A Cisco, az internetes adatforgalom irányítását végző, ezért kulcsfontosságú routerek legnagyobb gyártója csütörtökön hangos botrány közepette egyezett meg egy számítástechnikai szakértővel abban, hogy az nem fedi fel a nyilvánosság előtt a cég szoftverének biztonsági hiányosságait.
Bércenzorok, bíróság
Az atlantai illetőségű Michael Lynnt korábban az Internet Security Systems (ISS) alkalmazta, amely közösen dolgozott a Ciscóval bizonyos biztonsági hibák kijavításán. Szerdán azonban a szakértő otthagyta állását, hogy másnap a Las Vegas-i Black Hat konferencián számoljon be tapasztalatairól. Amikor a Cisco értesült Lynn terveiről, mellékállású munkatársakat bérelt fel arra, hogy tépjék ki a konferencia brosúrájából Lynn tervezett előadásának leírását, mielőtt a résztvevők megkapnák azt; később bíróságtól követelte a szakértő elhallgattatását; írta a kaliforniai Mercury News.
Lynn egy csütörtöki körkapcsolásos beszélgetésen elmondta, úgy érzi, helyesen cselekedett, hiszen a komputerbiztonsági kérdésekre szakosodott konferencia volt a megfelelő fórum arra, hogy kipakoljon. A Cisco reakciója viszont "ijesztő volt", mondta a szakértő, aki végül nem húzta elő az adu ászt, és előadásában csal általánosságokat említett, konkrét hibát nem. Annyit azért elmondott, hogy a szoftverben felfedezett biztonsági rés kihasználásával féregvírus béníthatja meg a neten zajló adatforgalmat.
Hallgatni arany?
A Cisco, amely végül zárt ajtók mögött rábírta Lynnt a hallgatásra, elhamarkodottnak nyilvánította a tervezett bejelentést, amelyhez szerinte az ISS-ből kilépett szakértőnek nem volt joga, hiszen nem céges alkalmazottként, hanem távozása után, magánemberként akarta előadni, amit tudott. Az eset miatt azonban újra felmerült a kérdés: vajon segíti-e az adatbiztonságot az ismert szoftverhibák nyilvános feltárása, vagy csak ingyen fegyvert ad a rosszindulatú vírusszerzők kezébe. Az ügyben nyilatkozó számítástechnikusok bátor tettnek nyilvánították Lynn fellépését, és szerintük csak az a kérdés, miért nem javítja ki a hibát a Cisco.
Nem ez az első eset, hogy megkérdőjeleződik a Cisco-szoftverek integritása: 2004 májusában IOS operációs rendszerének, novemberben Pix tűzfalszoftverének forráskódja szivárgott ki; utóbbit a Source Code Club nevű hackercsoport állítólag pénzért árulta a neten. A tettesek máig ismeretlenek, mert bár idén májusban a svéd rendőrség őrizetbe vett egy tizenhat éves tinédzsert, róla nem tudták bebizonyítani, hogy köze van a kódlopáshoz.