Broker luk w zabezpieczeniach mówi, że luki zero-day w Tails nie są na sprzedaż

Firma specjalizująca się w sprzedaży informacji na temat luk w zabezpieczeniach oprogramowania ożywiła debatę na temat przetwarzania takich informacji, zwłaszcza gdy dotyczy to narzędzi ukierunkowanych na prywatność.

Exodus Intelligence, z siedzibą w Austin w Teksasie, napisał na Twitterze w poniedziałek, że znalazł kilka luk w zabezpieczeniach Tails, systemu operacyjnego i pakietu aplikacji zaprojektowanych w celu utrudnienia śledzenia aktywności użytkownika online.

Exodus bada i sprzedaje informacje o lukach w oprogramowaniu, legalnym biznesie, który jednak przyciąga krytykę za nieprzejrzysty charakter i martwi się, w jaki sposób rządy lub inne podmioty mogą wykorzystać te informacje.

Od tego czasu firma ogłosiła, że ​​do końca tego tygodnia dostarczy raport z informacjami o podatności dla programistów Tails. Exodus nie będzie udostępniać tych informacji poza firmą wcześniej, napisał Aaron Portnoy, wiceprezes, podczas wymiany wiadomości e-mail we wtorek z IDG News Service.

Zapytany, czy Exodus czyni wyjątkowy wyjątek dla Tails, Portnoy napisał: „Oceniamy każdą podatność, z którą mamy do czynienia w poszczególnych przypadkach, dlatego podatność Tails nie jest wyjątkiem, ponieważ nie mamy podstawowego standardu”.

Tails to oparty na Linuksie system operacyjny, który korzysta z kilku narzędzi zwiększających prywatność, takich jak Tor, aby uczynić korzystanie z Internetu bardziej anonimowym. Jest przeznaczony do użytku w podróży, na przykład w publicznych punktach dostępu do Internetu, i jest uważany za jeden z najlepszych, ale nie niezawodnych sposobów na ograniczenie pozostawienia śladu cyfrowego na komputerze.

Tweet z Exodusa wywołał reakcję Tailsa, który napisał na swoim blogu, że nie skontaktowano się z nim przed tweetem. Ale Tails był zadowolony, że będzie miał okazję zobaczyć informacje.

„Powiedziano nam, że nie ujawnią publicznie tych luk w zabezpieczeniach, dopóki ich nie naprawimy, a użytkownicy Tails mieli szansę na aktualizację” - czytamy w blogu. „Uważamy, że jest to właściwy proces odpowiedzialnego ujawniania luk w zabezpieczeniach i naprawdę nie możemy się doczekać, aby przeczytać ten raport”.

Portnoy powiedział, że Exodus nie wyklucza niektórych rodzajów oprogramowania z analizy i że „koncentrujemy się na rzeczach, które są szeroko wdrażane”.

Nie było jasne, czy presja publiczna wpłynęła na decyzję Exodus dotyczącą ujawnienia informacji prywatnie Tailsowi. Sposób rozwiązania problemu wywołał w dużej mierze negatywną reakcję na Exodus na Twitterze, a niektórzy oskarżali firmę o potencjalne narażanie użytkowników na ryzyko.

Portnoy zauważył kilka tweetów Christophera Soghoiana, który jest głównym technologiem w projekcie Speech, Privacy and Technology Project w American Civil Liberties Union. Soghoian od dawna krytykuje działalność brokera słabych punktów.

Soghoian przeciągnął się po Portnoy, pisząc: „Jestem prawie pewien, że @aaronportnoy nie jest zainteresowany zapewnieniem nikomu bezpieczeństwa. Jest zainteresowany sprzedażą niesamowitego 0-dni za gotówkę. ”

Portnoy powiedział w e-mailu, że rozumie, dlaczego deweloperzy Tailsa „mogli być zirytowani z powodu reakcji hiperbolicznych ze strony bardziej głośnych osób na obrzeżach tej branży, które były pod wrażeniem, że sprzedajemy informacje innym”.

Nawiązując do Soghoiana, Portnoy napisał: „Gdy ludzie mają ponad 35 000 obserwujących, fałszywe idee mogą łatwo rozprzestrzeniać się bez żadnej próby potwierdzenia”.

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.