„Vaše video bylo zablokováno, protože odporuje našemu pravidlu zakazujícímu nahrávat Návody na obcházení zabezpečení počítačových systémů,“ tak přibližně zní hláška, která se v posledních dnech objevila několika vlivným autorům z oblasti kyberbezpečnosti.
We made a video about launching fireworks over Wi-Fi for the 4th of July only to find out @YouTube gave us a strike because we teach about hacking, so we can't upload it. YouTube now bans: "Instructional hacking and phishing: Showing users how to bypass secure computer systems"
Na první pohled to zní jako rozumné opatření, které zapadá do ostatních pravidel na YouTube: žádné návody na krádeže, výzvy k násilí nebo návody na výrobu drog.
Pravidla pro autory videí nahrávaných na YouTube: žádné nebezpečné výzvy, návody na výrobu drog, násilí, návody na krádež a návody na obcházení zabezpečení
Jenže videa, která ukazují návody na „hackování“ a obcházení zabezpečení, tvoří celkem důležitou ekosystému kyberbezpečnostní komunity.
Bezpečnost díky nepřehlednosti?
Zakázat videa, která nabízí například návod na prolomení zašifrovaného dokumentu .DOC, se může zdát rozumné. Vždyť takový návod přece nemůže nikdo čestný potřebovat, dalo by se namítnout. A když bude návod k prolomení šiforvání .DOC k dispozici, tak to oslabí to šifrování pro všechny, protože každý si snadno najde, jak zaheslovaný dokument prolomit.
Takovému přístupu se obvykle přezdívá „bezpečnost díky nepřehlednosti“ (security through obscurity), a jak už název napovídá, není to úplně ideální zabezpečení. Je to jako dát si klíč pod rohožku a ostatním říkat: „hlavně nikomu neříkejte, že mám klíč pod rohožkou!“ Samozřejmě, že je to o něco bezpečnější, než mít klíč v zámku, kde ho jakýkoli nenechavec z dálky uvidí. Ale problém je v tom, že ti, kteří se k vám domů chtějí vloupat, tak se pod tu rohožku stejně podívají.
Bezpečnost díky nepřehlednosti je tudíž pomíjivá a jde spíše o pseudoopatření, na které odborníci nedoporučují spoléhat. Naopak upozornění na bezpečnostní chybu může vést k její nápravě.
Tím, že je informace o chybě veřejná, je všem zřejmé, že chyba existuje, což vytváří povědomí o chybě a odrazuje tak třeba od používání snadno prolomitelných standardů. Pro vývojáře je pak přehled chyb v zabezpečení cenným zdrojem zkušeností, které mohou využít při návrhu bezpečnějšího software.
Opačným přístupem k bezpečnosti je „bezpečnost díky otevřenosti“ (open security), což je princip, který spoléhá na otevřený zdrojový kód. Více hlav více ví, a open source software může zkontrolovat velké množství lií z oboru a snáze tak odhalit problém.
Zákaz ublíží uživatelům a programátorům, útočníky nezastaví
Bezpečnostní komunita (tzv. infosec komunita) proto na nová pravidla YouTube reagovala značně podrážděně: „Pokud chcete dokázat, že je v něčem bezpečnostní chyba, nestačí to jen říci. Musíte to předvést způsobem, který mohou ostatní napodobit,“ vysvětluje Cory Doctorow, americký spisovatel a zastánce otevřeného softwaru. „Když neuděláte veřejnou demonstraci, může vás ta firma označit za lháře a tvrdit zákazníkům, že se nemusejí ničeho bát.“
Doctorow upozorňuje, že videa s podrobnými návody, jak obejít zabezpečení, pomáhají především dvěma skupinám:
- pomáhají uživatelům rozhodnout se, kterým technologiím věřit a kterým nikoli
- pomáhají vývojářům poučit se z chyb ostatních a programovat bezpečnější software
Zákaz šíření videí s návodem, jak obejít zabezpečení (lidově “jak hackovat“), nezabrání tomu, aby někdo návod našel někde jinde. Zákaz nezvýší bezpečnost daných produktů a služeb. Kdo bude chtít, dokáže si návody na vlámání a obejití najít jinak a jinde. Běžný uživatel ale bude mít horší představu o tom, co je a co není bezpečné, domnívá se Doctorow.
@KodyKinzie @YouTube @YouTube do you fancy chiming in on this? Google as a company must know the value of having staff that have these skill sets. How can you argue these videos do more harm than good? You have just closed off a great resource for a lot of budding security engineers. Good yin...
Google, který server YouTube provozuje, přitom v minulosti zastával opačný pohled. Jeden programátor Googlu třeba zveřejňoval návody, jak obejít zabezpečení, aby tak konkurenci povzbudil k rychlejšímu záplatování chyb.
Není jasné, zda a jak plánuje YouTube tento zákaz vynucovat. Podle The Verge by se na výuková videa z oblasti bezpečnosti mohla vztahovat výjimka z pravidel: „Pokud je primárním účelem videa vzdělání, dokumentování, vědecký výzkum nebo umění,“ může takové video zůstat navzdory tomu, že vyobrazuje nebezpečný akt.
V době psaní tohoto článku byla videa, která poprask způsobila, obnovena. Mluvčí YouTube uvedl, že se jednalo o chybu při vyhodnocení.
