Біржа праці для зломщиків

Як позбутися від хакерів ? Потрібно дозволити їм працювати легально

Рик Мій не любить нечесних боїв . Хакерам , вважає він , досить одного слабкого місця , щоб зламати корпоративну або урядову мережу , а хорошим хлопцям доводиться скрупульозно перевіряти і ставити латку на кожну з тисяч потенційних дірок в системі.

Служби безпеки часто влаштовують імітації нападів , так звані випробування на проникнення , щоб знайти слабкі місця. Але якщо випробовувати кожне з них , буде потрібно написати кілька тисяч експлойтів – програм для злому вразливих систем . А справжньому нападаючому потрібно написати лише один. 50 Тому Мій , президент компанії NSS Labs , хоче зрівняти шанси сторін за допомогою закону попиту і пропозиції . У жовтні його дослідницька фірма планує запустити онлайн- платформу , яка дозволить дослідникам і службам IT- безпеки купувати і продавати експлойти на відкритому ринку під назвою Exploit Hub . Бажаючі зможуть викладати техніки злому , призначати ціну і продавати свою роботу , яка до цих пір приносила доходи тільки на чорному ринку. А служби безпеки зможуть використовувати ці програмки злому , щоб знаходити уразливості у власних мережах.

« Це як iPhone App Store для експлойтів , – каже Мій . – Так ми зможемо отримувати вигоду від роботи всіх цих програмістів , а заодно дамо їм можливість отримувати гроші за свою працю ».

Але є і складність : як не дати Exploit Hub перетворитися в зручний ресурс для злому комп’ютерних систем. Мій каже , що в NSS будуть ретельно відбирати клієнтів і працювати тільки з відомими компаніями та агентствами , а також використовувати ключі шифрування , щоб переконатися в істинності покупця. Важливо і те , що на цьому ринку будуть представлені експлойти тільки для відомих вразливостей , а не так звані експлойти zero day – нові атаки , проти яких ще не було випущено засобів. Мета Моя полягає в тому , щоб допомогти компаніям знайти переборні похибки , а не продемонструвати напад , проти якого вони беззахисні.

NSS чи не стане першою компанією, що продає цифрове зброю експертам з безпеки . Але найбільші колекції , доступні зараз на Core Security Technologies , Immunity і сайті відкритого проекту Metasploit , містять експлойти менш ніж для 10 % від 14 000 вразливостей , офіційно виявлених в інформаційних системах за останні п’ять років.

Мій вважає , що така ринкова модель послужить стимулом для благонадійних хакерів , щоб вони створювали повномасштабні арсенали для виламування систем , і – якщо компанії будуть купувати експлойти великими обсягами – дасть дослідникам новий значний джерело доходу. NSS буде отримувати 30% від суми продажів і в обмін на це буде проводити необхідні дослідження , щоб гарантувати покупцям , що куплені коди будуть працювати , а продавцям – що їх інструменти для злому не підуть до кіберзлочинцям або іноземним урядам. < p > Маріо Сібаллос , розробник експлойтів і випробувач в службі безпеки Northrop Grumman , згоден на таку угоду . «Якщо вони все зроблять правильно , такі хлопці , як я , зможуть викладати туди свої програмки і заробляти гроші» , – каже він.

Може здатися , що уразливості в системі безпеки , на які вже випущені доступні заплатки , не є такою вже серйозною проблемою. Але заплутаність установки і легковажне ставлення до безпеки часом призводять до того , що давно виявлені слабкі місця залишаються невиправленими . Торішнє дослідження фірми Qualys , що займається комп’ютерною безпекою , показало , що половина користувачів таких поширених додатків , як Adobe Flash або Java , що не встановили патчі , випущені три місяці тому. Часто це пов’язано з тим , що для установки оновлень потрібно цінний час і що в процесі деколи виникають непередбачувані помилки.

Маркус Ранум , начальник з інформаційних технологій у Tenable Security , скептично ставиться до плану Моя , але згоден , що нова система зможе продемонструвати компаніям важливість отлаживания систем безпеки. «Я бачив , як керуючі говорили , що не вірять в атаки , поки їм не покажеш , – говорить він. – Взагалі я не дуже схвалюю ідею продавати експлойти . Але враховуючи безвідповідальність , що панує в індустрії , це може спрацювати ».

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.