Рик Мой не любит нечестных боев. Хакерам, считает он, достаточно одного слабого места, чтобы взломать корпоративную или правительственную сеть, а хорошим парням приходится скрупулезно проверять и ставить заплатку на каждую из тысяч потенциальных дыр в системе.
Службы безопасности часто устраивают имитации нападений, так называемые испытания на проникновение, чтобы найти слабые места. Но если испытывать каждое из них, потребуется написать несколько тысяч эксплойтов — программ для взлома уязвимых систем. А настоящему нападающему нужно написать лишь один.
Поэтому Мой, президент компании NSS Labs, хочет уравнять шансы сторон при помощи закона спроса и предложения. В октябре его исследовательская фирма планирует запустить онлайн-платформу, которая позволит исследователям и службам IT-безопасности покупать и продавать эксплойты на открытом рынке под названием Exploit Hub. Желающие смогут выкладывать техники взлома, назначать цену и продавать свою работу, которая до сих пор приносила доходы только на черном рынке. А службы безопасности смогут использовать эти программки взлома, чтобы находить уязвимости в собственных сетях.
«Это как iPhone App Store для эксплойтов, — говорит Мой. — Так мы сможем получать выгоду от работы всех этих программистов, а заодно дадим им возможность получать деньги за свой труд».
Но есть и сложность: как не дать Exploit Hub превратиться в удобный ресурс для взлома компьютерных систем. Мой говорит, что в NSS будут тщательно отбирать клиентов и работать только с известными компаниями и агентствами, а также использовать ключи шифрования, чтобы убедиться в истинности покупателя. Важно и то, что на этом рынке будут представлены эксплойты только для известных уязвимостей, а не так называемые эксплойты zero day — новые атаки, против которых еще не было выпущено средств. Цель Моя состоит в том, чтобы помочь компаниям найти устранимые погрешности, а не продемонстрировать нападение, против которого они беззащитны.
NSS не станет первой компанией, продающей цифровое оружие экспертам по безопасности. Но самые большие коллекции, доступные в настоящий момент на Core Security Technologies, Immunity и сайте открытого проекта Metasploit, содержат эксплойты менее чем для 10% от 14 000 уязвимостей, официально выявленных в информационных системах за последние пять лет.
Мой считает, что такая рыночная модель послужит стимулом для благонадежных хакеров, чтобы они создавали полномасштабные арсеналы для взламывания систем, и — если компании будут покупать эксплойты большими объемами — даст исследователям новый значительный источник дохода. NSS будет получать 30% от суммы продаж и в обмен на это будет проводить необходимые исследования, чтобы гарантировать покупателям, что купленные коды будут работать, а продавцам — что их инструменты для взлома не уйдут к киберпреступникам или иностранным правительствам.
Марио Сибаллос, разработчик эксплойтов и испытатель в службе безопасности Northrop Grumman, согласен на такую сделку. «Если они все сделают правильно, такие парни, как я, смогут выкладывать туда свои программки и зарабатывать деньги», — говорит он.
Может показаться, что уязвимости в системе безопасности, на которые уже выпущены доступные заплатки, не являются такой уж серьезной проблемой. Но запутанность установки и легкомысленное отношение к безопасности порой приводят к тому, что давно выявленные слабые места остаются неисправленными. Прошлогоднее исследование фирмы Qualys, занимающейся компьютерной безопасностью, показало, что половина пользователей таких распространенных приложений, как Adobe Flash или Java, не установили патчи, выпущенные три месяца назад. Часто это связано с тем, что для установки обновлений требуется ценное время и что в процессе порой возникают непредсказуемые ошибки.
Маркус Ранум, начальник по информационным технологиям в Tenable Security, скептически относится к плану Моя, но согласен, что новая система сможет продемонстрировать компаниям важность отлаживания систем безопасности. «Я видел, как управляющие говорили, что не верят в атаки, пока им не покажешь, — говорит он. — Вообще-то я не очень одобряю идею продавать эксплойты. Но учитывая безответственность, царящую в индустрии, это может сработать».