|
Продажа эксплоитов поможет компаниям проверить их системы безопасности, но
подходит ли для этой цели свободный рынок?
В течение десяти лет исследователи в области информационной безопасности
имели возможность
заработать деньги на продаже подробностей важных уязвимостей к платным
программам: сперва в Vulnerability Contributor Program, запущенной iDefense
в 2002 году, затем в TippingPoint Zero Day Initiative, которая начала свою
работу в 2005 году.
Эту модель расширила, компания NSS Labs, специализирующаяся на исследованиях
в области информационной безопасности и тестировании, запустившая ExploitHub,
модель магазина, в котором продаются коды эксплоитов к известным уязвимостям.
Заранее одобренные покупатели могут посетить магазин и заплатить от $50 до $1000
за готовый эксплоит.
Однако, разнообразием выставленные на продажу эксплоиты не страдают. Обзор
ExploitHub показывает, что там продаются коды, с помощью которых атакуются
Oracle, Novell и несколько уязвимостей Windows. NSS Labs надеется изменить эту
ситуацию: на прошлой неделе компания представила систему голосования для
покупателей для того, чтобы распределить уязвимости по уровню интереса к ним, а
также систему денежного вознаграждения за опубликование эксплоитов к
уязвимостям. Компания
планирует выплачивать от $200 до $500 за рабочие атаки, направленные на
конкретные уязвимости в Internet Explorer и Adobe Flash.
"Получая эксплоиты, пользующиеся большим спросом, защитники получают
наилучшее обслуживание", - сказал Рик Мой, генеральный директор компании NSS
Labs.
"У плохих парней есть возможность создавать эти эксплоиты и злонамеренно
использовать их" ,- рассказывает он. "Но хорошие парни не имеют даже доступа к
этим эксплоитам, поэтому они не могут проверить свои системы безопасности чтобы
понять, работают они, или нет".
Хотя сейчас приоритетная цель — поиск ранее неизвестных и неисправленных
уязвимостей, компаниям также нужно тестировать их системы безопасности на уже
известные уязвимости. Большинство фирм тормозит применение патчей и, чтобы быть
уверенными в том, что их система находится в безопасности, им нужно иметь
возможность блокировать взлом их программного обеспечения.
Продавая эксплоиты к известным уязвимостям, ExploitHub помогает специалистам
в области информационной безопасности и тестерам, проверяющим системы
безопасности, и это стимулирует производителей программного обеспечения на
выпуск патчей для важных уязвимостей, говорит Марк Майфрет, главный технический
директор eEye Digital Security — фирмы специализирующейся на сетевой и
проактивной поведенческой безопасности.
"Я думаю, мы сможем сделать больше стимулируя людей на исследование
уязвимостей и предоставляя отчеты об исследованиях производителям вместо того,
чтобы продавать их каким-то плохим парням", - сказал он.
ExploitHub предлагает еще одну альтернативу для исследователей. Они
предлагают законно продать свои услуги по кодингу, хотя пока это не так
прибыльно, как продажа оригинальных уязвимостей, которые обычно оцениваются в
сумму от $1000 до $5000 за важный изъян в программе.
"Появится масса людей, которые захотят написать эксплоиты, и они не смогут
получить работу в фирмах, специализирующихся в тестах на проникновение", -
полагает Томас Кристенсен, директор по безопасности фирмы Secunia,
специализирующейся на управлении уязвимостями. "Это и будет ниша ExploitHub".
Рик Мой из NSS Labs указывает на то, что от 15 000 до 17 000 критических
уязвимостей, найденных за последние пять лет — это огромные возможности как для
атакующих, так и для кодеров, которые хотят помочь специалистам в области
информационной безопасности лучше делать свою работу. Основные инструменты для
тестирования на проникновение - Immunity Canvas, Core Security Core Impact и
Metasploit - содержат эксплоиты примерно для 1000 уязвимостей. Этот разрыв в
количестве уязвимостей дает отличные возможности, считает Мой.
"Все, что касается zero-day это сексуально и горячо... это все хорошо, но в
общей картине информационной безопасности, проблема нулевого дня - всего лишь
небольшая часть", - говорит он.
И все же eEye держится на плаву не только за счет продажи уязвимостей,
которые не являются уязвимостями "нулевого дня", говорит Майфрет.
"Кого волнует, что у вас есть эксплоит к уже известной уязвимости?", -
продолжает он. "Если ваша компания использует только эксплоиты к уже известным
уязвимостям, ваша служба информационной безопасности не выполняет свою работу".
|
, 
