DEF CON / Нижний Новгород

Этика сообщества

Мы стремимся к максимальной открытости и нейтральности по отношению к различным прогрессивным этическим течениям в хакерском сообществе. Мы поддерживаем, но не навязываем:

Что такое этичный хакинг и кто такие White & Grey & Black Hats?

Следует иметь в виду, что эта классификация не очень четкая и неполная.

Наше сообщество поддерживает практики White и Grey Hat. Под этичным хакингом мы понимаем такой, который согласуется с (высокими) моральными нормами сообщества.

Что такое этичное программирование?

Очень часто корпорации создают программы, которые “повреждены специально”, “defective by design”: эти программы подвергают рискам безопасность и приватность пользователей (например, цифровые наручники, DRM; сбор сведений о пользователях) с целью повышения дохода корпораций, а также получения контроля над пользователями, например через “vendor lock-in” или “data lock-in” (например, в “облаке” без возможности экспорта) и т.д. Эти же корпорации несправедливо обращаются с разработчиками программ - отчуждают их от результатов труда, относятся как к ресурсу, ограничивают свободу творчества через ограничение свободы программ и т.д.

Этичные хакеры вскрывают многие проблемы таких программ и помогают устранить наиболее явные угрозы безопасности пользователей, а иногда и приватности (например, добиваясь общественного резонанса). Однако, сами программисты тоже могут принять эффективное участие в этой деятельности, предлагая заказчикам только этичные варианты дизайна программ.

Этичное программирование - это создание программ, которые выполняют свои функции, не подвергая пользователей повышенным рискам безопасности, не нарушая приватности и анонимности, а также не содержащие вредных функций, анти-фич (таких как искуственных ограничений функциональности, lock-in любого рода и т.д.). Этичное программирование также подразумевает уважаение к труду программистов, защиту свободы их творчества через свободу программ.

Наше сообщество поддерживает этичное программирование. Мы помогаем развивать понимание того, какие требования заказчика - приемлемые и этичные, а какие - нет. С повышением общего уровня понимания программистов всё чаще заказчикам, корпорациям будут предлагаться лишь варианты этичных решений. В случае же неэтичных требований корпорациям придется преодолевать сопротивление среды и терять репутацию как среди работников, так и среди пользователей. Чем сильнее сопротивление, тем больше будет компаний, для которых проще взять этичное решение, ставшее стандартом де-факто, вместо попыток получить неэтичное, но более выгодное решение (до учёта потерь от такого пути!).

Свободное ПО, Free Software

Свободная программа - это программа, которая уважает свободу сообщества пользователей и разработчиков, предоставляя четыре основных свободы:

Наше сообщество поддерживает свободу программ (и движение за свободу программ, FSF). Соответствие критериям свободного ПО является очень важным для любой информационной системы, которая разрабатывается с учетом требований безопасности и приватности пользователей. Закрытость программ не повышает их безопасность, напротив – сообщество не может провести независимый аудит исходного кода на отсутствие “закладок” и уязвимостей, не может внести исправления. Если же безопасность программы обеспечена сокрытием алгоритмов (англ. security through obscurity), то рано или поздно алгоритмы будут выявлены и полученные знания использованы атакующими; таким образом, критерием безопасной системы должно быть явное отстутствие известных ошибок и уязвимостей, а не отсутствие исходного текста.

Дополнительно стоит сказать о протоколах обмена данными и сервисах – использование закрытых (проприетарных) реализаций и закрытой модели разработки протоколов и сервисов наносит дополнительный вред: пользователь не только сам принуждается к использованию несвободной программы, но и вынуждает своих собеседников использовать тот же закрытый протокол или сервис. Как правило, это приводит к жесткой привязке пользователей к владельцам протокола или сервиса (англ. vendor lock-in).

Подробнее про свободное ПО можно почитать на сайте проекта GNU.

Открытое ПО, Open Source Software

Сделай сам, DIY

Кто такие хактивисты?

Кто такие шифропанки?