Наверх
8 декабря 2019
USD EUR
Погода
Без рубрики

Архивная публикация 2005 года: "ОТ ЧЕРНОГО РЫНКА К СВОБОДНОМУ"

Борцы за компьютерную безопасность готовы покупать данные о брешах в программном обеспечении у тех самых хакеров, с которыми воюютУ РОССИЙСКОГО ХАКЕРА с ником Бит есть кое-что на продажу. Ему удалось найти слабое место в браузере Internet Explorer компании Microsoft Corp. и понять, как этим можно воспользоваться. Бит предлагает свой товар на подпольном чате, облюбованном создателями вирусов. «Продаю zero-day exploit на Internet Explorer», — гласило объявление, размещенное на http://forum.web-hack.ru 16 июля. Цена? $300. (Zero-day exploit — брешь в программе, для которой еще нет «заплатки». — «Профиль».)

Торговых площадок в распоряжении Бита масса. Web-hack.ru — лишь один из множества подпольных рынков уязвимых мест в программном обеспечении, которые злоумышленники используют в своих целях. Как говорят специалисты по вопросам компьютерной безопасности, организованная преступность дорого платит за информацию, позволяющую взламывать корпоративные базы или присваивать личные данные граждан. А уж недостатка в ней нет. Как и Бит, сотни хакеров продают на web-hack.ru свои знания об уязвимых местах разных операционных систем, от Microsoft Windows XP до Symbian, установленной на миллионах мобильников.

ПЛАТА РЭКЕТИРАМ?

И ВОТ — НОВЫЙ ПОВОРОТ. Некоторые фирмы, специализирующиеся на компьютерной безопасности, создают легальные рынки хакерских разведданных и готовы покупать их у тех самых людей, с которыми ведут борьбу. Действия таких компаний неоднозначны, поскольку таким образом хакеры получают вознаграждение за то, что обнаруживают дыры в программном обеспечении, а людям вне компьютерного сообщества приходится платить своеобразную дань компьютерным рэкетирам. Эксперты же по компьютерной безопасности этих фирм убеждены, что рыночный подход позволит получать жизненно важную информацию, благодаря которой они могут значительно повысить степень защищенности своих клиентов.

Компания TippingPoint запускает собственный рынок компьютерных дыр под названием Zero Day Initiative (ZDI). Для хакеров термин zero day означает брешь в программном обеспечении, которой можно воспользоваться в своих интересах и о существовании которой разработчики пока не подозревают, почему и «залатать» не успели. Среди прочего в рамках нового проекта TippingPoint предусматривает систему поощрений, которую можно сравнить с льготами, предоставляемыми авиакомпаниями часто летающим пассажирам. Те, кто регулярно сообщает о дырах, могут рассчитывать на бонусы в размере до $20 000. «Если информация поступает от человека, который при другом раскладе продал бы ее на черном рынке, это здорово, — считает Марк Виллебеек-ЛеМэр (Marc Willebeek-LeMair), главный технолог 3Com Corp., которой принадлежит TippingPoint. — Это схема завтрашнего дня».

Технологическая отрасль снова пытается найти общий язык с хакерами, в частности, именно на это направлено и создание легальных рынков хакерской информации. Ведь одними только технологическими инструментами перекрыть все нарастающий поток компьютерных вирусов, взломов сайтов и Интернет-мошенничества невозможно. Вот заинтересованные компании и пытаются навести мосты в мир хакеров. Их задача — заручиться поддержкой ответственных хакеров, так называемых белых шляп, отбиться от злонамеренных «черных шляп» и привлечь на свою сторону колеблющихся. «Чтобы в определенной мере противостоять атакам хакеров, действительно важно понимать тех, кто стучит по клавишам, щелкает мышкой и пишет коды», — говорит Дэниэл Ларкин (Daniel J. Larkin), руководитель фэбээровского Центра приема заявлений об Интернет-преступлениях.

Всю важность хороших отношений с хакерским сообществом продемонстрировала неприятнейшая история, в которую попала Cisco Systems Inc. на конференции «черных шляп» в Лас-Вегасе — ежегодном собрании хакеров и специалистов по безопасности, которая прошла 27 июля. Компьютерщик Майкл Линн (Michael Lynn) планировал представить на конференции слабые места операционной системы Cisco, чтобы тем самым помочь своим клиентам усовершенствовать защиту. Но Cisco и работодатель Майкла Линна, фирма Internet Security Systems Inc., договорились, что доклада не будет. Линн уволился из Internet Security Systems Inc. и все-таки выступил на конференции. Уже на другой день Cisco подала на него всуд, потребовав, чтобы он назвал имена «всех, кому он раскрыл, продал или предложил купить любые коды Cisco или иные уязвимые места программного обеспечения компании».

Конфликт расценили как объявление войны хакерам. «Это уж слишком, теперь хакерская братия на них очень зла», — отмечает пользующийся не лучшей славой компьютерщик Кевин Митник (Kevin D. Mitnick): за хакерство он побывал за решеткой, апотом создал собственное консалтинговое агентство по компьютерной безопасности. С тех пор как Cisco подала этот иск, по словам знающих людей, над взломом программного обеспечения этой компании трудится целая армия программистов. В самой Cisco заявляют, что пересматривают свою политику лишь эпизодических контактов с хакерами. «В компании обсуждается, что еще можно предпринять помимо того, что мы уже делаем», — говорит Роберт Глейхауф (Robert Gleichauf), главный технолог группы безопасности технологий Cisco. Связаться с Майклом Линном и получить его комментарий не удалось.

Microsoft, возможно, ударяется в другую крайность. Из-за привилегированного положения Windows на рынке и привычки задирать конкурентов Microsoft всегда была любимой мишенью хакеров, к которым, в свою очередь, сама компания относилась пренебрежительно. Зато сейчас Microsoft активно налаживает отношения с представителями этого сообщества. На той же самой конференции в Лас-Вегасе, где Cisco инициировала публичный скандал, Microsoft устроила вечеринку в Pure, фешенебельном ночном клубе в Caesars Palace, пригласив более 450 специалистов по безопасности и некоторых хакеров. «Можно исходить желчью, а можно исходить из того, что все эти люди очень и очень озабочены проблемами компьютерной безопасности, — считает директор по вопросам безопасности в Microsoft Кевин Кин (Kevin Kean). — Вечеринка — искренняя попытка сближения».

ОБАЯТЬ И КОНТРОЛИРОВАТЬ

«БАРХАТНОЕ» наступление Microsoft этим не исчерпывается. В марте эта редмондская (штат Вашингтон) компания устроила двухдневный «саммит «синих шляп» (намек на синий логотип Microsoft). Хакеры получили возможность пообщаться с высшим руководством, например с повелителем Windows Джеймсом Оллчином (James E. Allchin). Следующая встреча запланирована на октябрь.

Похоже, что избранная отраслью тактика действительно помогает достичь некоторых по ставленных целей. Дэн Камински, 26-летний хакер по хакеров— призванию, который из участников Сиэтла руководит собст венной фирмой по компьютерной безопасности DoxPara Research, говорит, что компании наподобие Microsoft обычно сторонились его и его приятелей-хакеров. Но в марте Камински пригласили выступить на «саммите «синих шляп». Итеперь он увлечен проектом ZDI. По его словам, среди хакеров только и разговоров, что благодаря проекту из темных закоулков Интернета на белый свет будут вытащены самые опасные коды. «Лучший способ решения поставленной хакерами задачки — знать, как именно она написана,— говорит Камински.— Надо загнать их создателей в определенные рамки».

Разрабатывая проект ZDI, TippingPoint постаралась продумать все. Чтобы исключить участие в ней корыстных хакеров, компания требует от всех участников, чтобы они называли свои имена, предоставляли фотографии, и проводит дополнительную проверку. Компания также оплачивает данные об уязвимых местах через Western Union Financial Services Inc. или банковские — не онлайновые — переводы, чтобы личность получателя нельзя было замаскировать.

ДЫРЫ ЗАКРЫВАЮТСЯ

ПРОЕКТ ZDI в чем-то подобен программам авиакомпаний для часто летающих пассажиров. Есть четыре уровня привилегий: бронзовая, серебряная, золотая и платиновая. Платиновый уровень означает, что помимо бонуса в $20 000 за каждое слабое место в программе, выявленное в текущем году, хакер получает втрое больше очков. На вечеринке в связи с запуском ZDI присутствовали 750 человек. «В воздухе носится множество идей, — говорит Виллебеек-ЛеМэр из 3Com. — Создав специальную программу, мы сможем сделать так, чтобы все они нашли правильное применение».

По предварительным данным, подобные рынки могут давать определенные результаты. По информации компании iDEFENSE из Рестона (штат Виргиния), которая в 2002 году первой начала платить за дыры, по состоянию на данный момент, 200 хакеров из 30 стран сообщили о 1100 уязвимых местах. Получается по 350 в год. В прошлом году, по данным пользующегося поддержкой властей Computer Emergency Response Team (CERT) при Carnegie Mellon University, было выявлено всего 3780 вирусов. iDefense заявляет: она не будет работать с хакерами, если ей станет известно, что они нанесли какой-то ущерб.

Владимир Дубровин — из числа «перековавшихся». Сообщив технологическим компаниям о слабых местах программ, этот российский гуру компьютерной безопасности размещает информацию о них на собственном сайте. Теперь в качестве участника программы iDEFENSE «Деньги в обмен на информацию» он получает плату за свою работу — и не сообщает сведения о дырах хакерской братии. «Деньги за то, что с помощью ваших данных были внесены изменения в компьютерные программы, ничуть не хуже любых других денег», — считает он.

И все же практика выкупа сведений о брешах, по мнению многих, дурно пахнет. По их мнению, она может привести к тому, что все больше «черных шляп» решат подзаработать и тогда дыры в программном обеспечении станут выявляться быстрее, чем компании будут их «латать». При худшем варианте развития событий хакеры могут двурушничать, собирая информацию об уязвимых местах для противоправного использования и одновременно сообщая о некоторых дырах фирмам. «Любой компании стоит хорошенько подумать, если она намерена платить людям, которые, как ей известно, пытаются сделать что-то плохое, — говорит Джин Ходжес (Gene Hodges), президент McAfee Inc., производителя защитного софта. — Я считаю такой подход неверным при любых обстоятельствах: компаниям, проводящим эту политику, надо ее пересмотреть».

При участии Джея Грина (Jay Greene), Сиэтл, и Сары Лэйси (Sarah Lacy), Сан-Матео (штат Калифорния). — BusinessWeek

Больше интересного на канале: Дзен-Профиль
Скачайте мобильное приложение и читайте журнал "Профиль" бесплатно:
Самое читаемое

Зарегистрируйтесь, чтобы получить возможность скачивания номеров

Войти через VK Войти через Google Войти через OK