Специалисты по информационной безопасности из компании iSec Partners провели исследование рынка разработки эксплойт-пакоов Exploit Inteligence Project. Они тщательно изучили, как создаются подобные программы и, главное, кто является поставщиков эксплойтов для них. Выводы кто-то назовёт сенсационными, а кто-то посчитает естественным результатом разделения труда в программистском андеграунде.
Итак, авторы исследования пришли к выводу, что эксплойт-паки не являются источником распространения ни одного 0day-эксплойта в последнее время. Более того, в эти наборы включаются только хорошо задокументированные, качественные и надёжные эксплойты.
Спрашивается, откуда же разработчики эксплойт-паков берут эксплойты для своих коммерческих разработок? Ответ: из открытых источников. Значительную часть работы для злоумышленников делают «белые шляпы», известные специалисты по безопасности, которые в ежедневном режиме публикуют в открытом доступе свежие эксплойты для различных программ. Создателям Blackhole и подобных программ остаётся только отфильтровать их и выбрать самые опасные и перспективные.
Это действительно удивительный вывод, учитывая ту опасность, которую представляют современные эксплойт-паки вроде Blackhole. По информации из свежего отчёта Sophos Security Threat Report 2013, на сегодняшний день их используют для проведения абсолютного большинства веб-атак.
Можно сделать парадоксальный вывод, что известные специалисты и пентестеры своими руками делают самую трудную работу. Публикуя 0day-уязвимости в открытом доступе, они помогают зарабатывать деньги создателям эксплойт-паков. Плохо это или хорошо — спор на эту тему специалисты ведут уже давно, и общее мнение склоняется к тому, что кроме полного раскрытия информации нет более эффективного способа заставить производителя устранить уязвимости в своём программном обеспечении.
Слайды с результатами Exploit Inteligence Project можно скачать здесь, ниже видеозапись с презентации (продолжительность 43:25).
