Security Lab

Забудьте про раскрытие уязвимостей

Забудьте про раскрытие уязвимостей

Наступило время возвращения движения antisec и продолжения разговора о целесообразности раскрытия информации об уязвимостях. Это единственный способ заставить измениться «хороших» парней.

Автор: Эндрю Ауэрнхеймер (Andrew Auernheimer)

Примечание редактора: автор этой статьи, также известный под ником «weev», на прошлой неделе он был признан виновным в краже с сайта AT&T более ста тысяч адресов электронной почты владельцев iPad и передаче этой информации журналистам. Вынесение приговора назначено на 25 февраля 2013 года.

Прямо сейчас, сидя за компьютером, какой-нибудь хакер колдует над кодом эксплоита для захвата компьютера. Когда он закончит, его «детище» позволит получить доступ к тысячам – или даже миллионам – компьютерных систем.

Но важен не сам факт создания кода, эксплуатирующего уязвимость, а его распространение. Как же хакер решит поступить с эксплоитом? Рассмотрим несколько вариантов развития событий:

Продажа информации третьим лицам. Хакер может продать эксплоит недобросовестным фирмам, обеспечивающим информационную безопасность, которые будут заниматься вымогательством, предлагая свой продукт для «защиты». Или произойдет продажа представителям репрессивных государств, которые могут использовать эксплоит для шпионажа против людей, выступающих против власти (ходят слухи, что некоторые правительства, в том числе и в США, пользуются эксплоитами во внешней и внутренней разведке).

------------------------------------------------------------------------------------------------------------------------------------------

Мнение WIRED: Эндрю Ауэрнхеймер

Интернет-тролль, осужденный по двум компьютерным преступлениями, Эндрю «weev» Ауэрнхеймер, защитник свобод и будущий федеральный заключенный Америки, более десяти лет программирует на языках Си, asm, Perl, а также «троллит» пользователей на каналах IRC.

------------------------------------------------------------------------------------------------------------------------------------------

Хакер информирует о найденной уязвимости разработчика, которые может исправить (или не исправить) брешь в защите. Разработчик может выпустить исправление только для некоторых своих клиентов (тех, которые платят больше денег). Или же, уязвимость не будет исправлена вообще, потому что аналитический отдел решает, что дешевле и проще просто проигнорировать эту проблему.

Разработчик затягивает выпуск обновления. Нередко крупные клиенты самостоятельно проводят масштабное тестирование (при этом часто находя новые ошибки) прежде, чем распространить обновление в системе. Все это означает, что разработчик откладывает выпуск обновлений на нескольких месяцев (или даже лет) для большинства пользователей.

Разработчик внедряет антиотладочные методы, которые затрудняют реверс-инжиниринг программы. Самый лучший вариант. Поскольку обнаружить уязвимости проще простого, достаточно лишь загрузить старую и новую версию исполняемого файла в отладчик IDA Pro и при помощи плагина BinDiff сравнить изменения в дизассемблированном коде. Однако внедрение антиотладочной защиты требует большого количества человеческих ресурсов, и поэтому такое развитие событий происходит нечасто.

В общем, основная масса пользователей является легкой добычей для хакеров. Каждый заинтересован в своей собственной защите, и не всегда эти интересы совпадают с интересами обычных пользователей.

«Белые» становятся «Черными»

Производители нацелены на максимизацию прибыли и интересы акционеров для них превыше всего. Правительства сосредоточены на своей собственной безопасности и не заботятся о правах отдельных граждан, не говоря уже о безопасности других государств. Многие игроки на рынке информационной безопасности заинтересованы в лечении отдельных симптомов болезни, а не выпуске эффективного лекарства и полном ее излечении.

Совершенно очевидно, что не все игроки придерживаются этических норм. В первую очередь они беспокоятся о своих собственных интересах. В довершении ко всему, настоящий хакер редко получает оплату за свою деятельность по улучшению программ и, в конечном счете, защите пользователей.

Так кому же нужно сообщать о найденной бреши? Ответ: никому.

«Белые» хакеры (white hats) – люди, которые раскрывают информацию об уязвимости: разработчику или общественности. Однако в то же время они распространяют цифровое оружие, бомбу замедленного действия, позволяя другим пользоваться своими находками для совершения неправомерных действий.

Исследователь Дэн Гуидо (Dan Guido) проанализировал самые популярные программы, используемые для массового заражения компьютеров (Zeus, SpyEye, Clampi и другие). Его выводы, сделанные в ходе выступления в рамках Exploit Intelligence Project, насчет источников эксплоитов, содержащихся во вредоносных программах, неопровержимы:

  • Ни один из общедоступных эксплоитов не разработан авторами вредоносных программ.
  • Все эксплоиты появляются в результате «целенаправленных кибератак» (Advanced Persistent Threats) (термин, используемый государственными деятелями) или от «белых» хакеров, которые раскрывают информацию об уязвимостях.
  • Уязвимости, раскрываемые «белыми» хакерам, используются в ста процентах публичных эксплоитах.

По словам Гуидо, злоумышленники «предпочитают эксплоиты, созданные ‘белыми’ хакерами», поскольку эти творения более надежны в работе, чем код из непубличных (underground) источников.

Становление «серых» хакеров

Несколько предусмотрительных хакеров сети EFnet еще четырнадцать лет назад обратили внимание на болото, кишащее экспертами по безопасности, вступивших в конфликт с собственной совестью. Хакеров не интересовал заработок больших денег, и они основали новое движение Anti Security, или «antisec».

Участники antisec рассматривали разработку эксплоитов как искусство, почти духовное развитие. Antisec не является – и никогда не являлась – «группой», но тем не менее у движения есть единая и четкая позиция:

Эксплоит сродни мощному оружию, о котором можно рассказывать только знакомым проверенным людям, и кто будет действовать в интересах социальной справедливости.

В конце концов, передавая эксплоит злоумышленникам, вы сами становитесь соучастником противоправных действий: это все равно, что вы дали винтовку человеку, который собрался кого-нибудь пристрелить.

Хотя движение перестало существовать десять лет назад, недавно термин «antisec» вновь упоминался в новостных лентах. Но сейчас, я считаю, эти криминальные деяния, совершенные якобы под брендом antisec, были санкционированы государственными властями. К примеру: Сабу (Sabu), участник группы Lulzsec, впервые был арестован седьмого июня прошлого года, а двадцатого июня сообщалось, что Сабу совершал преступления под эгидой «antisec». Все это означает, что Сабу действовал с полного одобрения ФБР и, возможно, ушел от ответственности за свои деяния (включая обнародование учетных записей, которые, возможно, поставили под угрозу раскрытие персональных данных миллионов пользователей).

Такое поведение не имеет ничего общего с идеологией движением antisec, о котором я говорю.

Но хакеры (я их называю детьми), занимающиеся криминалом и ради наживы решившие продавать эксплоиты правительствам, начинают публично оправдываться за свои вопиющие поступки. И в этом случае движение antisec также вносило свою лепту, создавая культурную среду, традиции, и рассказывая, как стать «серым» хакером. К примеру, основной функцией antisec была просветительская работа среди молодых хакеров о том, что нежелательно поддерживаться связи с представителями военно-промышленного комплекса.

Совершенно очевидно, что использование эксплоитов нарушает права человека и конфиденциальность персональных данных. Не менее очевидно и то, что с этим нужно что-то делать. Однако я не вижу смысла в регулировании разработки и продажи эксплоитов на законодательном уровне. В конце концов, это личное дело каждого. Нам следует лишь публично осудить таких деятелей.

В эпоху кибершпионажа и гонений на диссидентов, единственный, кому вы можете передать эксплоит, тот, кто будет использовать его в интересах социальной справедливости. И это не разработчики, правительства или корпорации, а отдельные личности.

В отдельных случаях это может быть журналист, который может публично пристыдить владельцев веб-приложения. Хотя во многих случаях ущерб конечным пользователям в случае раскрытия уязвимости (и утрата эксплоита, как оружия против репрессивных правительств), многократно превышает любые преимущества, которые несет «публичная порка» разработчика. В этих случаях концепция движения antisec работает на все сто процентов, и вы не должны рассказывать кому-либо о своих находках.

Таким образом, наступило время возвращения движения antisec и продолжения разговора о целесообразности раскрытия информации об уязвимостях. Это единственный способ заставить измениться «хороших» парней.

Теория струн? У нас целый оркестр научных фактов!

От классики до авангарда — наука во всех жанрах

Настройтесь на нашу волну — подпишитесь