Биржа труда для взломщиков | Forbes.ru
сюжеты
$56.68
69.52
ММВБ2286.33
BRENT68.73
RTS1270.92
GOLD1331.99

Биржа труда для взломщиков

читайте также
+10 просмотров за суткиЗаплатка для процессора. Защита от кибератак может замедлить работу компьютеров На радость хакеру. Самые показательные киберинциденты 2017 года Превентивная защита. Как найти универсальный способ защиты от хакеров +17 просмотров за суткиХакеры попались. Европол арестовал в Румынии вымогателей биткоинов +14 просмотров за суткиРобот-хакер. Как применять искусственный интеллект в кибербезопасности +2 просмотров за суткиНайти и обезвредить: как «Лаборатория Касперского» судится с властями США +6 просмотров за суткиМобильный криптосейф: как защитить биткоины от хакеров +6 просмотров за суткиИнтервью хакера: «Взломать можно кого угодно» Facebook и Instagram научат пользователей отличать «российскую пропаганду» Uber пытался скрыть атаку хакеров, укравших данные 57 млн клиентов и водителей «Сладкая» приманка для хакеров Банки под угрозой: новый вирус Silence атаковал финансовые организации России, Армении и Малайзии Сговор против США. Экс-главу штаба Трампа обвинили в отмывании $18 млн и лоббировании интересов Украины Проверка на прочность: зачем создатели вируса BadRabbit атаковали СМИ и банки +2 просмотров за суткиОпасный Wi-Fi. Как защитить компьютеры и телефоны от взлома Неуловимые хакеры: российских специалистов обвиняют в краже программ для кибершпионажа АНБ Новостной майнинг: сфера криптовалют стала усердным генератором событий +10 просмотров за суткиУтечка эфира: как хакеры одним махом похитили криптовалюту на $32 млн Продавец секретов: лидер хакерской группы «Шалтай Болтай» получил два года колонии Беспощадный Petya: от вируса-вымогателя пострадали компьютеры «Газпрома» Заразная бухгалтерия: источником распространения вируса Petya назвали украинское ПО

Биржа труда для взломщиков

Энди Гринберг Forbes Contributor
Как избавиться от хакеров? Нужно разрешить им работать легально

Рик Мой не любит нечестных боев. Хакерам, считает он, достаточно одного слабого места, чтобы взломать корпоративную или правительственную сеть, а хорошим парням приходится скрупулезно проверять и ставить заплатку на каждую из тысяч потенциальных дыр в системе.

Службы безопасности часто устраивают имитации нападений, так называемые испытания на проникновение, чтобы найти слабые места. Но если испытывать каждое из них, потребуется написать несколько тысяч эксплойтов — программ для взлома уязвимых систем. А настоящему нападающему нужно написать лишь один.

Поэтому Мой, президент компании NSS Labs, хочет уравнять шансы сторон при помощи закона спроса и предложения. В октябре его исследовательская фирма планирует запустить онлайн-платформу, которая позволит исследователям и службам IT-безопасности покупать и продавать эксплойты на открытом рынке под названием Exploit Hub. Желающие смогут выкладывать техники взлома, назначать цену и продавать свою работу, которая до сих пор приносила доходы только на черном рынке. А службы безопасности смогут использовать эти программки взлома, чтобы находить уязвимости в собственных сетях.

«Это как iPhone App Store для эксплойтов, — говорит Мой. — Так мы сможем получать выгоду от работы всех этих программистов, а заодно дадим им возможность получать деньги за свой труд».

Но есть и сложность: как не дать Exploit Hub превратиться в удобный ресурс для взлома компьютерных систем. Мой говорит, что в NSS будут тщательно отбирать клиентов и работать только с известными компаниями и агентствами, а также использовать ключи шифрования, чтобы убедиться в истинности покупателя. Важно и то, что на этом рынке будут представлены эксплойты только для известных уязвимостей, а не так называемые эксплойты zero day — новые атаки, против которых еще не было выпущено средств. Цель Моя состоит в том, чтобы помочь компаниям найти устранимые погрешности, а не продемонстрировать нападение, против которого они беззащитны.

NSS не станет первой компанией, продающей цифровое оружие экспертам по безопасности. Но самые большие коллекции, доступные в настоящий момент на Core Security Technologies, Immunity и сайте открытого проекта Metasploit, содержат эксплойты менее чем для 10% от 14 000 уязвимостей, официально выявленных в информационных системах за последние пять лет.

Мой считает, что такая рыночная модель послужит стимулом для благонадежных хакеров, чтобы они создавали полномасштабные арсеналы для взламывания систем, и — если компании будут покупать эксплойты большими объемами — даст исследователям новый значительный источник дохода. NSS будет получать 30% от суммы продаж и в обмен на это будет проводить необходимые исследования, чтобы гарантировать покупателям, что купленные коды будут работать, а продавцам — что их инструменты для взлома не уйдут к киберпреступникам или иностранным правительствам.

Марио Сибаллос, разработчик эксплойтов и испытатель в службе безопасности Northrop Grumman, согласен на такую сделку. «Если они все сделают правильно, такие парни, как я, смогут выкладывать туда свои программки и зарабатывать деньги», — говорит он.

Может показаться, что уязвимости в системе безопасности, на которые уже выпущены доступные заплатки, не являются такой уж серьезной проблемой. Но запутанность установки и легкомысленное отношение к безопасности порой приводят к тому, что давно выявленные слабые места остаются неисправленными. Прошлогоднее исследование фирмы Qualys, занимающейся компьютерной безопасностью, показало, что половина пользователей таких распространенных приложений, как Adobe Flash или Java, не установили патчи, выпущенные три месяца назад. Часто это связано с тем, что для установки обновлений требуется ценное время и что в процессе порой возникают непредсказуемые ошибки.

Маркус Ранум, начальник по информационным технологиям в Tenable Security, скептически относится к плану Моя, но согласен, что новая система сможет продемонстрировать компаниям важность отлаживания систем безопасности. «Я видел, как управляющие говорили, что не верят в атаки, пока им не покажешь, — говорит он. — Вообще-то я не очень одобряю идею продавать эксплойты. Но учитывая безответственность, царящую в индустрии, это может сработать».

Закрыть
Уведомление в браузере
Будь в курсе самого главного.
Новости и идеи для бизнеса -
не чаще двух раз в день.
Подписаться