Впрочем, противоположная сторона тоже не сидит сложа руки. В момент, когда я пишу эти строки, сайт Фонда за Информационную Инфраструктуру (ffii.org), информационный центр антипатентной коалиции и крупнейшее в Сети собрание относящихся к вопросу документов - больше недоступен. Вроде как он был в очередной раз опечатан полицией по иску немецкой фирмы Nutzwerk (в англоязычном мире известной как SaferSurf). Крупный софто-патенто-обладатель и активный участник борьбы за директиву, Nutzwerk удостоился немалого числа едких характеристик со стороны FFII и теперь один за другим подает на Фонд иски за оскорбления и клевету. Суды раз за разом отказывают ему - и тогда он подает идентичный иск в другой германской федеральной земле, надеясь измотать и разорить противника. Мне жаль Хартмута Пилча (Hartmut Pilch), президента фонда, мне жаль себя, в неподходящий момент оставшегося без важных документов под рукой, но в целом это скорее хороший симптом, ибо показывает возросшую силу и общественный вес антипатентной коалиции.

Злые люди бедной киске

Спаренная хакерская конференция BlackHat/DefCon, ежегодно проходящая в Лас-Вегасе, успела стать своего рода лакмусовой бумажкой, проверяющей и крупные, и все прочие компьютерные корпорации на один весьма деликатный предмет - отношение к (не)безопасности собственной продукции. Практически все выступления и презентации на такого рода конференциях сводятся к одному - обсуждению уязвимостей, обнаруженных в программном и аппаратном обеспечении. Варьироваться же, причем в достаточно широком диапазоне от «полного раскрытия» до «ответственного раскрытия», может только объем предоставляемых докладчиком сведений о новых дырах в защите и способах их латания.

А вот реакция компаний, в чьих продуктах найдены уязвимости, бывает чрезвычайно разной. От конструктивного сотрудничества со сторонними экспертами по безопасности, которые, как правило, докладывают о дырах, уже имея готовый рецепт по заделыванию бреши, до раздувания позорного скандала с привлечением судов, ФБР и любых других силовых рычагов с единственной целью - воспрепятствовать распространению компрометирующей фирму информации (а заодно примерно наказать наглецов, осмеливающихся порочить имя брэнда). Последний сценарий, как многие помнят, избрала несколько лет назад Adobe Systems, натравив правоохранительные органы США на российского программиста Дмитрия Склярова, вскрывшего откровенно слабую защиту электронных книг этой компании. В сухом остатке той истории, как известно, осталась лишь сильно подпорченная в глазах общества репутация самой Adobe.

Ныне на те же самые грабли наступила корпорация-гигант Cisco. Молодой (24 года) и очень компетентный американский эксперт Майкл Линн (Michael Lynn) из компании Internet Security Systems полгода назад выявил серьезнейшую дыру в ПО маршрутизаторов Cisco, обеспечивающих львиную долю сетевого трафика в Интернете и других сетях самого разного масштаба. Из-за этой дыры потенциальный злоумышленник имел возможность дистанционно взять под контроль всю работу IOS - операционной системы маршрутизатора, а далее делать что угодно с проходящим через него трафиком. Своевременно предупрежденная об уязвимости Cisco выпустила соответствующий патч, однако без каких-либо комментариев о серьезности предотвращаемой им угрозы. Поскольку на протяжении многих лет среди пользователей маршрутизаторов Cisco укоренялся миф о полной безопасности IOS, далеко не все сетевые администраторы всерьез отнеслись к необходимости установки патча. Короче говоря, когда Линн убедился, что Cisco не желает предавать огласке информацию о критически важной дыре, он (с одобрения своего начальства) решил сделать доклад на BlackHat.

В Cisco встретили это решению без энтузиазма, но препятствовать поначалу не стали. Однако в самый канун конференции кто-то из высокопоставленных чинов корпорации (скорее всего, руководитель PR-подразделения) усмотрел в выступлении Линна не то что угрозу, а фактически криминал. Поэтому перед открытием BlackHat туда прибыли адвокаты Cisco в сопровождении специально нанятых людей. Адвокаты запугали организаторов конференции страшными судебными преследованиями, а отряд наемников вырвал из заготовленных к раздаче каталогов страницы со слайдами презентации Линна и изъял две тысячи компакт-дисков с материалами конференции, заменив их другими. Новые CD были почти такие же, отсутствовал лишь доклад об уязвимости маршрутизаторов Cisco. В отличие от российской фирмы «Элкомсофт», на протяжении всей драмы с арестом Дмитрия Склярова решительно поддерживавшей своего сотрудника, компания ISS открестилась от Майкла Линна и целиком встала на сторону Cisco. Поэтому Линну, принципиально решившему идти до конца, пришлось уволиться из ISS, чтобы все-таки сделать свой доклад (в котором, кстати говоря, строго соблюдены нормы «ответственного раскрытия», не дающего технических подробностей уязвимости для ее эксплуатации, однако убедительно демонстрирующего серьезность проблемы).