“Proof-of-concept” to pojÄ™cie, które nieustannie przewija siÄ™ przez różne prezentacje i publikacje z dziedziny bezpieczeÅ„stwa IT. W dosÅ‚ownym tÅ‚umaczeniu znaczy ono mniej wiÄ™cej tyle, co “udowodnienie koncepcji” i polega na demonstracji sposobu, w jaki dane zagadnienie teoretyczne jest możliwe do zrealizowania. Innymi sÅ‚owy, najpierw budujemy teoriÄ™, później szukamy dowodów na jej poparcie, a nastÄ™pnie efekty naszej pracy przedstawiamy w formie praktycznej.

W odniesieniu do bezpieczeÅ„stwa komputerowego terminem "proof-of-concept" zazwyczaj okreÅ›la siÄ™ fragment kodu lub program, który wykorzystuje wczeÅ›niej nieznanÄ… metodÄ™, aby zÅ‚amać, bÄ…dź obejść pewne zabezpieczenia. Brzmi groźnie? Wszystko zależy od celu, w jakim taki program powstaje, od intencji twórcy. OczywiÅ›cie cyberprzestÄ™pcy Å‚amiÄ… zabezpieczenia w celach nielegalnych: dla zdobycia pieniÄ™dzy, informacji, zdalnej kontroli nad komputerem. Jednak ich dokonaÅ„ nikt nie okreÅ›la mianem "proof-of-concept". Szkodliwe programy nie powstajÄ… po to, by udowodnić, że coÅ› jest możliwe - one te możliwoÅ›ci po prostu wykorzystujÄ…, a im dÅ‚użej ich istnienie jest tajemnicÄ…, tym dÅ‚użej cyberprzestÄ™pca czerpie z nich zyski.

W odróżnieniu od szkodliwego oprogramowania, programy typu "proof-of-concept" tworzone przez badaczy z dziedziny bezpieczeÅ„stwa IT nie sÄ… wykorzystywane przez ich twórców do żadnych nielegalnych bÄ…dź szkodliwych celów. MajÄ… one sÅ‚użyć poszerzeniu wiedzy na temat dziaÅ‚ania mechanizmów zabezpieczeÅ„, poznaniu ich sÅ‚abych stron, a przede wszystkim naÅ›wietleniu metod, jakie mogÄ… zastosować cyberprzestÄ™pcy. DziÄ™ki takiemu podejÅ›ciu możliwa jest szybsza reakcja ze strony producentów oprogramowania, wydanie poprawek, ulepszenie bÄ…dź opracowanie nowych mechanizmów ochrony.

Jednak w niektórych sytuacjach niewinna idea dzielenia siÄ™ odkryciami "proof-of-concept" może również stwarzać niemaÅ‚e zagrożenie. Trzeba pamiÄ™tać, że wszelkie informacje na temat obchodzenia zabezpieczeÅ„ sÄ… delikatne i nie należy do nich dopuszczać osób nieodpowiednich. Czas miÄ™dzy opublikowaniem luki a wdrożeniem odpowiednich technologii chroniÄ…cych przed jej wykorzystaniem może zostać z powodzeniem zagospodarowany przez cyberprzestÄ™pców - wielu z nich tylko czeka na takie okazje. ZostawiajÄ…c "brudnÄ… robotÄ™" prawdziwym specjalistom, internetowi zÅ‚odzieje nieustannie przeszukujÄ… sieć pod kÄ…tem czegoÅ›, co mogli by bez zbÄ™dnego wysiÅ‚ku zaadaptować do wÅ‚asnych celów.

Tym bardziej dyskusyjna wiÄ™c wydaje siÄ™ kwestia umieszczania w Internecie kodu źródÅ‚owego exploitów czy rootkitów typu "proof-of-concept". Upublicznianie luki na specjalistycznych konferencjach bÄ…dź zamkniÄ™tych grupach dyskusyjnych to jedno - jawne pokazywanie sposobu na zÅ‚amanie zabezpieczeÅ„ wszystkim zainteresowanym to drugie.  Trzeba pamiÄ™tać, że w Å›rodowiskach zwiÄ…zanych z bezpieczeÅ„stwem IT dziaÅ‚ajÄ… nie tylko "biaÅ‚e kapelusze", a kod stworzony w dobrych intencjach może stanowić bardzo niebezpieczne narzÄ™dzie w rÄ™kach kogoÅ›, kto stoi po “ciemnej stronie mocy”.