Появление чёрного рынка 0day-уязвимостей для спецслужб привело к ряду побочных эффектов, пишет Брюс Шнайер в своей ежемесячной почтовой рассылке Crypto-Gram.
Критика Брюса Шнайера направлена на деятельность компаний Vupen, Netragard, Endgame и других брокеров, которые покупают эксплойты у независимых хакеров и перепродают их спецслужбам западных стран. Компания Vupen к тому же имеет в штате ряд высокопрофессиональных специалистов, которые сами занимаются аудитом безопасности популярных браузеров и операционных систем, так что у них всегда есть на продажу эксклюзивные 0day-уязвимости для программ типа Flame.
Брюс Шнайер говорит, что когда увидел прайс-лист на эксплойты в Forbes, то поначалу не поверил, что стоимость уязвимостей доходит до $250 тыс. Но позже компетентные люди подтвердили, что это настоящая цена. Рынок действительно сильно изменился с 2007 года, когда Чарли Миллер впервые написал о продаже 0day-эксплойтов. Даже по сравнению с 2010 годом сейчас совершенно другие цены: этот рынок пережил настоящий бум в последние пару лет, так что сейчас над поиском уязвимостей работают профессиональные высокооплачиваемые команды.
Брюс Шнайер всегда придерживался мнения, что поиск уязвимостей в программных продуктах повышает общую безопасность, поскольку поощряет публикацию информации в открытом доступе. Раньше главным мотивом у хакера было стремление к известности, так что публикация информации в открытом доступе являлось естественным. К сожалению, за несколько лет рынок трансформировался и от полной открытости к «ответственной открытости», когда хакеры заранее уведомляют компанию-разработчика об уязвимости и публикуют информацию в открытом доступе только спустя некоторое время, дав разработчику возможность исправить ошибку. Такая трансформация изменила мотивацию хакера в не лучшую сторону, но по факту ситуация со всеобщей безопасностью не стала хуже — патчи выпускались, дыры закрывались, а производители старались делать софт более защищённым, чтобы не терять деньги на плохом пиаре и разработке патчей.
Новые реалии совершенно меняют дело, потому что участники чёрного рынка вообще не заинтересованы в закрытии уязвимостей. То есть влиятельные государственные агентства могут приложить определённые усилия, чтобы уязвимость не закрывали какое-то время даже если разработчику стало известно о ней. Здесь ситуация аналогична с нахождением уязвимостей в криптографических алгоритмах, что часто обсуждалось на криптографических конференциях с участием криптологов АНБ. Перед ними стоит дилемма, что делать с такими уязвимостями в случае их обнаружения: публиковать в открытом доступе для исправления алгоритма или тайно использовать в своих целях. К 2000 году, пишет Шнайер, АНБ вроде бы согласилось с первым вариантом, но всё изменилось после 9/11.
И самое главное — появляется мощный стимул для программистов — в Microsoft, Google и других компаниях — оставлять ошибки в программном коде, а потом секретно продавать уязвимости государственным агентствам. Вот почему наличие чёрного рынка эксплойтов опасно для всех. Брюс Шнайер говорит, что ни одна софтверная компания в мире не обладает настолько надёжной системой ревизии кода, чтобы выявлять подобный саботаж: найти ошибку и доказать злой умысел.
Таким образом, существование чёрного рынка эксплойтов является исключительно негативным явлением. Как сказано в недавней статье EFF, это «безопасность для 1%», которая ухудшает защищённость остальных.