Marta Janus
Analityk zagrożeń, Kaspersky Lab Polska

“Proof-of-concept” to pojęcie, które nieustannie przewija się przez różne prezentacje i publikacje z dziedziny bezpieczeństwa IT. W dosłownym tłumaczeniu znaczy ono mniej więcej tyle, co “udowodnienie koncepcji” i polega na demonstracji sposobu, w jaki dane zagadnienie teoretyczne jest możliwe do zrealizowania. Innymi słowy, najpierw budujemy teorię, później szukamy dowodów na jej poparcie, a następnie efekty naszej pracy przedstawiamy w formie praktycznej.

W odniesieniu do bezpieczeństwa komputerowego terminem "proof-of-concept" zazwyczaj określa się fragment kodu lub program, który wykorzystuje wcześniej nieznaną metodę, aby złamać, bądź obejść pewne zabezpieczenia. Brzmi groźnie? Wszystko zależy od celu, w jakim taki program powstaje, od intencji twórcy. Oczywiście cyberprzestępcy łamią zabezpieczenia w celach nielegalnych: dla zdobycia pieniędzy, informacji, zdalnej kontroli nad komputerem. Jednak ich dokonań nikt nie określa mianem "proof-of-concept". Szkodliwe programy nie powstają po to, by udowodnić, że coś jest możliwe - one te możliwości po prostu wykorzystują, a im dłużej ich istnienie jest tajemnicą, tym dłużej cyberprzestępca czerpie z nich zyski.

W odróżnieniu od szkodliwego oprogramowania, programy typu "proof-of-concept" tworzone przez badaczy z dziedziny bezpieczeństwa IT nie są wykorzystywane przez ich twórców do żadnych nielegalnych bądź szkodliwych celów. Mają one służyć poszerzeniu wiedzy na temat działania mechanizmów zabezpieczeń, poznaniu ich słabych stron, a przede wszystkim naświetleniu metod, jakie mogą zastosować cyberprzestępcy. Dzięki takiemu podejściu możliwa jest szybsza reakcja ze strony producentów oprogramowania, wydanie poprawek, ulepszenie bądź opracowanie nowych mechanizmów ochrony.

Jednak w niektórych sytuacjach niewinna idea dzielenia się odkryciami "proof-of-concept" może również stwarzać niemałe zagrożenie. Trzeba pamiętać, że wszelkie informacje na temat obchodzenia zabezpieczeń są delikatne i nie należy do nich dopuszczać osób nieodpowiednich. Czas między opublikowaniem luki a wdrożeniem odpowiednich technologii chroniących przed jej wykorzystaniem może zostać z powodzeniem zagospodarowany przez cyberprzestępców - wielu z nich tylko czeka na takie okazje. Zostawiając "brudną robotę" prawdziwym specjalistom, internetowi złodzieje nieustannie przeszukują sieć pod kątem czegoś, co mogli by bez zbędnego wysiłku zaadaptować do własnych celów.

Tym bardziej dyskusyjna więc wydaje się kwestia umieszczania w Internecie kodu źródłowego exploitów czy rootkitów typu "proof-of-concept". Upublicznianie luki na specjalistycznych konferencjach bądź zamkniętych grupach dyskusyjnych to jedno - jawne pokazywanie sposobu na złamanie zabezpieczeń wszystkim zainteresowanym to drugie.  Trzeba pamiętać, że w środowiskach związanych z bezpieczeństwem IT działają nie tylko "białe kapelusze", a kod stworzony w dobrych intencjach może stanowić bardzo niebezpieczne narzędzie w rękach kogoś, kto stoi po “ciemnej stronie mocy”.

źródło: wiruspc.pl