Les développeurs YouTube ont changé les politiques du service et bloquent les vidéos dédiées aux exploits des services numériques. Nous discutons de la réaction de la communauté informatique et nous disons qui a souffert.
/ Unsplash / Nahel Abdul HadiPolitique YouTube mise à jour
Les professeurs d'université, les employés des TI et les passionnés essaient souvent le rôle des
chapeaux blancs . Ils trouvent des vulnérabilités dans les protocoles de transfert de données, les applications et autres produits informatiques pour alerter les professionnels et les utilisateurs sur les dangers.
Des milliers de guides de piratage dédiés à divers exploits peuvent être trouvés sur les sites d'hébergement vidéo. Mais ces vidéos sont soit de nature purement divertissante, soit publiées après que les développeurs du système vulnérable ont fait une «lacune». Par conséquent, il est presque impossible d'utiliser de tels manuels de pirate à des fins personnelles. Cependant, YouTube a cessé de partager ce point de vue - cette année, l'hébergement vidéo a ajouté un nouvel élément aux règles du service.
Il interdit explicitement la publication de contenu dédié aux protocoles et applications de piratage, au phishing et aux mécanismes de contournement pour les systèmes de sécurité numérique.
Qui fait mal
En juillet, l'hébergement vidéo a bloqué plusieurs vidéos de la chaîne Null Byte. Son auteur - ingénieur Kody Kinzie (Kody Kinzie), fondateur du groupe de hackers "chapeaux blancs"
Hacker Interchange , qui regroupe des étudiants bénévoles. La série de vidéos Cyber Arms Lab, à cause de laquelle la chaîne a été frappée, est dédiée aux vulnérabilités des systèmes informatiques et aux méthodes de protection des données. Selon Cody, il a enregistré ses vidéos exclusivement à des fins éducatives: pour informer la communauté informatique des cyber-dangers, pour former des professionnels et des débutants.
Quelques matériaux frais de notre blog sur Habré:
Sur une page sur Twitter, Cody a
noté qu'en raison de la grève sur la chaîne, il n'avait pas téléchargé de vidéos sur la façon de démarrer des feux d'artifice en utilisant le Wi-Fi.
Réaction d'hébergement vidéo
Peu de temps après l'incident, une porte-parole de YouTube a
expliqué à The Verge que bloquer le contenu sur la chaîne Null Byte était une erreur. Il a expliqué l'incident par le facteur humain et le grand nombre de vidéos visionnées par les employés de l'entreprise. Il a également noté que l'objectif du nouvel élément ajouté aux règles de YouTube était de clarifier les exigences existantes pour les propriétaires de chaînes. En général, les vidéos avec des guides de piratage ont
été supprimées avant l'incident de Null Byte. Dans le même temps, le représentant de l'entreprise a souligné que le site considère un «contenu dangereux» (auquel appartiennent les manuels des pirates) acceptable s'il poursuit des objectifs éducatifs ou a une valeur artistique.
Mais les critères pour lesquels les vidéos de pirates sont considérées comme «éducatives» n'ont pas été dévoilés sur YouTube. Par conséquent, l'incident pourrait bien se reproduire. En octobre, Cody a
annoncé que seules les versions abrégées des publicités de Cyber Arms Lab seraient désormais publiées sur Null Byte. Les entrées complètes ne sont disponibles que sur le site Web
Null Byte . Selon l'auteur, c'est la seule façon de progresser.
Opinion de la communauté
Tim Erlin, vice-président de Tripwire, une société de solutions informatiques, a
déclaré que les intentions de l'administration de YouTube étaient méritoires, mais qu'en fin de compte, cela entravera la libre circulation des informations parmi les professionnels de la cybersécurité. Il pense qu'au contraire, vous devez parler davantage des méthodes de piratage et de phishing afin de préparer les gens et de compliquer le travail des attaquants. Dans ce cas, vous devez bloquer le contenu qui décrit les méthodes pratiques de piratage d'organisations spécifiques. Son argument était détenu par Cody Kinsey. Il dit qu'il sera plus difficile pour les experts en sécurité de l'information de transférer leurs connaissances à un large public.
/ Unsplash / Paul SiewertL'expert britannique en sécurité informatique Marcus Hutchins, qui a interrompu la distribution du cheval de Troie rançongiciel WannaCry en 2017, est convaincu que la formation de vidéos de hackers sur YouTube est utile. Et ils attirent de jeunes professionnels vers l'industrie de la sécurité de l'information.
De plus, les experts de l'IB remettent en question l'expertise des employés de YouTube qui prennent des décisions sur le blocage des enregistrements vidéo. Chris Abou-Chabke, le fondateur de Black Hat Ethical Hacking, explique que les personnes qui n'ont aucune expérience en sécurité de l'information sont responsables de la suppression du contenu. Ils ne sont pas en mesure de distinguer le piratage éducatif du non-pédagogique. Pour l'algorithme automatisé, cette tâche n'est également pas encore à portée de main. Chris était personnellement dans une telle situation - en 2015, YouTube a supprimé deux de ses vidéos démontrant les principes des attaques DDoS.
On espère qu'à l'avenir, les algorithmes d'hébergement vidéo intelligents deviendront suffisamment intelligents pour distinguer une vidéo d'une autre et exclure le facteur humain. Dale Ruane, le propriétaire de la chaîne
DemmSec ,
dit que jusqu'à cette fois, il est préférable de ne pas inclure de balises provocantes comme «comment casser le Wi-Fi d'un voisin» dans le titre de la vidéo.
Ce que nous écrivons sur le blog d'entreprise de VAS Experts: