Журнал "Компьютерра" №710
Шрифт:
Райнер Бёме (Rainer Bцhme) рассматривает несколько типов рынков уязвимостей. "Баг-челленджи" (bug challenges) и "баг-аукционы" (bug auctions) относятся к самым простым и известным видам. Например, Дональд Кнут обещает выплачивать за каждую найденную ошибку в издательской системе TeX некоторую сумму, увеличивающуюся со временем. Аналогично Mozilla Foundation платит исследователям за уязвимости, найденные в браузере Firefox. В зависимости от заявленной цены исследователь может предпочесть продать уязвимость вендорам, вместо того чтобы использовать ее для создания эксплойта. Для этого, однако, цена должна быть достаточно большой и увеличиваться с ростом количества установок и внедрений.
"Несмотря на возможность денежного выражения
– Цена на этом рынке определяется покупателем (то есть вендором ПО.
– И.Щ.), а не является результатом договоренности". В результате она представляет собой только нижнюю оценку, и использовать ее затруднительно.
Еще один вариант: "брокеры уязвимостей" - здесь речь идет о компаниях, скупающих информацию о дырах в безопасности для ее перепродажи "хорошим людям" (вендорам ПО, корпоративным пользователям и т. д.). Такие компании существуют - например, iDefense, TippingPoint, Digital Armaments и др. С точки зрения общественной пользы, этот подход тоже далек от идеала - потому, в частности, что не сообщает никакой информации (о ценах уязвимостей и надежности продуктов) широкой публике. К тому же он вызывает соблазн у "плохих людей" (преступности) получить доступ к упомянутой информации.
Еще один вариант рынка - "exploit derivatives" (мне не удалось подобрать хорошего перевода этого термина). Суть его в том, что торговля на рынке происходит не самими эксплойтами и информацией об уязвимостях, а обязательствами выплатить определенную фиксированную сумму при наступлении того или иного события - например, обнаружения (или необнаружения) уязвимости какого-то конкретного продукта в конкретный момент времени. В этом случае стоимость подобных обязательств будет указывать на предполагаемую надежность продукта.
Так, производитель ПО, уверенный в своем продукте, может активно покупать контракты, по которым производятся выплаты, если уязвимость не будет обнаружена, - тем самым поднимая стоимость контракта практически до номинала. Аналогичным образом исследователь, обнаруживший уязвимость в продукте, считавшимся безопасным, может скупить контракты, выплаты по которым производятся в случае обнаружения уязвимости, а потом раскрыть свою информацию и продать контракты по более выгодной цене.
Наконец, Бёме рассматривает страхование - которое, обладая многими достоинствами, слабо распространено по разным техническим причинам.
Однако, несмотря на неплохую теоретическую проработку этого вопроса, легально продать найденный эксплойт сейчас непросто. Чарли Миллер пишет о своем опыте участия в легальном рынке уязвимостей и перечисляет связанные с ним проблемы: быстрое и неожиданное устаревание и обесценивание информации, отсутствие прозрачности в ценах, сложность поиска и проверки надежности покупателя, трудность доказательства обладания эксплойтом без раскрытия важной информации о нем.
Из двух попыток продажи уязвимостей Миллеру удалась лишь одна - да и та благодаря личным связям. Таким образом, можно заключить, что эффективного легального рынка в данный момент не существует.
Кроме упомянутых в статье, есть и другие причины, вследствие которых производителю софта (и информационных систем вообще) невыгодно заниматься его безопасностью. Андерсон выделяет, например, стремление как можно быстрее захватить рынок и "замкнуть" на себе пользователей с помощью проприетарных технологий. Здесь работает так называемый закон Меткалфа (полезность продукта пропорциональна числу его пользователей), хорошо проявивший себя в ситуации с пакетом MS Office: даже сейчас, несмотря на усилия по распространению открытых стандартов для офиса, старые бинарные форматы файлов (doc, xls)
Исследование вопросов информационной безопасности давно вышло за рамки интересов технических специалистов и довольно активно исследуется представителями гуманитарных дисциплин - в первую очередь экономистами. Возможно, ключ к нашей безопасности лежит именно в этих исследованиях, а не в еще более быстром обновлении антивирусных баз и даже не в хитрых технологиях, против которых обязательно найдутся соответствующие технологии у другой, враждебной стороны.
[1] Don Jackson/SecureWorks, "Gozi Trojan" (технический отчет).
[2] Scott Berinato/CIO, "Who’s Stealing Your Passwords? Global Hackers Create a New Online Crime Economy".
[3] Ross Anderson, "Why Information Security is Hard - An Economic Perspective".
[4] Ross Anderson, Tyler Moore, "Information Securty Economics - and Beyond". Там же.
[5] Rainer Bцhme, "Vulnerability Markets: What is the economic value of a zero-day exploit?".
[6] Charlie Miller, "The Legitimate Vulnerability Market: Inside the Secretive World of 0-day Exploit Sales".
книги: Недетские игры
Автор: Киви Берд
Вряд ли хоть кто-то, пребывая в здравом рассудке, станет отрицать, что учиться на своих ошибках - это признак ума. Признак же мудрости - способность учиться на ошибках других. Однако Эд Фелтен, профессор Принстона и видный специалист по защите информации, недавно отметил, что специалисты по компьютерной безопасности, увы, регулярно демонстрируют неспособность учиться на ошибках - как чужих, так и собственных. То ли старательно скрывают уже допущенные промахи, то ли притворяются, будто их просто не существует.
Сформулированная Фелтеном идея, конечно же, не была внезапным откровением. О неблагоприятном положении дел с компьютерной безопасностью прекрасно осведомлены все эксперты и даже многие несведущие в этой области люди. Постоянно прилагаются усилия, чтобы переломить унылую тенденцию и перестать, наконец, наступать на одни и те же грабли. Частью этой работы стала новая книга американских авторов Грега Хоглунда и Гэри Макгроу "Эксплуатация онлайновых игр: жульничество в массивно-распределенных системах"["Exploiting Online Ga-mes: Cheating Massively Distributed Systems" by Greg Hoglund and Gary McGraw, Addison-Wesley Professional, 2007, www.exploitingonline-games.com.]. В книге подробно рассказывается о промахах, допускаемых игровыми компаниями, и о последствиях этих промахов. Фирмам, разрабатывающим компьютерные игры, это издание поможет извлечь уроки из своих ошибок, да и из ошибок коллег по индустрии. По этой книге можно научиться заранее замечать ловушки, подстерегающие разработчика, - и избегать их.