Wczoraj wieczorem właściciel polskiej firmy hostingowej Home.pl otrzymał nietypową propozycję - autorzy serwisu hack.pl napisali, że wykryli w oprogramowaniu Home.pl poważną dziurę. Za szczegóły zażądali 200 tys. zł.

List był utrzymany w tonie delikatnej perswazji - z jednej strony autorzy zastrzegali, że "piszą w celu informacyjnym" i że ich "zamiarem nie jest wykorzystanie tego błędu w sposób niezgodny z prawem". Z
drugiej strony sugerowali, że chcą opublikować na swojej stronie informacje dziurze, co z pewnością wpłynęłoby na wizerunek Home.pl.

Autorom trzeba oddać sprawiedliwość, że informacje o dziurze chcieli opublikować bez podawania szczegółów technicznych. W sumie mogli to zrobić od razu, bez pytania o zgodę Home.pl - w końcu serwisy
"chakerskie" robią to cały czas. Całkowicie niedopuszczalne z ich strony było jednak uzależnienie ujawnienia informacji o szczegółach dziury od zapłacenia autorom 200 tys. zł. Jest to działanie, które łatwo można
podciągnąć pod próbę wyłudzenia, co samo w sobie jest przestępstwem.

Co powinien więc zrobić ktoś, kto znajdzie dziurę w cudzym serwisie internetowym? Jeśli nie chce ryzykować, to najlepiej nic. Brzmi to brutalnie, ale taka jest prawda - uzyskanie dostępu do informacji z przełamaniem zabezpieczeń jest w Polsce karalne (art. 267 KK), a taki detal jak ustalenie czy doszło czy nie doszło do "przełamania zabezpieczeń" wymaga oceny biegłego. Rozprawa może potrwać i dwa lata, w czasie której podejrzanego czeka wiele nieprzyjemności (nawet włącznie z aresztem), a na pewno zatrzymaniem "narzędzia przestępstwa" czyli sprzętu komputerowego. Niech zatem za bezpieczeństwo swoich serwerów odpowiadają ich właściciele.

Jeśli decydujemy się na zgłoszenie dziury to musi mieć ono taką postać, by nie było najmniejszych wątpliwości co do intencji autora. Jeśli jego intencją jest pomoc to należy umieścić w zgłoszeniu wszystkie
informacje, które rzeczywiście mogą być pomocne administratorowi w załataniu luki. Każda dwuznaczna sugestia, że "chcemy pomóc, ale chcemy też zarobić" natychmiast kojarzy się z rosyjskim rekietierem z lat
90-tych, który opowiadając o "drużbie narodow" mimochodem rozważał łatwopalność budynku restauracji, do której przyszedł z ofertą.

Pokusa zmuszenia właściciela serwisu do skorzystania z naszych usług może być bardzo silna - osoba, która znalazła dziurę dysponuje pewną informacją, która może być wartościowa dla drugiej strony. Ale usługi na
rynku bezpieczeństwa IT opierają się na zaufaniu. Nikt nie zaufa szantażyście. Jeśli natomiast zgłoszenie dziury będzie utrzymane w formie nie pozostawiającej wątpliwości co do przyjaznych intencji
zgłaszającego, to nic nie stoi na przeszkodzie żeby zaoferować swoje usługi w którymś z kolejnych maili, już po wyjaśnieniu kwestii związanych ze zgłaszanym problemem i najlepiej po załataniu dziury.