02.11.2010 23:00

Биржа труда для взломщиков

Энди Гринберг Forbes Contributor
Как избавиться от хакеров? Надо разрешить им работать легально

Рик Мой не любит нечестных боев. Хакерам, считает он, достаточно одного слабого места, чтобы взломать корпоративную или правительственную сеть, а «хорошим парням» приходится скрупулезно проверять и ставить заплатку на каждую из тысяч потенциальных дыр в системе.

Службы безопасности часто устраивают имитации нападений, так называемые испытания на проникновение, чтобы найти слабые места. Но если испытывать каждое из них, потребуется написать несколько тысяч эксплойтов — программ для взлома уязвимых систем. А настоящему нападающему нужно написать лишь один.

Поэтому Мой, президент компании NSS Labs, хочет уравнять шансы сторон при помощи закона спроса и предложения. В октябре его исследовательская фирма планирует запустить онлайн-платформу Exploit Hub, которая позволит исследователям и службам IT-безопасности покупать и продавать эксплойты на открытом рынке. Желающие смогут выкладывать техники взлома, назначать цену и продавать свою работу, которая до сих пор приносила доходы только на черном рынке. А службы безопасности смогут использовать эти программки взлома, чтобы находить уязвимости в собственных сетях.

«Это как iPhone App Store для эксплойтов, — говорит Мой. — Так мы сможем получать выгоду от работы всех этих программистов, а заодно дадим им возможность получать деньги за свой труд».

Но есть и сложность: как не дать Exploit Hub превратиться в удобный ресурс для взлома компьютерных систем. Мой говорит, что в NSS будут тщательно отбирать клиентов и работать только с известными компаниями и агентствами, а также использовать ключи шифрования, чтобы убедиться в истинности покупателя. Важно и то, что на этом рынке будут представлены эксплойты только для известных уязвимостей, а не так называемые эксплойты zero day — новые атаки, против которых еще не было выпущено средств. Цель Моя состоит в том, чтобы помочь компаниям найти устранимые погрешности, а не продемонстрировать нападение, против которого они беззащитны.

NSS не станет первой компанией, продающей цифровое оружие экспертам по безопасности. Но самые большие коллекции, доступные в настоящий момент на Core Security Technologies, Immunity и сайте открытого проекта Metasploit, содержат эксплойты менее чем для 10% от 14 000 уязвимостей, официально выявленных в информационных системах за последние пять лет.

Мой считает, что такая рыночная модель послужит стимулом для благонадежных хакеров, чтобы они создавали полномасштабные арсеналы для взламывания систем, и — если компании будут покупать эксплойты большими объемами — даст исследователям новый значительный источник дохода. NSS будет получать 30% от суммы продаж и в обмен на это проводить необходимые исследования, гарантируя покупателям, что купленные коды будут работать, а продавцам — что их инструменты для взлома не уйдут к киберпреступникам.

Марио Сибаллос, разработчик эксплойтов и испытатель в службе безопасности Northrop Grumman, согласен на такую сделку. «Если они все сделают правильно, такие парни, как я, смогут выкладывать туда свои программки и зарабатывать деньги», — говорит он.

Может показаться, что уязвимости в системе безопасности, на которые уже выпущены доступные заплатки, не являются такой уж серьезной проблемой. Но запутанность установки и легкомысленное отношение к безопасности порой приводят к тому, что давно выявленные слабые места остаются неисправленными. Прошлогоднее исследование фирмы Qualys, занимающейся компьютерной безопасностью, показало, что половина пользователей таких распространенных приложений, как Adobe Flash или Java, не установили патчи, выпущенные три месяца назад.

Маркус Ранум, начальник по информационным технологиям в компании Tenable Security, скептически относится к плану Моя. Впрочем, он согласен, что новая система сможет продемонстрировать компаниям важность отлаживания систем безопасности. «Я видел, как управляющие утверждали, что не верят в атаки, пока им не покажешь, — говорит он. — Вообще-то я не очень одобряю идею продавать эксплойты. Но, учитывая безответственность, царящую в индустрии, это может сработать».

Новости партнеров