś luki w zabezpieczeniach iOS. Teraz wypadałoby ujawnić tę lukę, ale FBI wiedziała jak się z tego wymigać. 

FBI utrzymuje, że po prostu nie zna metody użytej przez firmę Cellebrite. W oświadczeniu dla New York Timesa przedstawiciele Białego Domu stwierdzili, że władze zakupiły jedynie metodę odblokowania iPhone'a, bez żadnej dodatkowej wiedzy o technicznych szczegółach. Rządowi chyba w ogóle nie przeszkadza to, że istnieje luka potencjalnie zagrażająca wielu zwykłym obywatelom. Grunt, że udało jej się użyć do określonego celu, a potem niech się dzieje co chce.