Xakep #305. Многошаговые SQL-инъекции
Продажа эксплоитов поможет компаниям проверить их системы безопасности, но подходит ли для этой цели свободный рынок?
В течение десяти лет исследователи в области информационной безопасности имели возможность заработать деньги на продаже подробностей важных уязвимостей к платным программам: сперва в Vulnerability Contributor Program, запущенной iDefense в 2002 году, затем в TippingPoint Zero Day Initiative, которая начала свою работу в 2005 году.
Эту модель расширила, компания NSS Labs, специализирующаяся на исследованиях в области информационной безопасности и тестировании, запустившая ExploitHub, модель магазина, в котором продаются коды эксплоитов к известным уязвимостям. Заранее одобренные покупатели могут посетить магазин и заплатить от $50 до $1000 за готовый эксплоит.
Однако, разнообразием выставленные на продажу эксплоиты не страдают. Обзор ExploitHub показывает, что там продаются коды, с помощью которых атакуются Oracle, Novell и несколько уязвимостей Windows. NSS Labs надеется изменить эту ситуацию: на прошлой неделе компания представила систему голосования для покупателей для того, чтобы распределить уязвимости по уровню интереса к ним, а также систему денежного вознаграждения за опубликование эксплоитов к уязвимостям. Компания планирует выплачивать от $200 до $500 за рабочие атаки, направленные на конкретные уязвимости в Internet Explorer и Adobe Flash.
"Получая эксплоиты, пользующиеся большим спросом, защитники получают наилучшее обслуживание", - сказал Рик Мой, генеральный директор компании NSS Labs.
"У плохих парней есть возможность создавать эти эксплоиты и злонамеренно использовать их" ,- рассказывает он. "Но хорошие парни не имеют даже доступа к этим эксплоитам, поэтому они не могут проверить свои системы безопасности чтобы понять, работают они, или нет".
Хотя сейчас приоритетная цель — поиск ранее неизвестных и неисправленных уязвимостей, компаниям также нужно тестировать их системы безопасности на уже известные уязвимости. Большинство фирм тормозит применение патчей и, чтобы быть уверенными в том, что их система находится в безопасности, им нужно иметь возможность блокировать взлом их программного обеспечения.
Продавая эксплоиты к известным уязвимостям, ExploitHub помогает специалистам в области информационной безопасности и тестерам, проверяющим системы безопасности, и это стимулирует производителей программного обеспечения на выпуск патчей для важных уязвимостей, говорит Марк Майфрет, главный технический директор eEye Digital Security — фирмы специализирующейся на сетевой и проактивной поведенческой безопасности.
"Я думаю, мы сможем сделать больше стимулируя людей на исследование уязвимостей и предоставляя отчеты об исследованиях производителям вместо того, чтобы продавать их каким-то плохим парням", - сказал он.
ExploitHub предлагает еще одну альтернативу для исследователей. Они предлагают законно продать свои услуги по кодингу, хотя пока это не так прибыльно, как продажа оригинальных уязвимостей, которые обычно оцениваются в сумму от $1000 до $5000 за важный изъян в программе.
"Появится масса людей, которые захотят написать эксплоиты, и они не смогут получить работу в фирмах, специализирующихся в тестах на проникновение", - полагает Томас Кристенсен, директор по безопасности фирмы Secunia, специализирующейся на управлении уязвимостями. "Это и будет ниша ExploitHub".
Рик Мой из NSS Labs указывает на то, что от 15 000 до 17 000 критических уязвимостей, найденных за последние пять лет — это огромные возможности как для атакующих, так и для кодеров, которые хотят помочь специалистам в области информационной безопасности лучше делать свою работу. Основные инструменты для тестирования на проникновение - Immunity Canvas, Core Security Core Impact и Metasploit - содержат эксплоиты примерно для 1000 уязвимостей. Этот разрыв в количестве уязвимостей дает отличные возможности, считает Мой.
"Все, что касается zero-day это сексуально и горячо... это все хорошо, но в общей картине информационной безопасности, проблема нулевого дня - всего лишь небольшая часть", - говорит он.
И все же eEye держится на плаву не только за счет продажи уязвимостей, которые не являются уязвимостями "нулевого дня", говорит Майфрет.
"Кого волнует, что у вас есть эксплоит к уже известной уязвимости?", - продолжает он. "Если ваша компания использует только эксплоиты к уже известным уязвимостям, ваша служба информационной безопасности не выполняет свою работу".