Разработчики YouTube изменили политики работы сервиса и блокируют видео, посвящённые эксплойтам цифровых сервисов. Обсуждаем реакцию ИТ-сообщества и рассказываем, кто пострадал.
/ Unsplash / Nahel Abdul Hadi
Обновленная политика YouTube
Преподаватели из университетов, сотрудники ИТ-компаний и энтузиасты часто примеряют на себя роль «white hat'ов». Они находят уязвимости в протоколах передачи данных, приложениях и других ИТ-продуктах, чтобы предупредить специалистов и пользователей о опасностях.
На видеохостингах можно найти тысячи хакерских руководств, посвященных тем или иным эксплойтам. Но такие видео носят или сугубо развлекательный характер, или выходят уже после того, как разработчики уязвимой системы залатали «брешь». Поэтому использовать подобные хакерские руководства в корыстных целях практически невозможно. Однако в YouTube перестали разделять эту точку зрения — в этом году видеохостинг добавил в правила сервиса новый пункт.
Он явно запрещает публиковать контент, посвященный взлому протоколов и приложений, фишингу и механизмам обхода цифровых систем безопасности.
Кто пострадал
В июле видеохостинг заблокировал несколько роликов с канала Null Byte. Его автор — инженер Коди Кинзи (Kody Kinzie), основатель хакерской группы «белых шляп» Hacker Interchange, в которую входят студенты-добровольцы. Серия видео Cyber Arms Lab, из-за которых канал получил страйк, посвящена уязвимостям ИТ-систем и способам защиты данных. По словам Коди, он записывал свои ролики исключительно с учебной целью: чтобы информировать ИТ-сообщество о киберопасностях, обучать профессионалов и новичков.
Пара свежих материалов из нашего блога на Хабре:
На страничке в Twitter Коди отметил, что из-за страйка на канале не стал загружать видео о том, как запускать фейерверки с помощью Wi-Fi.
Реакция видеохостинга
Вскоре после инцидента пресс-секретарь YouTube пояснил The Verge, что блокировка контента на канале Null Byte была ошибкой. Случившееся он объяснил человеческим фактором и большим количеством видеороликов, которые просматривают сотрудники компании. Также он отметил, что задача нового пункта, добавленного в политики YouTube, — прояснить существующие требования для владельцев каналов. В целом ролики с хакерскими руководствами удалялись и до инцидента с Null Byte. При этом представитель компании подчеркнул, что некоторый «опасный контент» (к которому относят хакерские руководства) площадка считает допустимым — если он преследует образовательные цели или имеет художественную ценность.
Но критериев того, какие хакерские видео считать «образовательными», в YouTube не раскрыли. Поэтому инцидент вполне может повториться. В октябре Коди объявил, что на канале Null Byte теперь будут выходить только сокращенные версии роликов Cyber Arms Lab. Полные записи доступны только на сайте Null Byte. По словам автора, это единственный способ двигаться дальше.
Мнение сообщества
Вице-президент компании Tripwire, разрабатывающей ИБ-решения Тим Эрлин (Tim Erlin) заявил, что намерения администрации YouTube похвальны, но в итоге нововведение помешает свободному обмену информацией среди специалистов по кибербезопасности. Он считает, что, наоборот, нужно больше рассказывать о хакерских методах и фишинге, чтобы подготовить людей и усложнить злоумышленникам работу. При этом блокировать нужно тот контент, который описывает практические методы взлома конкретных организаций. Его точку зрения подержал и Коди Кинзи. Он говорит, что специалистам по ИБ будет сложнее передавать свои знания широкой аудитории.
/ Unsplash / Paul Siewert
Британский эксперт по ИТ-безопасности Маркус Хатчинс (Marcus Hutchins), который в 2017 году остановил распространение трояна-вымогателя WannaCry, убежден, что обучающие хакерские ролики на YouTube полезны. И привлекают молодых специалистов в ИБ-индустрию.
Также ИБ-эксперты ставят под сомнение экспертность сотрудников YouTube, принимающих решения о блокировках видеозаписей. Основатель группы Black Hat Ethical Hacking Крис Абу-Чабке (Chris Abou-Chabke) говорит, что за удаление контента отвечают люди, у которых нет опыта работы в сфере информационной безопасности. Они не способны отличить образовательное хакерское руководство от не учебного. Автоматизированному алгоритму эта задача пока тоже не под силу. Крис оказался в такой ситуации лично — в 2015 году YouTube удалил два его видео с демонстрацией принципов работы DDoS-атак.
Остается надеяться, что в будущем интеллектуальные алгоритмы видеохостинга станут достаточно умными, чтобы отличать одно видео от другого и исключат человеческий фактор. Владелец канала DemmSec Дейл Руан (Dale Ruane) говорит, что до этого времени лучше не включать в название видео провокационные теги вроде «как взломать соседский Wi-Fi».
О чем мы пишем в корпоративном блоге VAS Experts:
Автор: VASExperts