Uznaną praktyką w badaniach bezpieczeństwa komputerowego jest "odpowiedzialne ujawnianie " (responsible disclosure ). Z praktyki wiadomo, że producenci sprzętu czy oprogramowania niechętnie wypuszczają poprawki czy nowe wersje jeśli nie są do tego zmuszeni perspektywą publicznego udostępnienia narzędzia wykorzystującego odkryte luki i podatności. Dlatego też najpierw o odnalezionych problemach informuje się producenta danego systemu, a dopiero po upłynięciu pewnego okresu karencji (od miesiąca do pół roku), publikuje się informacje o odnalezionej luce.
Jednak reakcja bankowców nie dziwi. Kilka lat temu znany kryptolog, Matt Blaze , wziął na warsztat analizę zabezpieczeń fizycznych wysokiej klasy zamków do drzwi. Okazało się, że można je z łatwością otworzyć jeśli zna się odpowiednie sztuczki. Naukowiec swoje spostrzeżenia opisał w opublikowanym w fachowym czasopiśmie artykule, który spotkał się z bardzo głośną krytyką całego środowiska amerykańskich ślusarzy. "Fachowcy" oskarżyli naukowca o stwarzanie zagrożenia dla ludzi kupujących w dobrej wierze nie dość bezpieczne zamki, a przy okazji wyszło na jaw, że sztuczki, które odkrył Blaze, w branży znane były od lat.
Niestety nie dowiemy się jak to wygląda w wypadku zamków oferowanych na polskim rynku - w Polsce tylko licencjonowani ślusarze mogą legalnie posiadać narzędzia potrzebne do otwierania zamków bez klucza. Skądinąd wiadomo, że zawodowi przestępcy są zwykle wśród pierwszych nabywców nowych systemów zabezpieczeń, chcą je poznać i rozpracować. Przestępcy - z definicji - nie przestrzegają prawa i nie przejmą się zakazem posiadania wytrychów.
Wprowadzenie systemu płatności chip+PIN miało z jednej strony podnieść poziom bezpieczeństwa transakcji - podpis jest łatwo sfałszować, a z drugiej uprościć obsługę (zlikwidować konieczność przechowywania podpisanych pokwitowań), jednak przynajmniej niektóre banki wykorzystały okazję do przerzucenia ryzyka na klientów - w regulaminach wielu kart widnieje zastrzeżenie o niemożności reklamowania transakcji autoryzowanej numerem PIN . Warto sprawdzić pod tym kątem regulamin swojej karty płatniczej.
Naukowcy z Cambridge w dobrym, angielskim stylu opublikowali otrzymany list, złożyli swoim korespondentom życzenia, i zapowiedzieli, że na nadchodzącej konferencji o kryptografii finansowej pokażą nowe efekty badań nad bezpieczeństwem kart.
[na podstawie Light Blue Touchpaper ]
Janusz A. Urbanowicz
