0day-уязвимость для кардиостимуляторов: рассекречивать?

Рассказать ли на конференции Defcon об уязвимости в кардиостимуляторах, которая позволяет убивать людей по Bluetooth? На первый взгляд, ответ очевидный — нет, нельзя, это неэтично, такую информацию следует держать в секрете от широкой публике, а только сообщить производителю в рамках стандартной практики информирования об уязвимостях нулевого дня.

Но если копнуть глубже, то ситуация не так проста, пишет Роберт Грэхем (Robert Graham) из Errata Security.

Во-первых, производители тех же кардиостимуляторов на десятилетия отстали в обеспечении безопасности своих продуктов. Часто там бэкдоры с простым дефолтным паролем (для сервисных целей), которые исключительно просто обнаружить — на это способен даже школьник, потратив несколько минут. Скрывать такие уязвимости мало смысла.

Во-вторых, производители практически не реагируют на сообщения от независимых специалистов по безопасности. Они прекрасно знают о наличии очевидных бэкдоров. И если им сообщают об уязвимости, они говорят: да, есть, мы об этом знаем, и в следующих моделях продукта исправим её. Ну а что касается старых устройств, то проще забыть про них, они постепенно выходят из строя, так сказать, естественным путём.

В сообществе ИБ принято считать, что публичное раскрытие 0day-уязвимостей, если вендор не реагирует на них, — правильное и хорошее дело, которое в перспективе улучшает общую ситуацию на рынке безопасности и стимулирует производителя к более активным действиям. Под давлением общественного мнения он всё-таки может что-то предпринять, а не просто отмахнуться от проблемы.

Но что, если публичное раскрытие информации будет стоить чьей-то жизни? Ведь это сложно оправдать нормами, которые сложились в индустрии информационной безопасности. К тому же, против исследователя могут завести настоящее уголовное дело, хотя в теории он защищён правом на свободу слова.

Может быть, подходящим вариантом было бы обращение в прессу, которая независима от медицинского лобби, с демонстрацией конкретного эксплойта для конкретного кардиостимулятора. Но если поднимется скандал в прессе, то информация о бэкдоре всё равно быстро попадёт в открытый доступ.

В общем, раскрытие 0day-уязвимостей к кардиостимуляторам поднимает ряд моральных и этических проблем. В связи с этим можно вспомнить историю хакера Джека Барнаби, который собирался выступить на Black Hat с докладом о дистанционном воздействии на кардиостимуляторы в августе 2013 года, но неожиданно умер за несколько дней до начала конференции.