Компьютерра - Журнал Компьютерра №710

Еще один вариант: "брокеры уязвимостей" - здесь речь идет о компаниях, скупающих информацию о дырах в безопасности для ее перепродажи "хорошим людям" (вендорам ПО, корпоративным пользователям и т. д.). Такие компании существуют - например, iDefense, TippingPoint, Digital Armaments и др. С точки зрения общественной пользы, этот подход тоже далек от идеала - потому, в частности, что не сообщает никакой информации (о ценах уязвимостей и надежности продуктов) широкой публике. К тому же он вызывает соблазн у "плохих людей" (преступности) получить доступ к упомянутой информации.

Еще один вариант рынка - "exploit derivatives" (мне не удалось подобрать хорошего перевода этого термина). Суть его в том, что торговля на рынке происходит не самими эксплойтами и информацией об уязвимостях, а обязательствами выплатить определенную фиксированную сумму при наступлении того или иного события - например, обнаружения (или необнаружения) уязвимости какого-то конкретного продукта в конкретный момент времени. В этом случае стоимость подобных обязательств будет указывать на предполагаемую надежность продукта.

Так, производитель ПО, уверенный в своем продукте, может активно покупать контракты, по которым производятся выплаты, если уязвимость не будет обнаружена, - тем самым поднимая стоимость контракта практически до номинала. Аналогичным образом исследователь, обнаруживший уязвимость в продукте, считавшимся безопасным, может скупить контракты, выплаты по которым производятся в случае обнаружения уязвимости, а потом раскрыть свою информацию и продать контракты по более выгодной цене.

Наконец, Бёме рассматривает страхование - которое, обладая многими достоинствами, слабо распространено по разным техническим причинам.

Однако, несмотря на неплохую теоретическую проработку этого вопроса, легально продать найденный эксплойт сейчас непросто. Чарли Миллер пишет о своем опыте участия в легальном рынке уязвимостей и перечисляет связанные с ним проблемы: быстрое и неожиданное устаревание и обесценивание информации, отсутствие прозрачности в ценах, сложность поиска и проверки надежности покупателя, трудность доказательства обладания эксплойтом без раскрытия важной информации о нем.

Из двух попыток продажи уязвимостей Миллеру удалась лишь одна - да и та благодаря личным связям. Таким образом, можно заключить, что эффективного легального рынка в данный момент не существует.

Кроме упомянутых в статье, есть и другие причины, вследствие которых производителю софта (и информационных систем вообще) невыгодно заниматься его безопасностью. Андерсон выделяет, например, стремление как можно быстрее захватить рынок и "замкнуть" на себе пользователей с помощью проприетарных технологий. Здесь работает так называемый закон Меткалфа (полезность продукта пропорциональна числу его пользователей), хорошо проявивший себя в ситуации с пакетом MS Office: даже сейчас, несмотря на усилия по распространению открытых стандартов для офиса, старые бинарные форматы файлов (doc, xls) остаются стандартом де-факто в документообороте и замыкают пользователей на продукты Microsoft. В этой ситуации разработчики платформы (например, Windows) должны на этапе захвата рынка как можно больше упростить жизнь разработчикам стороннего софта - а значит, не могут обременять их заботой о безопасности. "Мы доставим товар в этот вторник, но сделаем все как надо только к третьей версии - идеально рациональное поведение в условиях многих рынков", - пишет Андерсон - и именно это мы наблюдаем в попытках радикально улучшить безопасность Windows Vista.

Исследование вопросов информационной безопасности давно вышло за рамки интересов технических специалистов и довольно активно исследуется представителями гуманитарных дисциплин - в первую очередь экономистами. Возможно, ключ к нашей безопасности лежит именно в этих исследованиях, а не в еще более быстром обновлении антивирусных баз и даже не в хитрых технологиях, против которых обязательно найдутся соответствующие технологии у другой, враждебной стороны.

[1] Don Jackson/SecureWorks, "Gozi Trojan"(технический отчет).

[2] Scott Berinato/CIO, " Who’s Stealing Your Passwords? Global Hackers Create a New Online Crime Economy".

[3] Ross Anderson, " Why Information Security is Hard - An Economic Perspective".

[4] Ross Anderson, Tyler Moore, "Information Securty Economics - and Beyond". Там же.

[5] Rainer Bцhme, " Vulnerability Markets: What is the economic value of a zero-day exploit?".

[6] Charlie Miller, " The Legitimate Vulnerability Market: Inside the Secretive World of 0-day Exploit Sales".

Автор: Киви Берд

Вряд ли хоть кто-то, пребывая в здравом рассудке, станет отрицать, что учиться на своих ошибках - это признак ума. Признак же мудрости - способность учиться на ошибках других. Однако Эд Фелтен, профессор Принстона и видный специалист по защите информации, недавно отметил, что специалисты по компьютерной безопасности, увы, регулярно демонстрируют неспособность учиться на ошибках - как чужих, так и собственных. То ли старательно скрывают уже допущенные промахи, то ли притворяются, будто их просто не существует.

8/12

В самую популярную в мире многопользовательскую онлайновую игру World of Warcraft, по состоянию на лето 2007 года, играли 8 млн. человек, каждый из которых платит за право участия в ней 14 долларов в месяц. По оценкам аналитиков, к 2009 году игровой рынок достигнет 12 млрд. долларов.

Сформулированная Фелтеном идея, конечно же, не была внезапным откровением. О неблагоприятном положении дел с компьютерной безопасностью прекрасно осведомлены все эксперты и даже многие несведущие в этой области люди. Постоянно прилагаются усилия, чтобы переломить унылую тенденцию и перестать, наконец, наступать на одни и те же грабли. Частью этой работы стала новая книга американских авторов Грега Хоглунда и Гэри Макгроу "Эксплуатация онлайновых игр: жульничество в массивно-распределенных системах"["Exploiting Online Ga-mes: Cheating Massively Distributed Systems" by Greg Hoglund and Gary McGraw, Addison-Wesley Professional, 2007, www.exploitingonline-games.com.]. В книге подробно рассказывается о промахах, допускаемых игровыми компаниями, и о последствиях этих промахов. Фирмам, разрабатывающим компьютерные игры, это издание поможет извлечь уроки из своих ошибок, да и из ошибок коллег по индустрии. По этой книге можно научиться заранее замечать ловушки, подстерегающие разработчика, - и избегать их.

Волею судьбы выход книги совпал по времени с большущим интернет-скандалом вокруг популярного онлайнового казино AbsolutePoker.com (См. заметку "Абсолютная афера" в КТ #708 - Прим. ред.). Завсегдатаи этого сайта - заядлые картежники - вдруг стали замечать, что некоторые игроки демонстрируют поистине сверхъестественные способности. Своими точными ходами, умелыми ставками и регулярными крупными выигрышами эти счастливчики попирали все законы теории вероятностей, словно видя карты соперников насквозь. Администрация сайта-казино, следуя традиции, ни в какую не признавала очевидные факты жульничества и категорически не желала проводить расследование. Тогда за дело взялись сами посетители сайта. Они собрали массу информации, документально подтверждающей мошенничество, которое стало возможным вследствие слабостей программного обеспечения. Улики, изобличившие одного из технических сотрудников казино, оказались столь вескими, что компания была вынуждена официально извиниться и привлечь к судебной ответственности собственные кадры.