Od kilkunastu lat w branży bezpieczeństwa obowiązywała zasada "odpowiedzialnego ujawniania" (responsible disclosure). Badacze bezpieczeństwa którzy odkryli podatność oprogramowania na atak, informowali o tym producenta, po czym po upływie pewnego czasu , zazwyczaj od miesiąca do roku, informowali o odkrytej podatności internetową opinię publiczną. Publikowanie informacji o podatnościach miało dwa cele: pierwszym było umożliwienie administratorom systemów wypracowanie i wdrożenie środków zapobiegawczych, a drugim - wywarcie presji na producentów podatnego sprzętu i oprogramowania: teraz wszyscy wiedzą jak wykorzystać podatność, tysiące klientów na całym świecie są zagrożeni.
Kiedy tej presji nie było i badacze bezpieczeństwa nie publikowali informacji o podatnościach - wówczas firmy produkujące sprzęt i oprogramowanie utajniały informacje o problemach ze swoimi produktami - po co straszyć klientów - a podatności były odkrywane niezależnie przez internetowe podziemie i następnie wykorzystywane w niecnych celach.
"Odpowiedzialne ujawnienie" było dżentelmeńską umową , nie zawsze dotrzymywaną, ale pozwalającą współpracować konkurującym firmom dla dobra Internetu - wszyscy producenci antywirusów chcą móc o swoich produktach powiedzieć "wyłapujemy wszystkie znane zagrożenia". Czasem firma poinformowana o lukach w swoich produktach straszyła procesem albo nie reagowała, ale takie postawy były piętnowane i nagłaśniane z negatywnym komentarzem, co wywoływało presję na współdziałanie.
Przecież jest wojna
Tak jak wojna z terroryzmem spowodowała zawieszenie swobód amerykańskich obywateli, tak infowojna , przeniesienie walki wywiadów do Internetu, podkopała fundamenty dżentelmeńskiej umowy . Informacje o podatnościach to internetowy odpowiednik surowców strategicznych takich jak radioaktywne pierwiastki, tak jak urano potrzebny jest do budowy bomby atomowej, tak opisy "dziur" w programach potrzebne są do budowy sieciowych broni . Nagle jest gdzie legalnie sprzedać informację o podatności; teraz kupującymi nie są przestępcy, którzy szukają wytrychów do internetowych kradzieży, ale jak najbardziej praworządne i patriotyczne agencje rządowe.
W rozmowie z Forbesem ludzie z VUPEN mówią wprost - po co mają pomagać Google udoskonalać pracę, wykonywać za pół darmo zadania działu jakości (firma płaci za informacje o błędach w swoich produktach), skoro na wolnym rynku mogą na tych informacjach zarobić dużo więcej - informacja o luce w systemie iOS (sterującym iPhone'ami i iPadami) kosztuje od 100 do 250 tysięcy dolarów, dziury w popularnych przeglądarkach są tańsze - od 60 do 200 tysięcy.
Vupen oferuje przyjemną usługę - płać abonament, to będziemy cię informować na bieżąco o odkrytych przez nas zagrożeniach - oczywiście jeśli jesteś instytucją rządową albo firmą. Jeśli nie wykupisz "ubezpieczenia", nie dowiesz się, co ci grozi. Trochę przypomina mi to skecz Monty Pythona, w którym do dowódcy wojskowej bazy przychodzą przedstawiciele mafii i mówią "ładna baza panie pułkowniku, szkoda by było, gdyby się spaliła".
