Ответственность за раскрытие информации об уязвимости миф или реальность

Автор: Шона Тернер-Райс (Shawna Turner-Rice)

В чем заключается моральный долг человека, который исследует программы на дыры и уязвимости? Существуют ли четкие этические границы? Правда ли, что понятия «белые» и «черные» хакеры (coloured hats) означают именно то, что мы под этим подразумеваем? Или, быть может, все перевернуто с ног на голову? Что если люди, действуя из лучших побуждений, ослабляют нашу безопасность?

Исторически так сложилось, что «белые» хакеры (White Hats) при нахождении уязвимости рассказывают о ней разработчику программы. В противовес им, «черные» хакеры (Black Hats) не раскрывают информацию о своих находках; и мы привыкли думать, что блэк-хэты создают потенциально опасные эксплоиты, используя найденные бреши в защите. Не существует определенного мнения относительно тех, кто продает информации о найденных уязвимостях; в таком случае мы часто называем их «серыми» хакерами. Свидетельством тому является самокритичная статья Даэкена (Daeken), где он рассказывает об истории раскрытия уязвимости замка Onity.

А вдруг термин «ответственность за раскрытие» уязвимости используется определенной группой злоумышленников для совершения атак? Эндрю Ауэрнхеймера (Andrew Auernheimer) считает, что для сохранения социальной справедливости информация о найденной уязвимости должна быть раскрыта лишь тому, кого исследователь хорошо знает. Об этом Эндрю пишет в статье, опубликованной в журнале WIRED.

В этой публикации много правды. Производители несут ответственность перед акционерами, чья основная цель – получение прибыли. Это означает, что большинство корпораций идут по пути уменьшения расходов и, следовательно, не сильно заботятся об исследовании своих продуктов на безопасность, выпуск патчей и т д.

В основном компании уникальны, подобно снежинкам, падающим с неба. Это заставляет организации производить комплексное тестирование их программ перед выпуском исправлений или новых релизов. Такое положение вещей делает возможным проведение атаки, используя информацию об известной уязвимости, в тот момент, пока новая версия программы еще не выпущена.

Однако один из разделов статьи Ауэрнхеймера может смутить неподготовленного читателя. На основании сторонних исследований там утверждается:

• Ни один из общедоступных эксплоитов не разработан авторами вредоносных программ.
• Все эксплоиты появляются в результате «целенаправленных кибератак» (Advanced Persistent Threats) (термин, используемый государственными деятелями) или от «белых» хакеров, которые раскрывают информацию об уязвимостях.
• Уязвимости, раскрываемые «белыми» хакерам, используются в ста процентах публичных эксплоитах.

Может сложиться впечатление, что раскрытие бреши в защите помогает только злоумышленникам, но я считаю все не так однозначно.

О чем рассказывается в исследовании, на которое опирается Эндрю в своей статье? Это прекрасная презентация, о которой уместно упомянуть именно в этой записи блога – видео ExploitIntelligence Project, где происходит дискуссия о том, как информация об уязвимости превращается во вредоносную программу. В видео приводится три основных тезиса:

1. В документах об APT (Advanced Persistent Threats, «целенаправленные кибератаки»), которые стали доступны общественности, содержалось детальное описание эксплоитов.
2. Информация о свежих уязвимостях от видных «белых» хакеров опять же содержала код и детали реализации эксплоита, которые с легкостью могут быть использованы группами злоумышленников.
3. По программе Zero Day Initiative награждают тех, кто находит уязвимости. Эта информация, по сути своей, также содержит детали реализации эксплоитов.
4. Четвертый тезис – существование неизвестных уязвимостей. Однако автор доклада Дэн Гуидо (Dan Guido) утверждает, что никто не ищет неизвестные уязвимости, поскольку авторы вредоносных программ пользуются тем, что так любезно раскрывают «белые» хакеры.

Все три источника утверждают одно – везде содержатся детали реализации конкретных эксплоитов, и, кажется, это соответствует действительности. Спустя полчаса в видео заходит разговор о том, как информация от исследователей уязвимостей сразу же попадает в руки злоумышленников и используется ими. Вот некоторые важные цитаты из видео:

«Мы видим, что они (злоумышленники) предпочитают более открытые источники, чем менее открытые … Так, если появляется конкретная реализация эксплоита, которая ‘протестирована’ и работает, совершенно очевидно, что эксплоит будет использован. … При недостатке информации об уязвимости, нам нужно проделать больше работы, чтобы ее использовать, и, соответственно, мы пользуемся ей реже. Вне всяких сомнений, если брешь в продукте, опубликованная разработчиком, не содержит деталей реализации, маловероятно, что она будет использована, поскольку слишком сложно выяснить подробности. Эта информация имеет ограниченную ценность еще и потому, что я не знаю, сколько усилий мне нужно затратить, чтобы получить рабочий код»

Я полагаю, все не так просто, как утверждает в своей статье Эндрю Ауэрнхеймер. Жизнь гораздо сложнее. Мы можем убедиться в этом, ознакомившись с реальной историей Даэкена. Его доводы вполне обоснованы. Разработчики программ и производители оборудования не могут исправить проблемы, о которых они не знают. Также как они не в силах предотвратить на сто процентов все возможные угрозы (Хотя, я убеждена, разработчики могли бы уделять больше внимания безопасности программ, но эта тема отдельной статьи). Кроме того, в большинстве случае конечной целью атак становятся не производители. В случае с Даэкеном, если использовать найденную им уязвимость злонамеренно, пострадают посетители отелей. Тоже самое касается взлома организации RSA. Пострадала не компания (RSA), а ее клиенты.

Если ключевой вопрос в том, что публикуются (неважно кем, производителем или независимым исследователем) детали реализации эксплоитов, тогда нужно раскрывая информацию об уязвимости лишь в общих чертах, не раскрывая деталей. Нам не нужно рассказывать кому-либо лучшие способы, которые могут нанести вред нам самим. Давайте затрудним жизнь создателям вредоносных программ, закрыв доступ к ресурсам по созданию эксплоитов, вместо того, чтобы раскрывать эту информацию.