Сегодня на слушаниях в Конгрессе по поводу взлома PSN дал показания независимый эксперт по безопасности д-р Джен Спэффорд (Gene Spafford) из университета Пердью. Он сказал, что серверы Sony работали на непропатченной версии веб-сервера Apache с известными уязвимостями и «без файрвола».
Компании Sony это было известно за два-три месяца до инцидента, который привёл к утечке персональных данных более 100 млн пользователей. По словам Спэффорда, данный вопрос «обсуждался на открытом форуме, модераторами которого являются сотрудники Sony».
Таким образом, тучи над Sony сгущаются. Если информация Спэффорда подтвердится, то компании грозят серьёзные судебные иски с обвинением в преступной неосторожности, а это уже уголовное дело. Конечно, можно спорить насчёт наличия состава преступления в действиях Sony, но если вы сознательно оставляете незащищённым сервер с миллионами кредитных карточек — то что это, если не преступная неосторожность?
Например, по российскому законодательству «преступление признается совершённым по неосторожности, если лицо, его совершившее, предвидело возможность наступления опасных последствий своего действия или бездействия, но легкомысленно рассчитывало на их предотвращение (преступная самонадеянность)». В американском уголовном праве примерно такая же трактовка.
Конечно, обычным админам и техническим сотрудникам Sony может быть обидно, что из-за апдейта Apache на них могут завести уголовное дело, но здесь это вполне возможно.
С другой стороны, можно ли принимать «обсуждение на форуме» в качестве доказательства в суде и приводить в качестве аргумента на слушаниях в Конгрессе? Кто будет проверять достоверность этой информации, в смысле, что они будут — делать нотариально заверенные копии веб-страниц форума или заслушивать свидетелей, которые видели это сообщение на форуме? Что-то не верится.
Доктор Спэффорд не пояснил, какая версия Apache стояла на серверах PSN и что он имеет в виду под отсутствием файрвола. Судя по всему, имеется в виду модуль вроде ModSecurity. Странно, что у Sony не было ничего подобного.
Компании Sony это было известно за два-три месяца до инцидента, который привёл к утечке персональных данных более 100 млн пользователей. По словам Спэффорда, данный вопрос «обсуждался на открытом форуме, модераторами которого являются сотрудники Sony».
Таким образом, тучи над Sony сгущаются. Если информация Спэффорда подтвердится, то компании грозят серьёзные судебные иски с обвинением в преступной неосторожности, а это уже уголовное дело. Конечно, можно спорить насчёт наличия состава преступления в действиях Sony, но если вы сознательно оставляете незащищённым сервер с миллионами кредитных карточек — то что это, если не преступная неосторожность?
Например, по российскому законодательству «преступление признается совершённым по неосторожности, если лицо, его совершившее, предвидело возможность наступления опасных последствий своего действия или бездействия, но легкомысленно рассчитывало на их предотвращение (преступная самонадеянность)». В американском уголовном праве примерно такая же трактовка.
Конечно, обычным админам и техническим сотрудникам Sony может быть обидно, что из-за апдейта Apache на них могут завести уголовное дело, но здесь это вполне возможно.
С другой стороны, можно ли принимать «обсуждение на форуме» в качестве доказательства в суде и приводить в качестве аргумента на слушаниях в Конгрессе? Кто будет проверять достоверность этой информации, в смысле, что они будут — делать нотариально заверенные копии веб-страниц форума или заслушивать свидетелей, которые видели это сообщение на форуме? Что-то не верится.
Доктор Спэффорд не пояснил, какая версия Apache стояла на серверах PSN и что он имеет в виду под отсутствием файрвола. Судя по всему, имеется в виду модуль вроде ModSecurity. Странно, что у Sony не было ничего подобного.