Продажа эксплоитов поможет компаниям проверить их системы безопасности, но подходит ли для этой цели свободный рынок?

В течение десяти лет исследователи в области информационной безопасности имели возможность заработать деньги на продаже подробностей важных уязвимостей к платным программам: сперва в Vulnerability Contributor Program, запущенной iDefense в 2002 году, затем в TippingPoint Zero Day Initiative, которая начала свою работу в 2005 году.

Эту модель расширила, компания NSS Labs, специализирующаяся на исследованиях в области информационной безопасности и тестировании, запустившая ExploitHub, модель магазина, в котором продаются коды эксплоитов к известным уязвимостям. Заранее одобренные покупатели могут посетить магазин и заплатить от $50 до $1000 за готовый эксплоит.

Однако, разнообразием выставленные на продажу эксплоиты не страдают. Обзор ExploitHub показывает, что там продаются коды, с помощью которых атакуются Oracle, Novell и несколько уязвимостей Windows. NSS Labs надеется изменить эту ситуацию: на прошлой неделе компания представила систему голосования для покупателей для того, чтобы распределить уязвимости по уровню интереса к ним, а также систему денежного вознаграждения за опубликование эксплоитов к уязвимостям. Компания планирует выплачивать от $200 до $500 за рабочие атаки, направленные на конкретные уязвимости в Internet Explorer и Adobe Flash.

«Получая эксплоиты, пользующиеся большим спросом, защитники получают наилучшее обслуживание», — сказал Рик Мой, генеральный директор компании NSS Labs.

«У плохих парней есть возможность создавать эти эксплоиты и злонамеренно использовать их» ,- рассказывает он. «Но хорошие парни не имеют даже доступа к этим эксплоитам, поэтому они не могут проверить свои системы безопасности чтобы понять, работают они, или нет».

Хотя сейчас приоритетная цель — поиск ранее неизвестных и неисправленных уязвимостей, компаниям также нужно тестировать их системы безопасности на уже известные уязвимости. Большинство фирм тормозит применение патчей и, чтобы быть уверенными в том, что их система находится в безопасности, им нужно иметь возможность блокировать взлом их программного обеспечения.

Продавая эксплоиты к известным уязвимостям, ExploitHub помогает специалистам в области информационной безопасности и тестерам, проверяющим системы безопасности, и это стимулирует производителей программного обеспечения на выпуск патчей для важных уязвимостей, говорит Марк Майфрет, главный технический директор eEye Digital Security — фирмы специализирующейся на сетевой и проактивной поведенческой безопасности.

«Я думаю, мы сможем сделать больше стимулируя людей на исследование уязвимостей и предоставляя отчеты об исследованиях производителям вместо того, чтобы продавать их каким-то плохим парням», — сказал он.

ExploitHub предлагает еще одну альтернативу для исследователей. Они предлагают законно продать свои услуги по кодингу, хотя пока это не так прибыльно, как продажа оригинальных уязвимостей, которые обычно оцениваются в сумму от $1000 до $5000 за важный изъян в программе.

«Появится масса людей, которые захотят написать эксплоиты, и они не смогут получить работу в фирмах, специализирующихся в тестах на проникновение», — полагает Томас Кристенсен, директор по безопасности фирмы Secunia, специализирующейся на управлении уязвимостями. «Это и будет ниша ExploitHub».

Рик Мой из NSS Labs указывает на то, что от 15 000 до 17 000 критических уязвимостей, найденных за последние пять лет — это огромные возможности как для атакующих, так и для кодеров, которые хотят помочь специалистам в области информационной безопасности лучше делать свою работу. Основные инструменты для тестирования на проникновение — Immunity Canvas, Core Security Core Impact и Metasploit — содержат эксплоиты примерно для 1000 уязвимостей. Этот разрыв в количестве уязвимостей дает отличные возможности, считает Мой.

«Все, что касается zero-day это сексуально и горячо… это все хорошо, но в общей картине информационной безопасности, проблема нулевого дня — всего лишь небольшая часть», — говорит он.

И все же eEye держится на плаву не только за счет продажи уязвимостей, которые не являются уязвимостями «нулевого дня», говорит Майфрет.

«Кого волнует, что у вас есть эксплоит к уже известной уязвимости?», — продолжает он. «Если ваша компания использует только эксплоиты к уже известным уязвимостям, ваша служба информационной безопасности не выполняет свою работу».



Оставить мнение