Jedna z historii na Slashdocie pozostawia ogólny niesmak. W skrócie tylko przypomnę o co chodzi, otóż był sobie student na uniwersytecie w Carleton, któremu zachciało się sprawdzić jak wygląda bezpieczeństwo systemów informatycznych. Poinstalował keyloggery, połapał hasła, przejął tożsamości, a przez to, że miał dostęp do archiwum maili (maili z hasłami na pewno nikt nie kasuje), automatycznie też poznał (by?) wszystkie hasła do bibliotek, hotspotów i innych części infrastruktury.
Student opisał wszelkie podjęte działania w 16-stronicowym raporcie, i posłał go do władz uniwerku. Co zrobiła władza? Pobiegła czym prędzej do prokuratora, że oto zły hacker się włamał i jeszcze się do tego przyznał. W efekcie chłopakowi grozi maksimum 10 lat w więzieniu :-/. Przepięknie.
Sprawa nie jest aż tak czysta i jasna jak by się mogło wydawać, pewne jest tutaj tylko to, że reakcja władz uniwerku była mocno przesadzona. Oczywiście, gość się włamał, poinstalował keyloggery – to działa mocno na jego niekorzyść. Wykorzystał lukę w zabezpieczeniach. Hakował.
Oczywiście druga strona kijka wskazuje zasadnicze wątpliwości. Człowiek wygenerował raport, powiadomił władze i powiadomił tych, których hasła złapały jego keyloggery. To działa mocno na jego korzyść. Gdyby był Black Hatem, to by chociaż wyjadł ludziom limit z ich talonów do stołówki albo wypożyczył więcej książek niż mógł. A tu nasłali mu na kark policję.
Oczywiście zabrał się do pentestu w stylu bohatera z komiksów – „wezmę się włamię, potem im pokażę, że się da, zostanę bohaterem. Skoczy mi poziom lansu”. Oczywiście mu skoczył ;-) teraz pana studenta zna każdy kto czyta Slashdota i te serwisy/blogi które za nim przedrukowują ;-).
Dziwi mnie natomiast nerwowa reakcja władz uczelni. Bardziej wygląda mi to na akcję w wykonaniu administratorów sieci w obawie przed zasłużonym kopniakiem w dolną część pleców. Szef przybiegł do nich z raportem, spytał o co chodzi, chłopaki poczuli zadymę nadciągającą z mocą huraganu 3 kategorii, i przerobili historię jakich w sumie wiele w terroryzm informatyczny. A może władze uczelni stwierdziły, że warto zrobić pokazowe ścięcie, i wszyscy się wystraszą? Kto ich tam wie.
Nasuwa się kilka wniosków. Władze uczelni najwyraźniej wolą terrorem tuszować błędy popełniane przez swoich administratorów. Ciężko się przyznać do błędu jak widać. Tylko tutaj wizerunek uczelni i jej władz zdecydowanie ucierpiał… Kolejny wniosek jest taki, że chłopak nie przemyślał zdecydowanie konsekwencji swojego działania zbyt dokładnie o ile w ogóle (ale moim zdaniem świadczy to raczej do dobrych niż złych intencjach). Gdyby chciał to zrobić legalnie, to należało by sprawę załatwić inaczej.
Następnym razem bohater posta poważnie się zastanowi, zanim cokolwiek komukolwiek zgłosi, a to tylko zadziała na niekorzyść ogólnego stanu bezpieczeństwa. Ja na pewno w takiej sytuacji bym stwierdził, że chrzanię, po co im to zgłaszać. Wiem jak można nie dać się zainfekować, wiec ja tego uniknę a reszta niech umiera. Właściwe podejście wynikłe z doświadczenia. Ze złego doświadczenia.
W każdym razie – miał być bohaterem, a ma spore problemy z organami ścigania i sądami. Jego chyba ostatnią nadzieją, jest logiczny sąd, który stwierdzi, że dobro przeważyło więc zło się wybaczy. Tylko, czy w Stanach są logiczne sądy, które potrafią takie sprawy sadzić? Pewnie zobaczymy. Na pewno doniesiemy jak to się skończyło ;-).